2021직무교육 랜섬웨어 예방 및 사이버 보안의 첫 걸음 - 전사원을 교육하라

백도어(BACKDOOR)의 개념

사용자 모르게 감염 pc 에 원격으로 접속하여 악의적인 명령을 전달하고 수행하는 악성코드

애드웨어는 원치 않는 광고를 사용자에게 보여준다

 

개인이 공격의 목표가 되는 이유

1. 금전적인 이유

2. 개인 정보 탈취

3. 개인의 pc 를 좀비로 만들어서 다른 해킹에 이용

 

사이버 공격자의 목표가 되는 경우는 사이버 보안은 투자 운선 순위가 낮다고 판단하는 기업이다. 사이버 보안은 현대 비지니스의 연속성을 위해서 반드시 필수적인 요소이다.

 

백신 소프트웨어가 있음에도 불구하고 보안 사고가 계속 발생하는 이유는 매일같이 발견되는 모든 악성코드에 대응하기가 불가능하기 때문이다.

 

바이러스 백신 소프트웨어는 알려 지지 않은 새로운 형태의 악성코드를 예측하여서, 탐지 및 차단할 수 없는 이유는 패턴 기반의 탐지 방식을 사용하기 때문이다.

 

샌드박스 기술에 대한 설명

1. 사용자의 pc 환경과 거의 유사한 가상의 pc 환경 구현

2. 사용자에게 파일을 전달하기 이전에 먼저 실행해봄

3. 가상의 pc 환경에서 나타나는 행위를 보고 악성 여부를 판단함

 

머신러닝을 통한 사이버 보안 기술에 대한 설명

1. 이제까지 발견되었던 수천만개 이상의 악성코드의 데이터를 기반으로 함

2. 악성코드에 대한 데이터를 통해 기계학습을 수행

3. 기존에 발견되었던 악성코드에서의 일반화된 내용을 기반으로 앞으로 나올

 

악성코드를 예측 및 대응함 해킹의 전체 과정에서 악성코드는 초기침투에서만 사용된다.

 

차세대 백신의 조건

1. 실시간 탐지와 위협 차단

2. 인텔리전스 정보 제공

3. 공격자 행위에 대한 실시간 포렌식 조사

 

워터링 홀 공격에 대한 방어가 어려운 이유

1. 사용자가 접속하는 모든 웹사이트에 대한 검증이 필요하기 때문이다.

2. 모든 트래픽에 대한 검사는 실시간으로 이루어져야 하기 때문이다.

3. 사용자의 트래픽을 전부 수집하여 분석해야하기 때문이다.

 

워터링홀 공격 수행 과정

1. 해커에 의해서 정상으로 분류된 웹사이트가 해킹 됨.

2. 해킹된 웹사이트에서 익스플로잇에 의한 악성코드 유포

3. 감염된 pc 에서 해커의 명령제어 서버로 접속

 

익스플로잇 공격에 대한 방어를 위한 방법

1. 소프트웨어 최신 패치

2. 의심되는 url 바이러스 토탈로 확인

3. 샌드박스 머신러닝등 최신 기술 이용

 

워터링홀 공격이 방어하기 어려운 이유

1. 제로데이 및 알려지지 않은 취약점 탐지의 어려움

2. 사용자 트래픽의 전수 수집의 어려움

3. 사용자 트래픽의 실시간 검사의 어려움

 

버라이즌의 보고서에 따르면, 이메일의 첨부파일이 해킹 사고에서 가장 널리 사용되는 공격기법으로 조사 되었다.

 

악성코드 해당하는 것

1. 바이러스(VIRUS)

2. 웜(WORM)

3. 트로이목마(TROJAN HORSE)

 

CREEPER VIRUS가 1972년에 발견된 최초의 악성코드로 불린다.

 

VIRUS에 대한 설명

1. 정상 파일 변조

2. 숙주 역할의 파일이 필요

3. 정상파일에 악의적인 코드 삽입

 

WORM 바이러스가 자신을 전파하는 수단

1. 네트워크

2. 이메일

3. usb

 

사이버 공격에 있어서 개인도 안전하지 않은 이유

1. 금전적 피해를 볼 수 있기 때문에

2. 좀비 pc가 될 수 있기 때문에

3. 개인이 속한 기업이나 기관이 공격 당할 수 있기 때문에

 

트로이목마 악성코드에 대한 설명

1. 자기 복제 기능 없음

2. 가장 종류가 다양

3. 정상적인 프로그램으로 위장

 

패턴기반의 기술이 적용된 보안 솔루션에 해당하는 것

1. 침입방지 시스템(ips)

2. 안티바이러스(백신)

3. 차세대 방화벽

 

샌드박스 회피 기술에 사용되는 방법

1. 실행되는 프로세스 확인

2. 사용자의 움직임 확인

3. 잠복기를 통한 방법

 

샌드박스 기반 솔루션 도입시 고려해야할 점

1. 수백개의 파일에 대한 빠른 분석

2. 분석이 가능한 파일 사이즈

3. 다양한 프로그램의 지원

 

차세대 백신에 포함되는 기능

1. 기존의 백신 기술을 토대로 탐지력을 발전 시킴

2. 행위기반, 머신러닝 등의 첨단 기술을 적용

3. 실시간 침해 조사 기능 제공

 

취약점(VULNERABILITY)에 해당 되는 것

1. MS OFFICE 소프트웨어에 대한 취약점

2. 한컴 오피스에 대한 취약점

3. 브라우져에 잠재되어 있는 취약점

 

워터링홀 공격의 진행과정

1. 익스플로잇 코드 실행

2. 악성코드 다운로드 및 실행

3. 해커의 서버로 접속(콜백)

 

공격자가 가장 약한 고리를 노리는 이유는 쉬운 방법과 노력만으로 원하는 것을 얻 을 수 있기 때문이다.

 

목표가 되는 사용자에 대한 자세한 정보를 기반으로 사회공학적 기법을 적용하여서 공격을 수행하기 때문에 스피어피싱 공격이 점점 더 방어가 어려워지고 있다.

 

바이러스 토탈

1. 구글이 운영

2. 무료

3. 웹사이트주소는 WWW.VIRUSTOTAL.COM이다.

 

크롬의 세이프 브라우징

1. 구글에 의해서 제공

2. 무료

3. 크롬 브라우져에서 제공

 

스피어 피싱을 방어하기 위한 기본적인 주의 사항

1. 의심되는 이메일은 열어보지 말것

2. 이메일에 포함된 url 클릭시에 주의 할것

3. 백신 소프트웨어의 자동검사 기능을 활성화할 것

 

여러개의 웹메일을 사용해서 필터링 하는 방법이 효과적인 이유는 각각의 웹메일들이 사용하는 필터링 엔진을 중복해서 사용하기 때문이다.

 

중소기업을 위한 클라우드 기반의 스피어피싱 이메일 방어 솔루션에 대한 설명

1. 스팸필터링과 악성코드 탐지 기능을 함께 제공

2. 클라우드 기반의 구현을 통해서 합리적인 가격 제공

3. 1인당 연간 백신 소프트웨어와 비슷한 가격 책정

 

우리가 받는 이메일 중에서 20%만이 정상적인 이메일이다.

 

ddos 공격을 인지할 수 있는 방법

1. 네트워크 대역폭 모니터링

2. 시스템 자원 모니터링

3. 웹서버 접속 로그 확인

 

중소기업이 사용하기에 적합한 ddos 대응 방안 kisa의 사이버 대피소이다. kisa 의 사이버 대피소는 무료이면서 편하고 매우 강력한 방법이다.

 

디도스로 인해서 생기는 피해

1. 사이트 접속 불가

2. 외부 서비스 불가

3. 비지니스의 금전적 손해

 

DDOS 공격의 약자는 DDOS DISTRIBUTED DENIAL OF SERVICE이다.

 

DDOS 공격의 특징

1. 해커가 좀비 pc들을 동작 시킴

2. 네트워크 인프라 공격

3. 대역폭 공격

 

DDOS 공격과 악성코드의 연관성

1. 해커는 악성코드를 유포 시켜서 다수 사용자의 pc를 감염 시킴

2. 해커는 가능한 많은 수의 좀비 pc를 확보한 이후에 명령제어서버(c&c)를 통해

서 원하는 목표로 공격 명령을 내림

3. 수많은 좀비 pc들이 한번에 표적으로 공격을 수행함

 

다음 중 랜섬웨어에 대한 설명

1. 주로 이메일 및 웹접속을 통해서 감염

2. 감염시 문서 파일들을 암호화

3. 비용을 지불하여서 복호화키를 제공

 

랜섬웨어의 이름

1. CRYPTOlOCKER

2. CRYPTOWALL

3. WANNACRY

 

랜섬웨어에 감염된 파일은 비대칭 암호화키를 사용하는 경우에 복구가 불가능하다.

 

랜섬웨어의 99%는 웹서핑과 이메일을 이용해서 대부분 감염된다.

 

랜섬웨어의 피해를 줄이기 위해서 필요한 조치

1. 소프트웨어의 최신 패치

2. 백신 소프트웨어의 최신 패치

3. 스마트 백업

 

소프트웨어를 항상 최신 버젼으로 유하는 것이 랜섬웨어 예방에 도움이 된다. 대부분의 랜섬웨어는 알려진 취약점을 이용한 공격을 하기 때문이다.

 

랜섬웨어에 감염된 pc가 나왔을 경우에 기업 보안 담당자는 내부 보안 시스템에 취약한 부분이 있다는 점을 알아야 한다. 랜섬웨어에 감염된 pc가 있다는 사실은 내부에 취약한 부분이 있다는 의미이다.

 

지능형 지속 위협은 큰 피해를 발생시키는 해킹 유형이므로 복구에 매우 큰 비용이소요된다.

 

지능형 지속 공격의 실제 사례

1. 미국의 유통사 타겟의 정보 유출

2. 소니픽쳐스 해킹 사고

3. 3/20 해킹 피해 사고

 

지능형 지속 위협에 대응하기 위해서 기업의 직원들이 준수해야할 사항

1. 비업무 사이트의 접속을 줄인다.

2. 이메일을 보낸 사람을 확인한 후에 열어본다.

3. 사고 발생시에 즉각 보안 담당자에게 알린다.

 

edr은 ENDPOINT DETECTION & RESPONSE의 약자이다.

 

지능형 지속 위협을 탐지하는데 까지 평균 소요되는 시간은 143일이다.

 

지능형 지속 위협을 탐지하고, 치료하는데 소요되는 평균 소요되는 시간은 123일이다.

 

apt의 p는지속적인 공격을 한다는 의미에서 PERSISTENCE 를 의미한다.

 

망분리 솔루션의 동작 방식

1. 인터넷망과 업무망을 분리한다.

2. 인터넷망과 업무망간의 자료 전송을 위해서 망연계시스템을 사용한다.

3. 망연계 구간에서 파일을 전송할때 백신으로 검사한다.

 

소프트웨어의 최신 패치로 얻는 장점

1. 별도의 비용 없이 알려진 취약점에 대한 대응이 가능

2. 타솔루션의 도입 여부와 상관 없이 적용 가능

3. 대부분의 알려진 익스플로잇에 예방 가능

 

지능형 지속 위협에 대응하기 위해서 기업이 준수해야할 사항

1. 보안 솔루션에 대한 지속적인 투자를 한다.

2. 사고 발생시에 대비한 메뉴얼을 작성한다.

3. 보안 솔루션을 항상 최신의 상태로 유지한다.

 

지능형 지속 위협에 대응하기 위해서 기업이 반드시 명심해야할 사항

1. 침해는 발생할 수 있다.

2. 기계가 알아서 모든것을 해줄 수는 없다.

3. 실제 사이버 공격의 과정을 이해한다.

 

지능형 지속 위협이 발생하였을때, 직접적인 피해

1. 복구 비용

2. 손실 비용

3. 피해 보상

 

지능형 지속 위협이 발생하였을때, 간접적인 피해

1. 감사대응

2. 언론대응

3. 법적대응

 

지능형 지속 위협이 발생하였을때, 잠재적인 피해

1. 기업 신뢰도 하락

2. 인사조치

3. 주가 하락

 

epp는 eNDPOINT pROTECTION pLATFORM의 약자이다.

 

기존 epp 솔루션 중에서 패턴기반(시그니쳐 기반)의 방어 솔루션

1. ANTI VIRUS

2. HOST FIREWALL

3. HOST ips

 

공격 과정에 있어서 권한상승 이후에 내부 정찰을 통해서 목표물을 확보한다.

 

악성코드 이름은 위협정보(INFORMATION)에 해당한다.

 

공격 그룹에 대한 세부적인 정보등이 제공되는 것이 위협 인텔리전스이다.

 

글로벌 연구기관인 PONEMON에서는 81%의 응답자가 향후 보안 조직에서 향후 보안조직에서 탐지 및 대응을 수행하게될 것이라고 응답하였다.

 

초기침투 단계에서 악성코드를 이용한 공격이 수행된다.

 

4차 산업혁명은 지능 혁명이라고 불린다.

 

4차 산업혁명의 핵심 기술

1. 인공지능

2. 사물인터넷

3. 빅데이터

 

자율주행차의 시대가 해커로부터 안전하지 않은 이유는 자동차에 포함된 다양한 센서가 해킹 될 수 있기 때문이다.

 

4차 산업혁명을 대비한 핵심 보안 체계의 요소

1. 클라우드

2. 빅데이타

3. 머신러닝

 

4차 산업혁명을 대비한 보안의 핵심 요소로써 클라우드가 포함되는 이유

1. 지리적인 제약을 없애줌.

2. 물리적인 제약을 없애줌

3. 사물 인터넷 환경에 최적화

 

4차 산업혁명을 대비한 보안의 핵심 요소로써 빅데이타가 포함되는 이유

1. 수집되는 모든 로그에 대한 분석

2. 수집되는 모든 보안 이벤트의 상관 관계 분석

3. 공격의 의도를 파악해서, 잠재적인 위협에 대응

 

4차 산업혁명을 대비한 보안의 핵심 요소로써 머신러닝이 포함되는 이유

1. 방대한 데이타를 기반으로 스스로 학습

2. 학습된 정보를 기반으로 잠재적인 위협에 대응

3. 보안 위협에 대한 자동화 프로세스를 제공

 

4차 산업혁명 시대에 보안의 체계가 발전해야 될 모델

1. 인텔리전스 기반의 자동화

2. 머신러닝의 강화

3. 빅데이타 분석