랑아
article thumbnail
Published 2023. 6. 2. 06:54
보안 공격 및 예방 2 정보처리기사/정보 시스템 구축 관리

02. 악성 프로그램

01. 컴퓨터 바이러스(Virus)

1) 컴퓨터 바이러스의 3가지 기능

  1. 복제 기능
    • 바이러스는 자신을 무한히 복사하려고 노력함
    • 자기 복제를 통해 네트워크에 연결된 다른 컴퓨터를 감염시킴
    • 사용자 컴퓨터 내에서 자신 또는 자신의 변형을 다른 실행 프로그램에 복제하여 그 프로그램을 감염시킴
  2. 은폐 기능
    • 바이러스는 특정 파일 속에 자신을 숨기며, 바이러스 자신의 존재를 파악하지 못하도록 특정 파일의 크기도 그대로 유지함
  3. 파괴 기능
    • 바이러스는 항상 활동하거나 컴퓨터 시스템이 특정한 조건이 되면 동작하도록 되어 있음
    • 바이러스는 컴퓨터 시스템이 느려지게 하거나 오작동을 일으키게 하며 특정 파일을 파괴하기도 함

2) 감염 위치에 따른 분류

  1. 부트 바이러스
    • 컴퓨터의 전원이 켜지면 디스크 드라이브는 디스크의 부트 섹터 부분으로 접근하여 운영체제 파일 일부를 주기억 장치에 적재시킴
    • 부트 바이러스는 부트 영역에 존재하기 때문에 부팅 시에 자연스럽게 바이러스가 동작하여 자기 복제, 오작동, 파괴할 수 있는 준비 상태에 있게 됨
    • 미켈란젤로, Anti-CMOS, Monkey, 브레인, LBC 바이러스 등이 있음
  2. 파일 바이러스
    • Windows 운영체제에서 실행 파일의 확장자는 EXE, COM으로 되어 있음
    • 실행 파일이 실행되면 파일 바이러스는 실행 파일에 숨어 있다가 실행되는 프로그램과 함께 주기억 장치에 적재되어 동작함
    • 바이러스도 프로그램의 일족이므로 주기억 장치에 적재되어야만 복제되고, 오작동을 일으키게 하며 특정 파일을 파괴할 수 있음
    • 예루살렘, CIH, 어둠의 복수자 바이러스 등이 있음
  3. 매크로 바이러스
    • 매크로는 여러 개의 문자나 명령어를 하나의 문자로 치환한 후 확장함
    • 매크로는 실행 파일은 아니지만 실행 파일과 유사한 기능을 함
    • 문제는 실행 파일에 감염되지 않고, 일반 문서 파일에 감염되기 때문에 감염 범위가 크다는 것
    • 특히 MS 오피스와 같은 응용 프로그램의 문서 파일에 삽입되어 스크립트 형태의 실행 환경을 악용하는 악성코드가 있음
    • 라룩스, 멜리사 바이러스 등이 있음
  4. 메모리 상주 바이러스
    • 주기억 장치에 존재하면서 주기억 장치의 크기를 부족하게 만들거나 주기억 장치를 거쳐 가는 프로그램이나 문서 파일을 감염시키는 바이러스

3) 바이러스의 세대별 구분

  1. 제 1시대 - 원시형 바이러스(Primitive Virus)
    • 고정 크기를 갖는 단순하고 분석하기 쉬운 바이러스
    • 예루살렘 바이러스가 있음
  2. 제 2세대 - 암호화 바이러스(Encryption Virus)
    • 바일허스 프로그램 전체 또는 일부를 암호화시켜 저장하는 바이러스
    • 느림보 바이러스가 있음
  3. 제 3세대 - 은폐형 바이러스(Stealth Virus)
    • 감염된 파일 크기의 변화가 없는 것처럼 은폐해서 사용자나 백신 프로그램이 감염 사실을 알아채지 못하게 속이는 바이러스
    • 브레인 바이러스가 있음
  4. 제 4세대 - 갑옷형 바이러스(Armor Virus)
    • 백신 개발을 지연시키기 위하여 다양한 암호화 기법을 사용하는 바이러스
    • 고래 바이러스가 있음
  5. 제 5세대 - 매크로 바이러스
    • 엑셀이나 워드처럼 매크로 명령을 사용하는 프로그램의 데이터에 감염되는 컴퓨터 바이러스
    • 라눅사 바이러스가 있음


02. 악성 프로그램

1) 트랩 도어(Trap Door)

  • 백도어가 악용되면 트랩 도어라고 함
  • 백도어는 컴퓨터 시스템에 문제가 발생하였을 경우를 대비하여 정상적인 인증 절차를 거치지 않고 컴퓨터 시스템에 접근할 수 있도록 만든 영역
  • 프로그램이나 손상된 시스템에 허가되지 않은 접근을 할 수 있도록 정상적인 보안 절차를 우회하는 악성 소프트웨어
  • 하지만 공격자에 의해 이미 점유된 컴퓨터 시스템을 공격자가 다시 재진입할 수 있도록 악용된 경우를 트랩 도어라고 함
  • 트랩 도어는 정상적인 인증 과정을 거치지 않고 프로그램에 접근하는 일종의 통로

2) 트로이 목마(Trojan Horse)

  • 고대 그리스에서 적진을 침투할 목적으로 사용했던 목마처럼 컴퓨터 시스템을 불법적으로 원격 제어하기 위해 침투시키는 파일
  • 최근에는 자기 복제 기능이 추가되어 다양한 형태로 사용됨
  • 정상적은 프로그램으로 가장한 악성 프로그램으로, 겉으로 보기에는 유용해 보이지만 정상적인 프로그램 속에 숨어있는 악성 소프트웨어로 사용자가 프로그램을 실행할 때 동작함

3) 웜(Worm)

  • 파괴 기능 없이 확산의 목적을 갖는 프로그램
  • 주로 E-메일의 첨부 파일이나 쿠키 등을 이용하여 확산되기 때문에 개인정보 유출의 위험이 있음
  • 웜은 네트워크 등의 연결을 통하여 자신의 복제품을 전파함

4) 스턱스넷(Stuxnet)

  • 2010년 6월에 발견된 웜 바이러스
  • MS-Windows를 통해 감염되어, 지멘스 산업의 소프트웨어 및 장비를 공격함
  • 스턱스넷은 산업 시설을 감시하고 파괴하는 악성 소프트웨어로는 최초
  • 스턱스넷은 지멘스의 SCADA(집중 원격 감시 제어 시스템 또는 감시 제어 데이터 수집 시스템) 시스템만을 감염시켜 장비를 제어하고 감시하는 특수한 코드를 내부에 담고 있음
  • 장비를 프로그램하는데 사용되는 PLC를 감염시켜 장비의 동작을 변경함
    • PLC(Programmable Logic Controller) : 각종 센서로부터 신호를 받아 제어기에 신호를 보냄으로써 사람이 지정해둔 대로 로봇이 작동하도록 해주는 장치

5) 스파이웨어(Spyware)

  • 웜의 일종으로 공개 또는 무료 프로그램에 포함되어 전달됨
  • 소비자가 무료 프로그램을 선호한다는 것을 악용하거나 프로그램 설치 시에 동의 내용을 확인하지 않는 점을 악용한 프로그램

6) 조크(Joke)와 혹스(Hoax)

  • E-메일이나 파일 복제를 통해 전달되는 형태로 악의적인 기능을 갖고 있지 않은 프로그램
  • 갑자기 놀랄 만한 화면을 띄우거나 하드 디스크를 포맷 하겠다는 가짜 메시지를 보여주기도 함

7) 악성 스크립트(Malicious Script)

  • 웜과 유사하지만 바이러스 성격을 지니고 있는 프로그램으로 오작동, 파괴 기능을 모두 가지고 있음
  • 자바스크립트 언어로 개발될 수 있기 때문에 누구나 쉽게 만들 수 있고, 인터넷 웹 페이지를 통해 전달된다는 특징이 있음

8) 루트킷(Rootkit)

  • 루트 권한을 획득한 공격자가 해커용 프로그램을 숨기기 위한 목적으로 사용하는 프로그램
  • 로트 권한을 가진 공격자가 정상 사용자들의 암호를 알아내기 위해 사용되는 일련의 위조 프로그램들이나 해커용 프로그램을 숨기기 위한 프로그램을 총칭함
  • 백도어나 파일 등의 흔적을 관리자가 볼 수 없도록 하는 프로그램에 대한 명칭으로 일반화되어 있음

9) 봇넷(Botnet)

  • 봇은 로봇의 줄임말로, 공격자는 사용자의 컴퓨터를 좀비라고도 하는 봇 상태로 바꿀 수 있는 악성 소프트웨어를 유포함
  • 공격자는 봇을 사용항여 많은 컴퓨터를 감염시킨 후 봇넷을 이용하여 스팸 전송, 바이러스 유포, 서버 공격 등을 감행함
  • 감염된 시스템에서 활성화되어 다른 시스템을 공격하는 프로그램
  • 사용자 컴퓨터가 봇넷의 일부가 되면 사용자 컴퓨터의 성능이 저하되며, 사용자는 의도하지 않게 범죄 행위를 돕게 됨

10) 오토런 바이러스(Autorun Virus)

  • USB는 USB 포트에 꽂으면 바로 실행되는 편리한 장치로, 이러한 편리함을 노리는 보안 위협
  • 오토런 바이러스는 "autorun.inf" 파일이나, 시스템의 레지스트리에 등록돼 자동 실행되도록 설정된 악성 코드
  • 주로 USB와 같은 이동형 저장 장치에 복사되어 전파됨
  • 폴더를 숨기거나 더블 클릭을 방해하는 등의 악성 행위를 함
  • 운영체제 시스템에 USB의 자동 실행 기능을 미사용으로 설정하여 공격을 예방할 수 있음

11) 악성 에이전트(Agent)

  • TCP/IP에서 네트워크 관리를 위해 지원하는 SNMP 프로토콜을 이용한 악성 프로그램
  • SNMP 프로토콜은 엿보기, 통신망 상에 전송되는 패킷 정보를 몰래 읽어보는 스니핑(Sniffing)에 약점이 있기 때문에 불법적으로 컴퓨터 시스템의 정보를 획득하는 데 이용됨


03. 전형적인 공격 유형

1) 전형적인 공격 유형

  1. 가로막기(Interruption)
    • '중지'라고도 하며 데이터의 정상적인 전송으로 수신 측에 데이터가 전달되는 것을 방해하는 행위로 가용성에 대한 위협을 의미함
  2. 가로채기(Interception)
    • 데이터의 전송 중 불법적으로 데이터에 접근하여 내용을 보거나 도청하는 행위로 기밀성에 대한 위협을 의미함
  3. 수정(Modification)
    • 전송 중인 데이터에 접근하여 내용의 일부분이나 중요한 내용을 불법적으로 수정하는 행위로 무결성에 대한 위협을 의미함
  4. 위조(Fabrication)
    • 데이터가 다른 송신자로부터 전송된 것처럼 꾸미는 행위로 무결성에 대한 위협이 됨

2) 인터넷 환경에서 정보 자산에 대한 공격 기술 2가지

  1. 수동적 공격 : 인터넷상에서 정보를 도청, 수집한 정보를 분석하는 등의 간접적 공격
  2. 능동적 공격 : 인터넷상의 데이터를 위조, 변조, 파괴하는 등 직접적으로 데이터의 무결성, 가용성, 기밀성을 위협하는 공격
저작자표시 비영리 변경금지 (새창열림)

'정보처리기사 > 정보 시스템 구축 관리' 카테고리의 다른 글

보안 공격 및 예방 4  (0) 2023.06.02
보안 공격 및 예방 3  (0) 2023.06.02
보안 공격 및 예방 1  (0) 2023.06.02
시스템 보안 구축 5  (0) 2023.06.02
시스템 보안 구축 4  (0) 2023.06.02
profile

랑아

@RangA

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!

검색 태그

Algorithm
cookie
hashing
정보처리기사
Session
데이터베이스
Java
Spring
기술면접
cloud
HttpMediaTypeNotAcceptableException
Security
GIT
https
자료구조&알고리즘
네트워크

티스토리툴바