정보시스템 감리 기출해설/보안 해설

(제 24회) 보안 / (117)~(118) 해설

아이티신비 2024. 8. 29. 09:00

117. 다음 중 스니핑 공격에 대한 설명으로 가장 적절하지 않은 것은?

 

① 스위치 재밍(Switch Jamming) 공격은 위조된 MAC 주소를 지속적으로 네트워크에 흘려보내 스위치의 주소 테이블을 오버플로우 시키는 공격이다.

② ARP Redirect 공격은 위조된 ARP 응답을 브로드 캐스트 방식으로 보내서 네트워크상의 다른 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격이다.

③ ARP 스니핑 공격은 네트워크 계층에서 통신하는 서버와 클라이언트의 IP 주소를 공격자의 IP 주소로 속이는 공격이다.

④ ARP를 이용한 스니핑 공격 탐지 방법은 위조된 ARP Request를 보내서 ARP Response를 탐지한다.

 

▣ 스위치 기반 스니핑 공격

 
공격기법
설명
스위치 재밍
(Switch Jamming)
  • 스위치 MAC Address Table의 버퍼를 오버플로우 시켜 스위치가 허브처럼 만드는 공격기법(스위치의 Fail-Open 특성을 이용)
Fail-Close
(Ex) 방화벽
ARP 스푸핑
(Spoofing)
  • 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속적으로 전송해 희생자의 ARP Cache Table 에 특정 호스트의 MAC정보가 공격자의 MAC 정보로 변경
희생자들이 스니핑을 인식하지 못하고 정상적인 통신이 될 수 있도록 IP Forward 기능 활성화
ARP 리다이렉션(Redirection)
  • ARP 스푸핑 공격의 일정으로 로컬 네트워크의 모든 호스트의 ARP Cache Table 에 라우터(게이트웨이)의 MAC정보가 공격자의 MAC정보로 변경이 되도록 하는 공격기법
ICMP리다이렉트
(Redirect)
  • ICMP Redirect 메시지는 호스트-라우터 또는 라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메시지
  • 특정 IP 또는 IP 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 희생자에게 전송함으로서 희생자의 라우팅 테이블을 변조하여 패킷을 스니핑하는 공격기법
스위치의 SPAN/Port Mirroring
  • SPAN/Port Mirroring 기능은 스위치 통과하는 모든 트래픽을 분석할 수 있는 기능으로 관리적인 목적으로 사용하지만 공격자가 물리적으로 해당 포트에 접근할 수 있다면 손쉽게 패킷을 스니핑 가능

● 스니핑 방어

  • 유인(Decoy) 을 이용한 탐지 : 관리자가 가짜 ID와 패스워드를 네트워크에 계속 뿌리고, 공격자가 이 ID와 패스워드를 이용하여 접속을 시도할 때 시니퍼를 탐지하는 방법

 

  • ARP 를 이용한 탐지 : ping 과 유사한 방법으로 위조된 ARP Request를 보냈을 때 ARP Response 가 오면 프로미스큐어스 모드로 설정되어 있는 것이다.

 

  • ping 을 이용한 탐지 : 네트워크에 존재하지 않는 MAC 주소로 위장하여 ping을 보냈을 때, ICMP Echo Reply 를 되돌려 보내는지를 모니터링하여 탐지하는 방법

 

  • ARP Watch 를 이용한 탐지 : MAC 주소와 IP 주소의 매칭 값을 초기에 저장하고 ARP 트래픽을 모니터링하여, 이를 변하게 하는 패킷이 탐지되면 알려주는 툴인 ARP Watch 를 이용하여 탐지하는 방법

 

  • arp -a : arp -a 명령어 이용해 서로 다른 IP 주소에 동일 MAC 설정여부 확인

(대응방법) arp -s IP address Mac address

- ARP 캐시를 정적(static)으로 설정하여 ARP 응답(reply)을 수신해도 캐시 저옵를 갱신하지 않도록 설정

 

정답 : ③

 

 

118. 다음 중 애플리케이션 취약성을 이용한 공격과 가장 거리가 것은?

 

① 버퍼 오버플로우 공격

② SQL 인젝션 공격

③ 레인보우 테이블 공격

④ 원격 코드 실행 공격

 

▣ 전자정부 SW 보안 약점

 
구분
내용
주요항목
입력데이터 검증 및 표현
  • 프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점
  • SQL 삽입
  • 크로스사이트 스크립트 등
보안 기능
  • 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 적절하지 않게 구현 시 발생할 수 있는 보안약점
  • 부적절한 인가
  • 취약함 비밀번호 허영 등
시간 및 상태
  • 동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생 할 수 있는 보안 약점
  • TOCTOU
  • 종료되지 않는 반복문 또는 재귀함수 등
에러처리
  • 에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보(시스템 등)가 포함될 때 발생할 수 있는 보안약점
  • 오류 메시지 정보노출
  • 부적절한 예외 처리 등
코드오류
  • 타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩 오류로 인해 유발되는 보안약점
  • Null Pointer 역참조
  • 신뢰할 수 없는 데이터의 역직렬화 등
캡슐화
  • 중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을때 인가되지 않은 사용자에게 데이터 누출이 가능해지는 보안약점
  • 제거되지 않고 남은 디버그 코드
  • 시스템데이타정보누출 등
API 오용
  • 의도된 사용에 반하는 방법으로 API 를 사용하거나, 보안에 취약한 API 를 사용하여 발생할 수 있는 보안약점
  • DNS lookup 에 의존한 보안결정
  • 취약한 API 사용

<문제풀이>

  • 레인보우 테이블 공격은 패스워트 crack 공격

 

정답 : ③

 






 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥