네트워크 보안 (Network Security)
정보 기술의 발전으로 수많은 데이터를 공유하면서 보안을 위협하는 사이버 범죄도 증가하고 있다. 네트워크가 개방되고 성능 및 시스템 간 연결성이 강화되면 이에 비례하여 취약성도 증대된다. 보안을 명확하게 경계를 구분하는 것은 어렵지만 크게 컴퓨터 보안과 네트워크 보안으로 구분된다.
- `컴퓨터 보안`: 컴퓨터 자체의 데이터를 보호한다.
- `네트워크 보안`: 컴퓨터 간 데이터를 안전하게 전송한다.
네트워크 보안의 요구 사항
네트워크 보안의 요구 사항은 크게 “비밀성”, “무결성”, “가용성”이다.
- `비밀성(Privacy)`: 데이터의 소유자가 원하는 대로 비밀을 유지하는 것으로, 비밀성을 보장하는 방법으로는 “암호화”와 “접근 통제”가 있다.
- `무결성(Integrity)`: 인증되지 않은 사용자가 데이터를 임의로 변경/수정/삭제하지 못하게 하여 데이터의 정확성과 완전성을 보장하는 것이다.
- `가용성(Availability)`: 정당한 방법으로 권한을 받은 사용자가 데이터 또는 자원이 필요할 때 아무런 방해를 받지 않고 데이터에 접근하여 사용할 수 있음을 보장하는 것이다.
네트워크 위협 (Network Threats)
스미싱 (Smishing)
스미싱은 문자 메시지(SMS)와 피싱(Phising)의 합성어이다. 스미싱 공격에서 공격자는 신뢰할 수 있는 기관을 사칭해 문자 메시지를 보내고, 사용자가 악성 링크를 클릭하거나 앱을 설치하도록 유도한다. 이로 인해 금융 정보, 개인 정보가 유출되거나 악성코드에 감염될 수 있다.
스미싱의 특징은 다음과 같다.
- 스마트폰에 많이 설치되는 정상 어플을 사칭하여 악성 앱 설치를 유도한다.
- 사용자가 악성 앱을 설치하도록 유도하기 위해 관심을 끄는 SMS를 전송한다.
- 정상적인 사이트와 매우 유사하게 제작된 피싱 사이트로 연결한다.
스미싱의 예방 방법은 다음과 같다.
- 의심스러운 문자에 포함된 링크 클릭 금지
- 출처가 불분명한 앱 설치 금지
- 문자 수신 시 발신번호 확인 및 공식 웹사이트 접속 확인
- 모바일 백신 설치 및 최신 업데이트 유지
랜섬웨어 (Ransomware)
랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 잠그거나 데이터를 암호화하여 사용 불가능하게 하며 이를 인질로 금전을 요구한다.
랜섬웨어의 감염 경로는 다음과 같다.
- 신뢰할 수 없는 사이트: 단순한 사이트 방문으로도 감염될 수 있고, 드라이브 바이 다운로드 기법을 통해 유포된다.
- 파일 공유 사이트: 토렌트, 웹하드 등의 P2P 사이트에서 동영상 등의 파일을 다운로드하여 실행하면 악성코드에 감염될 수 있다.
- SNS: 페이스북, 인스타그램 등의 SNS에 업로드 된 단축 URL과 이미지를 통해 유포된다.
- 네트워크망: 네트워크를 통해 최신 보안 패치가 적용되지 않은 컴퓨터를 스캔하여 악성 코드를 감염시킨다.
랜섬웨어의 예방 방법은 다음과 같다.
- 중요 데이터는 주기적으로 백업하기
- 신뢰할 수 없는 이메일 첨부파일 및 링크 클릭 금지
- 운영체제 및 보안 소프트웨어 최신 상태 유지
- 이메일 발신자와 내용 확인 후 의심되면 열람하지 않기
공유기 보안 위협
보안 설정이 되지 않은 무선 LAN은 외부에서 무선 공유기를 무단으로 사용할 수 있다. 해커가 접속하여 해킹 및 개인 정보 유출 등의 다양한 보안 위협을 유발할 수 있으며, 인터넷에서 접속 가능한 공유기의 DNS 주소를 변조하는 방법들을 활용하여 사용자에게 피해를 입힐 수 있다.
공유기 보안 위협 예방 방법은 다음과 같다.
- 공유기 관리자 비밀번호를 복잡하게 설정하기
- 주기적으로 펌웨어 업데이트하기
- 원격 관리 기능 비활성화하기
- WPA3 또는 WPA2 보안 프로토콜 사용하기
네트워크 공격 기술 (Network Attack Techniques)
네트워크 공격 기술은 점점 더 정교해지고 범위가 넓어지고 있다. 이러한 공격 기술들은 컴퓨팅 환경에 심각한 위협을 가한다.
IP 스푸핑 (IP Spoofing)
IP 스푸핑은 IP 주소를 속이는 행위로, 공격자가 임의로 웹사이트를 구성하여 일반 사용자의 방문을 유도하고 TCP/IP의 구조적 결함을 이용해 사용자 시스템 권한을 획득하여 정보를 빼가는 해킹 수법이다. 즉, 공격 대상 컴퓨터를 무력화하여 자신이 해당 컴퓨터인 것처럼 위장하는 것이다. IP 스푸핑의 공격 방법으로는 다음이 있다.
- `IP 주소 스푸핑 공격`: 거짓 송신 주소를 이용한다.
- `사용자 인증 스푸핑 공격`: 인증되지 않은 패스워드로 접근하여 공격하는 방법이다.
이러한 IP 스푸핑을 차단하는 방법은 다음과 같다.
- `액세스 제어`: 내부 네트워크에 있는 송신지 주소를 가진 외부 네트워크의 패킷을 모두 거부한다.
- `필터링`: 내부 네트워크의 IP 주소 범위에서 송신지 주소를 보유하지 않은 패킷이 외부로 나가는 것을 차단한다.
- `암호화`: 패킷을 암호화하여 전송하기에 노출되더라도 이해할 수 없는 암호화된 문자로 나타난다. (SSH)
IP 스니핑 (IP Sniffing)
IP 스니핑은 네트워크를 이용하여 전송하는 데이터를 엿듣는 일종의 도청 행위이다. TCP/IP 프로토콜은 인터넷이 시작되기 전부터 설계된 프로토콜이기에 데이터 통신 보안의 기본 요소인 비밀성과 무결성을 보장하지 못한다.
스니핑은 비밀성을 해치는 대표적인 공격 방법이기에, 네트워크를 공유하는 환경에서 매우 치명적일 수 있다. 스니핑은 LAN 카드의 모든 트래픽을 보도록 설정할 수 있는 “프로미큐어서 모드(Promiscuous Mode)”를 성정하여 모든 트래픽을 도청할 수 있다.
스니핑 피해를 감소시키는 방법은 다음과 같다.
- `가상 LAN을 작게 나누기`: 스니핑은 동일한 가상 LAN에서 가능하기에 가상 LAN을 작게 나누면 피해를 감소시킬 수 있다.
- `암호화 전송 프로토콜 사용`: 스니핑은 텔넷, FTP, POP3 등이 평문으로 전송되는 트래픽을 모니터링하여 ID나 패스워드를 빼내는 것이다. 이때, 암호화 전송 프로토콜을 사용하면 중간에 패킷을 가로채도 분석하기 어렵다. 따라서 최근에는 텔넷 대신 SSH, HTTP 대신 HTTPS, POP3 대신 POP3S 등의 프로토콜을 사용한다. 이외에도 VPN을 사용하는 방법도 권장된다.
시스템 보안 기술 (System Security Technologies)
대표적인 네트워크 시스템 보안 장비로는 방화벽이 있다. 또한 방화벽 기능을 보완하기 위해 등장한 침입 탐지 시스템, 침입 방지 시스템 등이 있다.
방화벽 (Firewall)
방화벽은 외부 네트워크에서 내부 네트워크로 접근하기 위해 반드시 통과해야 하는 요소로, 내부 네트워크의 자원과 정보를 보호하는 시스템이다. 외부 네트워크와 내부 네트워크의 유일한 경로에 방화벽을 둬서 불법적인 트래픽을 거부하거나 방지할 수 있다.
방화벽의 여러 기능과 보안 대처 수준에 따라 다양한 유형의 방화벽을 사용할 수 있는데, 방화벽을 구성하는 요소는 다음과 같다.
- `네트워크 정책`: 방화벽의 설계/설치/사용에 직접적으로 영향을 줄 수 있는 두 가지 수준의 네트워크가 있다. 이는 조직 차원의 보안 목표를 명시한 개념적 정책인 “상위 수준 정책”과 상위 정책을 구현한 구체적인 방화벽 규칙인 “하위 수준 정책”으로 구분된다.
- `방화벽 사용자 인증 시스템`: 방화벽에서는 단순한 패스워드로 사용자를 인증하는 방식을 사용하지 않고, 스마트카드, 인증 토큰, 소프트웨어 메커니즘 등을 인증 수단으로 사용한다.
- `패킷 필터링`: 패킷 필터링 라우터는 라우터 인터페이스를 지나는 패킷을 필터링한다.
- `응용 계층 게이트웨이`: 애플리케이션 데이터를 직접 분석해 고급 보안을 제공하는 프록시 형태의 방화벽이다. 프록시 서버(Proxy Server) 기능을 제공하여 사용자의 요청을 외부 서버로 대신 전달하고, 그 결과를 다시 사용자에게 전달한다.
방화벽 사용 시 이점은 다음과 같다.
- `외부 공격 차단`: 해킹, 악성 코드, 무단 접근 등 외부 위협으로부터 네트워크를 보호할 수 있다.
- `접근 제어`: 승인된 사용자나 IP, 포트만 접근이 가능하도록 설정할 수 있다.
- `트래픽 모니터링 및 로깅`: 들어오고 나가는 트래픽을 기록하여 보안 분석에 활용한다.
- `내부 정보 유출 방지`: 내부에서 외부로 나가는 민감한 데이터 흐름을 제어한다.
- `보안 정책의 일관된 적용`: 네트워크 전반에 걸쳐 통일된 보안 규칙을 적용할 수 있다.
방화벽 사용 시 고려해야 할 점은 다음과 같다.
- `정책 설정의 복잡성`: 잘못된 룰 설정 시 정상 트래픽도 차단할 수 있고 보안적으로 취약점이 생길 수 있다.
- `성능 저하 가능성`: 트래픽 검사로 인해 지연이나 속도 저하가 발생할 수 있다.
- `암호화된 트래픽 처리 한계`: HTTPS와 같은 암호화된 트래픽 내부까지 분석하기 어렵다.
- `단일 장비 의존 위험`: 방화벽 하나만으로 모든 보안을 담당하게 될 경우, 공격에 대한 방어 실패 시 전체 네트워크가 위험해질 수 있다.
- `정기적인 업데이트 필요`: 새로운 공격 방식이나 취약점에 대비해 방화벽 소프트웨어 및 룰 업데이트는 필수이다.
침입 탐지 시스템 (IDS: Intrusion Detection System)
침입 탐지 시스템은 네트워크나 시스템에서 발생하는 이벤트를 실시간으로 모니터링하여, 의심스러운 행위나 보안 위협을 탐지하고 관리자에게 경고하는 역할을 수행한다. IDS는 주로 트래픽을 분석하여 정상적인 패턴과 비교하거나 알려진 공격 서명과 대조함으로써 공격을 식별한다. 그러나 실제로 공격을 차단하지는 않으며, 단순히 탐지와 알림 기능에 중점을 둔다.
침입 방지 시스템 (IPS: Intrusion Prevention System)
침입 방지 시스템은 IDS와 유사하게 네트워크 트래픽을 모니터링하지만, 탐지에 그치지 않고 실제로 위험한 트래픽을 차단하거나 중단하는 능동적인 보안 장비이다. IPS는 실시간으로 의심스러운 행위를 식별한 후, 즉시 해당 연결을 차단하거나 패킷을 삭제하여 네트워크에 미치는 피해를 사전에 방지할 수 있다.
침입 방지 시스템은 방화벽과 유사한 기능을 하면서도 더 세부적인 공격 패턴을 분석하고 차단한다. 특히 제로데이 공격이나 비정상적 행위 기반 탐지 기능이 향상되면서, 현대 보안 시스템에서 중요한 역할을 담당하고 있다.
