해킹 유형 분류

Report
• 전자 회로나 컴퓨터의 H/W, S/W, N/W, Web등 각종 정보 체계가
본래의 설계자나 관리자, 운영자가 의도하지 않은 동작을 일으키도록
하거나 주어진 권한 이상으로 정보를 열람, 복제, 변경 가능하게 하는
행위를 광범위하게 이르는 말
출처 : http://ko.wikipedia.org
• 초기에는 개인의 호기심이나 지적 욕구의 바탕 위에 PC와 PC간의
N/W를 탐험하는 행위
• 이후 악의적인 행동이 늘어나면서 ‘다른 PC 시스템을 침입할 때
파괴적인 계획을 갖고 침입하는 행위’라는 부정적인 의미를 갖게 됨
• 현재 해킹이란 의미는 대체적으로 ‘어떠한 의도에 상관 없이 다른
PC에 침입하는 모든 행위'로 해석
출처 : http://ko.wikipedia.org
• Lamer
 해커는 되고 싶지만 경험도 없고 컴퓨터 관련 지식도 많이 없는 해커
• Script Kiddie
 N/W와 OS에 대한 약간의 기술적인 지식을 갖고 있는 해커
• Developed Kiddie
 대부분의 해킹 기법을 알고 있는 해커들
 새로운 취약점을 발견하거나 최근 발견된 취약점에 따라 코드 수정
• Semi Elite
 OS에 존재하는 특정 취약점을 알고 공격할 수 있는 해킹 코드 작성
• Elite
 해킹하고자 하는 시스템의 새로운 취약점을 찾아내고 해킹할 수 있는
최고의 수준
해커의 종류
동 기
비 고
단순 해커
전산망, 시스템 취약점 해킹
대부분의 해커
내부 불순분자 해커
개인, 집단의 이익과 동기
내부 직원
범죄적 해커
금전적 이익 추구
금융망 등 대상
테러리스트/그룹
개인, 그룹 등이 추구하는 이상
혼란, 파괴 목적
기업체 고용 해커
기업 이익 추구
기업 정보 유출
국가 고용 해커
경쟁국 등 정보 유출
국가 이익 추구
• 목적에 따른 분류
 시스템 자원의 불법적인 사용으로 또 다른 해킹에 위한 침입의 형태
 서비스가 불가능하도록 시스템 자원을 소진시키거나, 특정 호스트 또는
특정 N/W를 공격하는 서비스 거부(Denial Of Service) 형태
 “정보는 돈이다"라는 목적으로 정보의 도용 및 수집으로 수익 창출하려
는 목적으로 하는 형태
• 위치에 따른 분류
 지역적인 공격(Local Attack)
- 이미 시스템에 진입할 수 있는 자격을 가진 상태에서 루트(root)의
권한을 획득하는 것을 주목적으로 하는 해킹 방법을 사용
- 악성 프로그램 이용과 사회공학적인 방법
 원격 공격(Remote Attack)
- 버퍼 오버플로우(Buffer OverFlow) 공격 방법
- S/W 보안 버그 공격방법 : “rdist”
- 전자메일과 관련된 전자메일 폭탄, 스팸메일 공격등
• 정보수집 단계
 해킹 대상 정보시스템 혹은 N/W의 취약점을 분석하는 단계
 관계기관 질의, 포트 스캐닝을 통해 대상의 영역을 좁힘
 서비스 정보 및 취약점 정보 수집
 원격 서버의 OS에 관련된 정보 수집
• 불법적인 접근 단계
 정보시스템에 침입하여 일반 사용자에게 관리자의 권한을 획득하는
단계
 도청, 패스워드 추축을 통한 로그인
 방치해둔 패스워드 도용
• 루트 권한을 획득하는 단계
 원격에서 시스템에 침입하는 단계
 목표로 했던 호스트 내부에 잠입하여 관리자 권한 획득
 호스트 내부의 취약점 이용
• 백도어 설치 및 침입 흔적 제거
 해커가 다음에 다시 침입할 경우에 편의성을 위해서 백도어(Back-Door)
프로그램을 설치
 시스템에서 나가기 전에 접근기록 등의 로그파일을 삭제하여 침입 흔적
제거
• 사회 공학적 침입 수법(Social Engineering)
• 사용자 도용(Impression)
 스니퍼 해킹 프로그램
• 시스템의 취약점 공격(Exploits)
• 호스트 위장(Transitive Trust)
• 데이터에 의한 공격(Data Driven Attack)
 악성코드
• 구조적 공격(Infrastructure Attack)
 DNS Spoofing
• 서비스 거부 공격(Denial of Service Attack)
분 류
해킹 수법 예제
설 명
사회공학
전화를 걸어 위장
정당한 사용자로 속여 권한 요구
패스워드 크랙
패스워드 파일에서 패스워드 알아냄
패스워드 스니핑
네트워크 도청으로 ID와 패스워드 알아냄
신뢰하는 호스트로 위장
.rost, /etc/hosts.equiv 등에 불법 호스트 삽입
전자우편 취약점 이용
Sendmail 프로그램의 문제점을 이용한 경우로서,
패스워드 파일 전송, root 접근, 명령 수행 등
NFS 취약점
잘못 구성된 NFS를 불법으로 마운트
Wu-ftpd 문제
버그가 있는 버전
AIX rlogin 문제
Root로 패스워드를 묻지 않고 로그인
Lpr, ELM autoreply 문제
Root 프로세스의 작업 수행
Password 문제
임의의 파일 생성(./rhosts)
NCSA http 문제
임의의 외부 작업 수행, cgi 취약
Tftp 문제
패스워드 파일 전송 가능
NIS 문제
Yp 클라이언트의 rpc-ypupdated 수행시 문제
개인도용
호스트 위장
취약점 이용
분 류
해킹 수법 예제
설 명
해킹 프로그램
트로이 목마, Setuid,
Setgid, 백도어 등
시스템 내부에 설치하여 불법 권한을 얻거나
불법 작업 수행
SATAN, ISS, AutoHack
원격 호스트에서 보안 취약 부분 공격
IP Spoofing
원격 호스트에서 신뢰하는 호스트로 불법 접속
Mail storm
메일을 반복 전송, 디스크 용량 초과
Icmp 공격
라우팅을 교란하여 네트워크의 정상 운영 방해
구조적 문제
서비스 거부
해킹방지기술
설 명
관련 제품, 활동
전산망 방화벽
전산망 불법 침입 방지
방화벽 시스템
바이러스 방지
바이러스 침투 방지, 예방
바이러스 백신, 스캐너
침입 탐지 기술
침입 실시간 확인
IDES, RealSecure, NetStalker 등
접근 제어 기술
사용자와 자원간 통제
Multilevel Secure OS 등
향상된 사용자 인증 기술
강력한 사용자 신분 인증
SecureID
취약성 점검, 관리 기술
취약점 점검, 분석, 관리
ISS Suite, SATAN, OmniGuard 등
로그 감사 평가
시스템 부당 사건 감시 등
Tripwire, MD5 등
보안 컨설팅
보안성 진단, 설계
CSI, NCSA, SRI 등
침입자 분석, 추적 지원
침입흔적 분석, 추적지원
CERT, CIAC, ASSIST 등
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
출처 : KISA - Internet & Security Focus 2013 1월호
• 해킹 시도 대상의 관련 정보를 수집하는 사전 작업
 침입하기 위한 보안상 취약점, 도메인 이름, IP 주소, 침입 탐지 시스템
설치 여부, 사용자 목록, 시스템의 H/W 사양, 사용 중인 N/W 프로토콜,
인증 메커니즘 등
• 사회 공학, 즉 기술적인 해킹 공격, 신문, 게시판 등과 같은 여러 경로
를 통해 공격 대상의 정보를 모으는 방법
• 매우 다양한 기법이 있으며, 매우 넓은 범위가 포함
• 스캔은 서비스를 제공하는 서버의 작동 여부와 제공하는 있는 서비스
를 확인하기 위한 것
• TCP 기반의 프로토콜은 기본적으로 질의(Request)를 보내면 응답
(Respones)을 보냄
• 스캐닝은 이러한 기본적인 메커니즘을 기반 하는 것으로, 열려있는
포트, 제공하는 서비스, 동작중인 데몬의 버전, 운영체제의 버전,
취약점 등 다양한 정보를 얻어내는 것이 가능
• Ping of Deach
• UDP Open 스캔
 포트가 열려있을 경우, 아무런 응답이 없으며, 포트가 닫혀 있을 경우에는
ICMP Unreachable 패킷을 받게 됨
UDP 포트 스캔 : 열려 있는 경우
UDP 포트 스캔 : 닫혀 있는 경우
• TCP Open 스캔
 포트가 열려있을 경우, 세션이 성립되며, 포트가 닫혀 있을 경우에는
RST + ACK 패킷을 받게 됨
TCP Open 스캔 : 열려 있는 경우
TCP Open 스캔 : 닫혀 있는 경우
• Stealth 스캔
 포트가 열려있을 경우, 서버로부터 SYN + ACK 패킷을 받은 후,
RST 패킷을 보내어 연결을 끊음
 포트가 닫혀 있을 경우에는 Open 스캔의 경우와 같음
TCP Half Open 스캔 : 열려 있는 경우
TCP Open 스캔 : 닫혀 있는 경우
• Sniff의 사전적 의미는 ‘코를 킁킁거리다‘
• 스니핑은 코를 킁킁 거리듯 데이터 속에서 정보를 찾는 것
 랜 카드로 들어오는 모든 전기 신호를 읽어 들여 다른 이의 패킷을 관찰
 아무 것도 하지 않고 조용히 있어도 충분하므로 수동적(passive)공격이라
고함
• 스푸핑(spoofing)은 ‘속이다'는 의미
• 인터넷이나 로컬에서 존재하는 모든 연결에 스푸핑 가능
• 정보를 얻어내는 것 외에 시스템을 마비시킬 수도 있음
• 사용자와 컴퓨터, 또는 두 컴퓨터 간의 활성화 상태인 세션 가로채기
• TCP 세션 하이재킹
 서버와 클라이언트 통신 시 TCP의 시퀸스 넘버를 제어하는 데 발생하는
문제 공격
 서버와 클라이언트가 TCP를 이용해 통신하고 있을 때 RST 패킷을 보내
일시적으로 TCP 세션을 끊고 시퀸스 넘버를 새로 생성하여 세션을
빼앗고 인증을 회피하는 것
 트러스트를 이용한 세션은 물론 텔넷, FTP 등 TCP를 이용한 거의 모든
세션의 갈취 가능
 인증 문제를 해결을 위한 일회용 패스워드(OTP), 토큰 기반 인증을
이용한 세션도 갈취 가능
• DoS(Denial of Service, 서비스 거부)
 공격 대상이 수용할 수 있는 능력 이상의 정보를 제공하거나, 사용자
또는 N/W의 용량을 초과시켜 정상적으로 작동하지 못하게 하는 공격
- 파괴 공격 : 디스크, 데이터, 시스템 파괴
- 시스템 자원 고갈 공격 : CPU, 메모리, 디스크의 사용에 과다한 부하 증가
- 네트워크 자원 고갈 공격 : 쓰레기 데이터로 네트워크의 대역폭 고갈
• DDos(Distributed Denial of Service)
 DoS 공격의 업그레드판
• 패스워드로 보안화한 리소스에 접근하기 위해 툴을 사용하여 N/W,
시스템, 리소스로 침입하는 것
• 특징
 시스템에 대한 깊은 이해가 필요 없음
 현재 존재하는 대부분의 공격 기법에 사용될 수 있음
- 웹 해킹
- 관리자 권한 획득 공격
• 사전 침입(Dictionary Attack)
 머신에 진입하는 가장 빠른 방법
 사전 파일을 이용하여 크랙
• 합성 침입(Hybrid Attack)
 파일 이름에 숫자나 심볼을
추가하여 크랙
• 무작위 침입(Brute Force Attack)
 패스워드 복잡함 정도에 따라
작업 시간 좌우됨
• 프로그램의 동작과정을 역추적하여 프로그램의 설계 구조를
알아내는 것을 말함
• 리버스 엔지니어링을 통해 프로그램의 취약성과 버그를 새로운
코드로 덮어씌우는 패치를 수행
• 복사방지를 제거하거나 패스워드 허가를 무력화 시키는
크랙으로 이용
• 리버스 엔지니어링은 시스템의 보안성을 향상시키기도 하고
공격도구로도 사용될 수 있음
• 한정된 자원을 동시에 사용하려는 여러 개의 프로세스가 자원 위해
경쟁을 하는 현상을 이용한 해킹 기법
• 보통 SETUID가 걸려있는 파일을 일반 계정으로 공격
• 공격 방법
① 취약한 프로그램을 검색
②
프로그램이 실행하고 있을 때 임시 파일이 생성
③
임시 파일의 이름을 알아냄
④
임시 파일에 심볼릭 링크를 생성
⑤ 원본 파일을 삭제한채로 취약한 프로그램이 심볼릭 링크를 건 파일과
같은 파일을 생성
⑥
심볼릭 링크를 이용하여 파일 내용을 변경
⑦
시스템은 변경된 파일을 자신이 생성한 임시 파일로 오해하여 프로세서
를 실행시키고, 공격자는 Root 권한을 얻음
• C/C++ 컴파일러가 배열의 경계검사(Boundary Check)를 하지 않아
선언된 크기보다 더 큰 데이터를 기록함으로써 발생되는 현상
• OS가 스택이나 힙 영역에 임의의 데이터 기록 및 실행을 허용함으로
써 발생되는 현상
출처 : 한국정보보호교육센터(KISEC)
• Stack-Based Buffer Overflow
 스택 영역에 할당된 버퍼에 크기를
초과하는 데이터(실행 가능한 코드를)
기록하고 저장된 복귀 주소를 변경함으로써
임의의 코드를 실행
• Heap-Based Buffer Overflow
 힙 영역에 할당된 버퍼의 크기를 초과하는
데이터를 기록하거나 저장된 데이터 및
함수의 주소를 변경함으로써 임의의 코드를
실행
출처 : 한국정보보호교육센터(KISEC)
• 공격의 대상
 취약점이 있는 서버 데몬 및 시스템
관리 프로그램
 주로 root 소유의 setuid 프로그램
• 공격의 절차
1. 취약점 탐지 및 정보 수집
- OS, Program, Version, etc
- Exploit code from the well-known
security portal sites
2. 혹은 직접 Exploit 프로그램 작성
- 로컬 및 리모트 공격용 쉘 코드 작성
3. Let’s exploit
출처 : 한국정보보호교육센터(KISEC)
• 버퍼 오버플로우와 공격이 매우 흡사함
• 포맷 스트링의 버그를 이용해 메모리를 변조하여 공격하는 기술
• 포맷 스트링이란?
 C프로그래밍 언어에서 printf()함수를 사용할 때 버퍼의 저장된 데이터를
출력하는데 사용하는 ‘%d’ 와 같은 문자열을 포맷 스트링이라고 함
[right.c]
#include<stdio.h>
printf(buffe
r);
라면 잘못된
작성
main()
{
Char *buffer=“wishfree”;
printf(“%s\n”, buffer);
}
• 시스템 설계자/관리자에 의해 고의로 남겨진 시스템 보안 취약점으로
응용프로그램이나 OS에 삽입된 프로그램 코드
• 크래커가 시스템에 침입 후 자신이 원할 때 침입한 시스템을 재침입
또는 권한 취득을 위한 일종의 비밀통로
• 백도어는 시스템에 접근에 대한 사용자 인증 등 정상적인 절차를
거치지 않고 응용 프로그램 또는 시스템에 접근 가능
• 초기에는 주로 시스템에 문제가 생겼을 경우, 쉽게 시스템에 접속하기
위해 시스템 관리자나 프로그래머 등의 관리자가 의도적으로 만들어
놓은 비밀 통로였으나, 이후 크래커들에 의해 악의적인 목적으로 사용
• 서버의 셸을 얻어낸 뒤 관리자로 권한 상승을 할 때 사용하는 백도어
• 시스템 로그인한 뒤 관리자로 권한을 상승 시키기 위한 백도어로
일반 계정이 하나 필요함
• 원격에서 관리자로 계정과 패스워드를 입력하고 로그인한 것처럼
바로 시스템의 관리자 계정을 사용할 수 있는 백도어
• N/W에 자신의 포트를 항상 열어놓는 경우가 많음. 일종의 서비스를
제공하는 데몬처럼 동작하는 것임
• 프로토콜의 변형된 형태를 이용하는 발전된 형태의 백도어는 TCP,
UDP, ICMP 프로토콜 중 아주 일부분을 효과적으로 이용
• 백도어 크기가 크고, 많은 데이터를 전송해 노출이 쉬움
• 주로 윈도우용 원격 관리용 툴인 경우가 많음
• 악용될 소지는 있음
• 인증 회피 백도어는 아님
• 원격지 공격자에게 인증에 필요한 패스워드를 보내줌
• 침입자들은 패스워드 크래킹을 사용하여 획득한 패스워드를 어려운
패스워드로 바꿈
• 해커가 원하는 대로 시스템의 설정을 변경
• 공격자는 백도어 셸 프로그램을 cronjob에 추가하여 관리자가
접속하지 않는 새벽 시간에 구동
• Cronjob에서 합법적인 프로그램으로 가장
• Cronjob
 윈도우 서버의 “예약된 작업"과 마찬가지로 리눅스 서버에서 사용하는
주기별이나, 특정 시간을 기준으로 예약된 프로그램을 실행할 수 있는
스케줄러의 일종
• 자기 복제 없음
• 사용자 정보 유출을 일으키는 악성 프로그램의 일종
• 백도어 목적으로 만들어진 프로그램은 아니지만 백도어로 동작 하는
경우
• 응용 프로그램에 섞여 있어 원래 목적의 프로그램이 정상적으로 실행
되면 동시에 백도어도 설치됨
• 시스템을 패치 / 업그레이드 할 때 잘못된 파일을 설치하는 경우
• 원하지 않은 업그레이드를 강제로 하는 경우
• 성인 사이트 접속 시 사용자의 시스템이 통제 할 수 없는 상태에서
여러 가지 프로그램이 설치 되는 경우
이란?
•
 1999년부터 인터넷 검색 서비스를 시작한 현재 세계에서 가장 크고 빠른
검색 엔진
 40억 페이지 이상 보유
 1일 2억번 이상 검색 결과 제공
 다양한 구글의 검색 기능은 사용자가 원하는 정보를 매우 신속하고
정확하게 제공
 2003년 이후 인터넷 검색엔진이 지능화되면서 시스템의 주요 정보,
민감한 데이터의 접근 경로까지 검색 제공
• 구글의 위험성
 전세계적으로 구글 검색이
범죄에 이용되고 있음
 가장 대중적인 해킹 도구로
인식
• 구글 검색 기초
 다양한 검색 옵션으로 사용자가 원하는 결과를 보다 정확하게 검색
• 구글 검색 기초
 단어나 문장을 활용한 검색 기능 이외에 상세 옵션을 줄 수 있음
 다중 옵션을 제공하여 검색 결과를 세부적으로 필터링 가능
 검색 옵션은 소문자이며 검색 문자열 사이에 빈 공간이 없어야 함
• XSS 공격은 사용자의 세션ID와 쿠키값을 훔쳐내어 권한을
훔치는 기법
• 공격에 사용되는 대상 스크립트나 언어는 “JavaScript”, “VBScript”,
“ActiveX”, “HTML”, “Flash”가 있음
• XSS 공격 유형으로는 반사 XSS(Reflected XSS)와 영구적 XSS(Stored)
가 있음
• 반사 XSS 공격은 URL의 CGI 인자에 스크립트 코드를 삽입하는 것
1.
공격자가 이메일을 이용해 웹 페이지 링크를 보냄
2.
링크를 전달 받은 사용자가 링크를 클릭하면 그 링크에 대한 웹 페이지
가 로드
3.
로드된 웹 페이지에 대한 링크 URL에 삽입된 스크립트 코드가
실행되면서 웹 페이지 내용이 변경
• 영구적 XSS는 메시지 입력 부분, 방명록, 댓글 등을 남기기 위해
사용자가 입력하는 부분(FORM 필드)에 악의적인 스크립트를
저장하고 후에 어떤 사용자가 해당 스크립트가 웹 페이지에
로드 되면서 실행되는 것
• SQL 서버의 인스턴스에 전달된 문자열에 악의적인 코드가 삽입되는
공격
• DDL 하이재킹은 윈도우 기반의 어플리케이션이 DLL을 로딩할 때 DLL
의 경로가 지정되지 않아서 발생하는 취약점임
• 만약, 명시된 DLL과 동일한 이름의 DLL이 보다 높은 검색 순서에 해당
하는 디렉토리에 존재한다면, 원래 실행되어야 하는 DLL 대신 실행
• 이점을 공격자가 악용하여 자신이 원하는 DLL을 실행할 수 있음
(권한 상승 효과)
출처 : http://www.ahnlab.com
• 다른 사용자의 쿠키 값을 가로채 로그인 된 사용자의 이메일이나
웹 페이지를 훔쳐보는 기술
• 악성 코드가 삽입 파일을 실행하면 정상적으로 문서가 열리면서 몰래
삽입한 악성코드가 실행
• 특히 많이 취약한 곳이 공개된 무선 랜
• 이 공격은 일종의 MITM(Man In The Middle) 공격으로써, HTTP
웹 페이지에 생성하는 HTTPS 페이지로부터의 리다이렉트나 링크를
HTTP로 변환함으로써 SSL을 사용하지 않도록 하는 공격
 ARP 스푸핑이 먼저 공격을 통해서 이루어짐
사용자
사용자
서버
공격자
서버
• 버퍼 오버플로우 기법을 이용해 악성 파일을 만들어 배포
• 악성 코드가 삽입 파일을 실행하면 정상적으로 문서가 열리면서 몰래
삽입한 악성코드가 실행
그림 출처 : http://innonext.tistory.com/16
그림 출처 : http://cybercafe.tistory.com/277
• 모의해킹 목적은 DMZ 구간에 위치하고 있는 중요 정보 시스템을
대상으로 “외부 모의 해킹”을 실시하여 기술적 보안 취약성을
진단하고 개선방안을 마련함에 있음
• PTES(Penetration Testing Execution Standard)는 모의 해킹 업무를
수행하는 초보자와 경험자를 모두 만족시키는 방향으로 개정됐고,
일부 보안 단체가 해당 표준안을 채택함
• 모의 해킹의 약관과 범위를 고객과 논의하는 과정
• 사전 계약 기간에는 계약 목표를 고객에게 잘 전달하는 것이 중요
• 고객에게 계약 기간 동안 무엇을 할 수 있고, 무엇이 테스트돼야 하는
지에 대해 제한하지 않고, 전체 모의 해킹 범위를 알려 줄 수 있음
• 소셜 미디어, 구글 해킹, 풋 프린팅 같은 공격을 이용해 기업의 정보를
수집하는 과정
• 이 단계에서는 대상을 식별할 수 있는 모의 해킹 전문가가 필요
• 주 목적은 공격 대상의 역할과 동작 방식을 파악한 후 이를 고려해
강력한 공격 방법을 선정
• 대상에 대해 수집한 정보는 시스템의 보안 수준을 알 수 있는 귀중한
자료가 됨
• 시스템 파악을 방해하는 보호 메커니즘을 식별하고 여러 IP를
사용하여 대상의 보안 시스템의 행동을 테스트
• 정보 수집 단계가 가장 많은 시간과 노력을 투자해야 하는 단계
• 정보 수집 단계에서 파악된 정보를 이용해 대상 시스템에 존재
할 수 있는 취약점을 식별하는 단계
• 진단 대상 기관을 공격하기 위해 수집한 정보를 종류에 따라 분류한
후 가장 효과적인 공격 방법을 결정
• 공격할 취약한 지점을 선정하는 과정도 포함
• 이전 과정에서 식별한 가장 성공률이 높은 공격 방법으로 어떻게
대상을 접근할 것인지를 고려하는 과정
• 이전 단계에서 획득한 정보를 통합하고 이를 이용해 실행 가능한
공격 방법이 무엇인지를 이해할 수 있음
• 정보 수집 과정에서 획득한 정보, 배너 정보, 취약점 스캔, 사용자
계정 같은 정보도 이용함
• 모의 해킹에서 가장 매력적인 부분으로 침투의 정확도를
높이기 보다는 무작위 대입처럼 문제점을 찾는 데 중점을 둠
• 특정 지점의 공격 성공 가능성이 높다고 판단되면 침투 수행을 시도
• 모의 해킹 전문가가 찾아낸 취약점을 공격에 활용하는 것을 방지하기
위해 예상치 못한 방어 대책을 적용할 수도 있음
• 성공적인 진단을 하려면 모의 해킹 전문가가 구축한 자체 시스템에서
먼저 침투를 시도해보고, 성공한 것에 한해 잘 연구된 익스플로잇을
만들어야 함
• 여러 시스템을 감염시킨 다음에 진행하는 단계로, 아직 모의 해킹이
완료된 상태는 아님
• 이 단계는 모의 해킹에서 가장 중요한 부분으로서 실질적 가치를 지닌
정보와 모의 해킹에서 얻은 정보를 바탕으로 모의 해킹 전문가의
능력이 발휘되는 과정
• 포스트 익스플로잇 대상은 중요 인프라의 특정 시스템에 존재하는
높은 보안성을 지닌 중요 데이터나 정보이며, 공격 방식은 가장 높은
효과를 발생시킬 수 있는 것을 선택
• 보고서 작성 단계는 모의 해킹에서 가장 중요한 단계
• 무엇을 어떻게 진행했고, 가장 중요한 것은 무엇이며, 발견된 취약점
을 어떻게 고쳐야 하는지 작성
• 기관 내 IT 팀이나 보안 팀이 내부 시스템을 알려주고, 모의 해킹
전문가는 시스템의 잠재적 보안 위협을 식별하는 작업
• 장점
 모의 해킹 전문가가 공격할 때 자신의 IP가 차단 되지 않으며, 기관 내부
시스템의 정보를 얻은 상태에서 진행할 수 있음
 정보 수집할 필요가 없음
• 단점
 고객사의 사고 대응 프로그램을 효과적으로 평가할 수 없으며
공격 탐지율도 평가할 수 없음
• 기관에 비공개적으로 승인된 모의 해킹
• 장점
 보안 팀이 예상하지 못한 취약점을 발견 할 수 있음
 사고 대응 프로그램과 공격 탐지율을 효과적으로 평가할 수 있음
• 단점
 많은 시간과 투자가 필요
• 우분투 리눅스 기반으로 제작
• 각종 해킹 프로그램이 포함
• 최신 버전은 2012년 8월 13일에 출시된 BackTrack5 R3
(2013/3/26 기준)

similar documents