네트웍 보안은 복잡한 주제이며, 그런 관계로 보통 경험많은 전문가의 영역으로 다루어져 왔었다. 또한 1990년대 후반까지도 네트웍환경은 일반인이 쉽게 접할수 있는 그러한 환경이 아니였음으로, 더더욱 일반인이 보안에 신경쓸필요는 없었다. 그러나 네트웍환경이 일반인들도 쉽게 경험할수 있는 일반적인 영역으로 들어서면서 일반인들 조차도 네트웍보안에 신경써야 하는 시대가 되었다. 하물며 프로그래머나 시스템 관리자는 더 말할 나위도 없을것이다.

이 문서는 일반 컴퓨터 유저와 시스템관리자, 프로그래머에게 보안의 기본적인 내용을 설명하기 위한 목적으로 만들어 졌다. 여기에는 risk 관리, 방화벽, IDS, network 위협, 특별한 목적으로 만들어진 보안관련 네트웍 장치들에 대한 소개를 포함하고 있다.

그러나 이 문서 하나로 설명하기에는 양이 너무 많음으로 이번 문서에서는 개념적인 설명만 하도록 하겠다. 다음 문서에서는 방화벽, IDS 에 관한 설명과, 보안관련 몇가지 툴들 과 패킷캡쳐라이브러리(libpcap)를 통한 실질적인 패킷켭쳐방법등에 대해서 알아볼것이다.

2절. 네트웍 소개

2.1절. 네트웍 이란 무엇인가

Network 의 Net 는 "망" 을 나타내며 흔히 통신망이라고 부르며, 유/무선으로 망상으로 상호연결된 시스템을 말한다. 컴퓨터 네트웍이란 컴퓨터끼리 상호연결(interconnected)된 상태를 말한다. 그럼 어떻게 별 상호연관성이 없어 보이는 컴퓨터끼리 연결을 해서 통신을 할수 있게 되는지 알아보도록 하겠다.

네트웍 소개 에서 설명하는 내용은 이미 몇번에 걸쳐서 논의된 주제임으로 가벼운 마음으로 읽을수 있을것이다. (아마 UUCP 정도가 좀 생소할수 있을것이다.)

2.2절. ISO/OSI 참조 모델

ISO(International Standards Oraganization)은 네트웍상의 호스트간 통신을 정의하기 위해서 7개의 계층(Layer)으로 된 OSI 참조 모델 이라는 표준을 발표했다.

그림 1. OSI 참조모델

OSI 는 위의 그림에서 처럼 7개의 계층으로 이루어졍 있으며, 각각의 레이어는 서로 독립적으로 서비스를 제공할수 있다. OSI 7계층의 가장 아랫부분은 Physical 계층으로 이더넷 카드와 같은 물리적 연결과 관련된 서비스를 정의하기 위해서 사용한다.

위의 그림에서 처럼 계층을 나눈 이유는 각각의 계층에만 신경쓰면서 어플리케이션을 개발가능하도록 하기 위한 목적이다. 예를들어서 이더넷제작자는 상위 6개의 레이어에 대해서는 신경쓸 필요 없이 Physical 레이어에 있는 규약에만 신경쓰면서 제품을 제작하면된다. 만약 웹브라우저를 제작한다고 하면, 프로그래머는 Application 레이어와 Presentation 레이어정도만 신경써주는 정도로 어플리케이션의 제작이 가능할것이다.

3절. 네트웍의 종류와 보안

여기에서는 가장 널리쓰인다고 생각되는 UUCP와 TCP/IP 에 대해서 알아볼것이다.

3.1절. UUCP

UUCP(Unix to Unix CoPy)라는 이름에서 연상할수 있듯이 이 프로토콜은 순전히 UNIX 호스트끼리의 연결을 위해서 만들어진 프로토콜이다. 초기의 유닉스들은 이 프로토콜을 이용해서 파일복사, 명령어 실행등의 작업을 수행했다. 이 프로토콜은 꽤 대중화된 프로토콜로써 PC, Mac, Amiga, Appls II, VMS 등의 시스템에 포팅되어서 사용되어졌다.

UUCP 는 보통 dial-up(modem) 연결을 이용해서 구축되었는데, 이를 이용해서 인터넷연결을 포함한 컴퓨터간 연결이 가능하게 되었다.

UUCP는 인접한 호스트를 인식하기 위해서 UUCP 네트웍에 참가하는 호스트의 정보를 직접 설정하는(어찌 보면 상당히 원시적인) 간단한 방법을 사용하고 있다. 예를들어 A 와 B 2개의 호스트로 구성된 UUCP 네트웍에 C 라는 새로운 호스트가 참가한다고 하면, A와 B 는 C 를 인식하기 위해서 반드시 설정파일을 변경시켜줘야 한다.

UUCP 는 최근 몇년사이에 그 사용처가 많이 줄어들고 있는 추세이다. UUCP 보다 인터넷 연결을 더 쉽고, 싸게 구축할수 있는 다른 프로토콜들에게 밀리고 있기 때문이다. UUCP 는 매우 간편하게 구축할수 있지만, 지나치게 경직되어 있어서(확장이 쉽지 않다), 최대한의 확장성을 필요로 하는 지금의 인터넷 환경에는 적당하지 않다. 그런이유로 최근에 UUCP는 간단한 파일복사 정도를 위해서 제한된용도(이메일, 문서전송) 로만 사용되고 있을 뿐이다.

그림 2. UUCP 구성도

3.2절. Internet

최근 몇년간 가장 많이 듣던 단어들중 하나가 아닐까 싶다. 영화,책,신문,잡지,텔레비젼 드라마,시트콤 에까지 아뭏든 모든 미디어에서 접할수 있는 가장 흔한 단어가 되었다.

3.2.1절. 인터넷이란 무엇인가

인터넷은 현재 지구상에 존재하는 네트웍시스템중 가장 거대한 규모의 네트워크이다. 인터넷은 네트웍을 다시 네트웍화 - 지역 네트웍을 다시 연결해서 광역네트웍화 시키는 - 시킨 시스템으로 광역통신이 가능하도록 도와준다. 흔히 혼동하기 쉬운게 인터넷이란 호스트간 네트웍(연결) 이라고 생각하는건데, 네트웍 이 호스트간 연결이며, 인터넷은 네트웍의 네트웍 이다.

우리는 보통 이러한 네트웍(호스트간 연결)을 LAN 이라고 부른다. Local Area Network 의 줄임말로써, 말그대로 가까운 지역에 있는 호스트간의 연결을 뜻한다.

그림 3. Local Area Network - LAN

위는 가장 간단한 형태의 지역네트웍구성 예제이다.

인터넷은 위의 소규모네트웍들이 다시 네트웍화 된것들인데, 그렇다면 위의 네트웍들이 어떻게 다시 네트웍화 되는지 간단히 예를 들어서 설명해보도록 하겠다.

당신이 A1 이라는 회사를 다니는데, 개발부서에서 일한다고 가정하자. 이 개발부서는 개발팀원의 호스트끼리 각각 연결되어 있는 간단한 LAN 으로 네트웍이 구성되어 있을것이다. 개발부서 말고 총무부도 있을건데, 이 부서 역시 몇개의 호스트끼리 연결된 별도의 LAN 으로 네트웍이 구성되어 있을것이다. 이런 식으로 해서 A1 이라는 회사는 2개의 소규모 네트웍을 가지고 있는데, 이들끼리 다시 연결이 되어야 함으로 이 네트웍들은 회사의 backbone 망에 연결될 것이다.

A1 회사입장에서는 각부서의 네트웍을 통합했는데, 인터넷 서비스를 받아야 함으로 이 회사의 Backbone 는 다시 ISP 서비스 업체의 Backbone 망으로 통합될것이다. 이 ISP 서비스 업체의 Backbone 망에는 A1 회사 뿐만 아니라 B1, Z1 와 같은 몇개의 회사의 backbone 이 물려 있을것이다.

최종적으로 ISP Backbone 은 Internet Backbone 에 물리게 된다. Internet Backbone 입장에서 본다면, 수많은 ISP Backbone 이 물려 있게 되고, 이 자체로 거대한 네트웍이 되며, 이 네트웍자체가 바로 인터넷이 된다.

그림 4. Internet Network 구성도

3.2.2절. TCP/IP == 인터넷의 언어

인터넷에 호스트가 물려있는 가장큰이유는 다른호스트와의 통신을 위해서이다. 인간 사회에서 서로간의 통신을 위해서 언어가 필요하듯이 인터넷 역시 호스트간 통신을 위한 언어가 존재하는데, 바로 TCP/IP 이다. 인간의 언어가 다양하듯이 인터넷간 통신을 하기 위한 언어(도구)역시 TCP/IP 외에도 몇가지가 존재하지만 가장 널리 사용되는 TCP/IP에 대해서만 알아보도록 하겠다.

TCP/IP 는 TCP 와 IP의 쌍으로 이루어져 있으며, 각각 Transport Control Protocol, Internet Protocol 로 불리운다. TCP는 흐름제어를 위해서 IP 는 전달을 위한 목적으로 사용된다. 인간이 사용하는 언어로 보자면 TCP는 "문장" 이 될것이며 IP는 "공기" 가 될것이다. 우리가 입을 벌려 말을 하면 이것을 "공기"가 전달해 주는것과 같은 이치이다. (정확히 말하자면 공기의 파동을 통해서) ISO/OSI 참조모델에서 TCP는 Transport 레이어에, IP는 Network 레이어에 각각 포함된다.

TCP/IP 의 가장 중요한 기술적인 특징중의 하나는 바로 열린(Open) 프로토콜이란 점으로써, 누구나 자유롭게 가져다가 사용할수 있다. 이러한 특징으로 세계각지의 엔지니어, 과학자, 정부에서 통신어플리케이션 개발을 위해서 TCP/IP 를 사용하게 되었으며, 결국 인터넷시대의 표준언어가 되도록 만들었다.

3.2.3절. IP

IP는 메시지 전송측면에서 보자면 매우 견고하며, 유연하게 확장가능한 프로토콜이다. 처음부터 그러한 목적으로 만들었기 때문이다. 그러나 "보안"은 염두에 두지 않고 만들어졌다. IP 프로토콜은 약간의 프로그래밍 능력과 IP 헤더에 대한 약간의 지식만 가지고 있다면, 쉽게 변조가능하다. IP 프로토콜은 기본적으로 이러한 변조등을 막기위한 장치를 가지고 있지 못하다.

이러한 IP 프로토콜의 보안 취약성 때문에 IP 헤더를 가로채고 변조하는 방식으로 몇가지의 보안 공격이 노출되게 된다.

3.2.3.1절. IP spoofing

spoofing 는 "속이다" 라는 의미를 가진다. IP spoofing 는 IP를 속여서 공격하는 기법이다. IP spoofing 유형의 공격기법에는 여러가지 종류가 있는데, 그중 가장 유명한게 Sequence number guessing(순서 제어번호 추측 공격)과 Half(반) 접속시도 공격등이 있다. 이것은 유명한 헤커인 케빈미트닉이 1995년 이 공격을 이용해서 해킹을 시도하다가 체포된 일이 있어서 특히 유명한 공격기법이기도 하다.

그림 5. IP Spoofing

위 그림은 IP Spoofing 를 통한 공격과정을 대략적으로 나타낸 그림이다.

C 는 크래커, B와 A는 해킹하고자 하는 호스트이다. 이 공격방법은 TCP 연결이 이루어지기 위해 실시하는 세번악수기법을 교묘하게 이용해서 이루어진다.

가장 먼저 C 는 자신의 IP 주소를 위장해서 SYN 패킷을 보내 접속요청을 한다. IP 주소를 위장하는 이유는 자신의 위치를 들키지 않기 위해서이다. SYN 패킷을 받은 A 서버는 ACK와 함께 자신의 SYN을 전송하지만 당연히 이 패킷은 A 에 전달되지 않는다. 그렇게 되면 A 는 자신이 보낸 ACK 에 대한 C의 응답을 기다리게 되는데, 이러한 과정을 반복하게 되면 A 는 외부의 접속에 대해서 응답을 못하는 오버플로우 상태가 된다.
이렇게 A 서버를 무용지물로 만든다음, C 는 B 로 정상접속을 시도한다. 이때 C 는 정상접속중에 발생하는 패킷을 분석해서 Sequence number 의 변화를 관측한다. 이 Sequence number 은 TCP 헤더에 정의되어 있다.
이렇게 해서 Sequence number 를 추측할수 있게 되면, C 는 자신의 IP 주소를 A 로 가장한후 B에 접속 요청(SYN)을 보낸다. Sequence number 은 보통 64,000씩 증가하는데, tcpdump 등의 도구를 이용해서 쉽게 추측가능하다.
B는 수신된 SYN 패킷이 A에서 온것으로 인식해서 A 에게 ACK와 SYN을 보내지만 A는 지금 통신두절상태로 응답을 할수 없게 된다.
C 는 다시 자신의 주소를 A 주소로 위장하여 추측된 Sequence number 을 이용해서 B가 A로 보낸 SYN,ACK에 대한 ACK를 B에 보낸다.
이렇게 해서 엉뚱하게도 B는 A와 TCP 세션이 연결된것으로 생각하지만 이것은 어디까지나 착각으로 실제로는 C와 A간의 세션연결이 이루어진 것이다.
이후 C 는 rsh 등을 이용해서 원하는 작업을 하면 된다.

불행스럽게도 위의 공격기법은 그리 어려운 기술을 필요로 하지 않는다. TCP/IP 의 특성을 이해하고, RAW 소켓을 다루며, tcpdump 와 같은 몇가지 패킷캡쳐도구를 이용하면 충분히 크래킹이 가능하다. 위의 크래킹 기법은 자신의 IP를 속임으로, 나중에 관리자가 크래킹당했음을 알더라도, 크래커를 추적하기가 매우 힘들어진다.

아마 이 사이트에 있는 TCP/IP 에 관한 내용을 읽었다면 분명 위의 공격이 어떤 식으로 이루어지는지 충분히 이해가 될것이며, 아울러 구현 방법까지도 머리속에 떠오를 것이다.

물론 위의 IP spoofing 공격에 대한 몇가지 방지 대책이 있다. 외부에서의 공격에 대해서는 라우터에서 패킷에 대해서 필터링을 하도록 하면 된다. 내부에서의 공격이라면, TCPwrapper, ssh 등을 이용하고 rsh, rlogin 과 같은 인증이 없는 서비스는 사용하지 않도록 해서 막을수 있다.

그러나 말했듯이 IP spoofing 공격유형은 여러가지이며, 위의 공격기법은 그중 매우 전형적인 수법에 불과하며, TCP/IP의 설계규현상에서 발생하는 여러종류의 공격을 모두 예측해서 미리 막는건 불가능하다. 다만 지속적인 보안관리와 점검을 통해서 피해를 최소화 시키는 것이 최선의 예방 방법일 것이다.

3.2.3.2절. Sniffing

말그대로 남의 패킷을 도청하는 공격이다. 원리를 알려면 ARP/ICMP 등의 프로토콜에 대해서 알고 있어야 한다.

기본적으로 로컬네트워크내의 호스트는 하나의 회선을 공유하도록 되어있어서, 같은 네트워크내의 컴퓨터는 다른 컴퓨터가 통신하는 트래픽까지 볼수 있다. 그러나 그럴경우 쓸데없는 트래픽까지 처리해야 함으로 비효율적이 된다. 그래서 각 이더넷의 식별번호인 MAC 어드레스와 IP 번호를 맵핑시켜서 자기에게 오는 메시지만을 처리하도록 하고 있다. 그렇다 하더라도 인터페이스를 promiscuous mode 로 둘경우 모든 패킷을 볼수 있게 된다. 실제 tcpdump 와 같은 패킷캡쳐 어플리케이션 같은경우 인터페이스를 promiscuous 로 한 상태에서 패킷을 캡쳐하게 된다. promiscuous 모드로의 변경은 슈퍼유저만이 가능하기 때문에, root 권한을 가지고 있어야 하는데, 이렇게 될경우 모든 패킷을 도청할수 있게 된다.

물론위의 문제점은 스위칭 라우터를 이용하면 어느정도 해결이 가능하다. 스위칭 라우터는 로컬네트웍을 세그먼트 단위로 나누고 해당 IP로 가는 트래픽은 해당 세그먼트로만 전달되게 됨으로 근본적으로 도청의 가능성을 없앤다. 그러나 역시 스니핑 방법이 존재한다. 여기에서 ARP 에 대한 지식이 필요한데, 로컬네트웍에 묶여있는 모든 호스트는 IP와 이더넷카드 주소를 맵핑 시키기 위해서 ARP 요청을 하게된다. 이 ARP 패킷은 브로드캐스팅 되는데, ARP 패킷을 받은 호스트는 자신의 IP와 ARP 요청 IP를 비교해서 동일한 IP 라면 자신의 MAC address 를 담아서 ARP 응답을 보내게된다.

이러한 ARP 프로토콜의 특징을 약간? 응용하면, 패킷 스니핑이 가능하다. 예를들어 자신의 IP 가 192.168.1.100 이고, MAC 어드레스가 00:E0:29:5D:5C:89 이라고 하자. 그리고 라우터의 IP가 192.168.1.1 일때, 00:E0:29:5D:5C:89 에 대한 IP 가 192.168.1.1 이라고 거짓 ARP 응답을 만들어서 보낸다. 이것을 일정 시간동안 계속해서 보내면 다른 호스들의 APR 캐쉬에 거짓 ARP 정보가 들어가게 되고, 이들은 192.168.1.100 이 라우터인것으로 착각하고 패킷을 모두 192.168.1.100 으로 보낸다. 그러나 이럴경우 패킷이 외부로 빠져나가지 못하니 조만간 네트웍에 문제가 있다는게 발견될 것이다. 그럼으로 192.168.1.100 에서는 원래 라우터인 192.168.1.1 으로 패킷 포워딩 시키면된다. 이런 방식으로 문제없이 패킷 스니핑이 가능하다.

ARP 프로토콜을 이용한 스니핑 방법으로 Switch Jamming란 방법도 존재한다. 이것은 많은 종류의 스위치라우터가 ARP 주소테이블이 가득차면 모든 네트웍크 세그먼트로 데이타를 브로드케스팅 하는 성질을 이용한 방법이다. 만약 데이타가 브로드케스팅 된다면, 이것저것 복잡하게 작업할 필요없이 간단하게 tcpdump 등으로 스니핑 가능하게 될것이다. 공격자는 임의의 arp 리플라이를 만들어서 라우터에 날리고 결국은 스위치라우터의 ARP 테이블이 가득차게 만들어 버린다.

ICMP 를 통한 방법도 있는데, ICMP 는 하나의 네트웍에 여러개의 라우터가 있을경우 호스트가 패킷을 올바른 라우터에게 보내도록 하기위해서 ICMP Redirect 메시지를 사용한다. 이 ICMP Redirect 메시지를 악용해서 다른 세그먼트에 있는 호스트에게 위조된 ICMP Redirect 메시지를 보내서 공격자의 호스트로 패킷을 보내도록하고 이 패킷을 스니핑 하는 방법이다. 공격자에게 도착한 패킷은 패킷 포워딩을 통해서 바깥으로 내보내게 되고, 결국 공격받는 사람은 자신이 스니핑 되고 있다는 것을 눈치채지 못할것이다.

스니핑을 막는가장 확실한 방법은 ssh 등을 이용해서 암호화된 통신을 하는 방법이다. 메일이라면 PGP 등을 통해서 암호화 할수 있을것이다.

3.2.3.3절. session hijacking

스니핑이 출력만을 보는 거라면, session hijacking 는 입력까지 가능하도록 하는 해킹기법이다. 간단히 말해서 session hijacking 을 성공하게 될경우 상대방의 텔넷등의 화면을 그대로 볼수 있으며, 동시에 입력까지 가능하다. 이 방법은 상당히 높은 수준의 기술을 필요로 한다. 나중에 기회가 되면 예제를 만들어서 테스트 해보기로 하고, 여기에서는 이정도로만 끝을 맺도록 하겠다.

3.2.4절. TCP

TCP는 전송계층(transport layer) 프로토콜로써, 전달되기 위해서 네트웍계층 프로토콜을 필요로 하며 보통은 IP 프로토콜과 함께(IP 프로토콜 위에)사용된다. TCP 프로토콜은 IP 프로토콜과 함께 사용됨으로, 많은경우 TCP/IP 라고 불리운다. 이번장에서는 TCP의 몇가지 주요 특징에 대해서 알아보도록 하겠다. (이미 몇번의 기사에 걸쳐서 TCP의 특징을 다루었으니 자세한 내용은 기사를 검색해보기 바란다)

TCP의 가장 중요한 특징은 "신뢰성있는 데이타 전송"에 있다. 호스트에서 호스트로 보내는 모든 패킷은 패킷을 보낸후 받는쪽에서 받았다는 응답을 받도록 되어 있으며, 만약 받는 쪽에서 패킷을 받았다는 응답이 없을경우 패킷을 재전송하도록 되어 있다. 또한 각각의 TCP 패킷에는 순서를 나타내는 일련의 번호가 있어서, 전송도중 순서가 바뀌었다 하더라도 재조립될수 있도록 장치가 마련되어 있다.

3.2.5절. UDP

User Datagram Protocol 로써 TCP와 마찬가지로 전송계층 프로토콜이며, 매우 간단한 프로토콜이다. TCP와 달리 신뢰할수 없는 프로토콜이다. UDP 는 메시지를 보내고 나서, 메시지송신에 대한 응답을 받는것과 달리 보내고 나서 잊어 버린다. 그럼으로 패킷은 유실될수 있다. UDP 는 신뢰성있는 견고한 통신을 위한 어플리케이션을 위한 프로토콜로는 적당하지 않다.

그러나 그리 신뢰성이 요구되지 않는 어플리케이션이나, 혹은 다량의 메시지를 처리해야 하는 어플리케이션에는 적당한 프로토콜이다. UDP는 TCP에 비해 매우 단순하며, 네트웍 부하역시 적은 프로토콜이다. TCP와 달리 순서재조합을 위한 일련번호가 필요없으며, 이에 대한 연산역시 필요 없기 때문이다. 또한 네트웍 트래픽도 줄일수 있는데, TCP는 하나의 메시지를 발생하더라도 이에 대한 응답까지 발생함으로 2개의 메시지 트래픽이 발생하게 되는데, UDP는 단지 하나의 트래픽만 발생하기 때문이다.

4절. 네트웍 위협

지금까지 네트웍 보안의 기본지식이 되는 네트웍의 특성에 대해서 알아보았으니, 이제 실질적인 네트웍 위협의 종류와 간단한 대처법에 대해서 알아보도록 하겠다.

4.1절. Denail-of-Service

Dos 공격은 대부분 다양한 공격루트(어드레스)를 통해서 공격이 들어옴으로 처리하기가 매우 까다롭다. Dos 공격을 처리하기가 까다로운 또다른 이유는 공격자체가 매우 쉽기때문이다(단지 짧은시간에 여러번 접속하면 된다). 또한 이러한 공격은 "Web" 과 같은 열려있는 서비스에 대해서 공격이 이루어짐으로, 이게 공격인지 아닌지 판단이 애매하기때문이다. - 보통 Dos 공격은 짧은 시간에 특정수치 이상의 요청이 들어왔을 경우라고 판단하는데, 이 짧은 시간이란 수치가 애매하다. 굳이 공격이 아니더라도 wget 과 같은 홈페이지 백업 프로그램 등으로 홈페이지를 긁어가는 경우도 있을건데, 이경우 공격이라고 판단할수 없기 때문이다 -

Dos 공격의 원리는 간단하다. 공격 대상머신의 특정 서비스에 대해서 공격대상머신이 처리할수 있는 한계를 초과하는 요청을 보내면된다. 예를들어 초당 80번의 요청을 처리할수 있는 웹서버가 있다면, 여기에 대해서 초당 90번 정도 요청을 시켜버리는 것이다. 그러면 공격받은 서버는 "서비스 불능" 상태가 될것이다. Denail-of-Service 라고 공격명칭을 명명한 이유는 바로 "서비스 불능" 상태를 만드는데에서 유래하고 있다. "서비스 거부 공격" 이라고 부르기도 한다.

4.2절. Distributed Denial-of-Service

DDos 라고 하며 Dos 공격의 발전된 형태이다. Dos 공격이 하나의 서버를 통해서 이루어진다면 DDos 는 여러개의 서버를 통해서 동시 다발적으로 이루어지는 거라고 보면 된다. 어떤 사이트에 대한 항의성을 띤 동시다발적인 공격, 예를들면 미 백악관의 특정 정책에 대한 항의 표시로 특정시간대에 동시에 사이트에 요청을 하는 것과 같은것이 DDos 의 간단한 에이다.

위와 같은 DDos 공격은 꽤 순진한 예이며, 성공확률도 그리 높지 않다. 제대로된 공격은 여러대의 서버에서 자동화된 스크립트등을 이용해서 공격하는 방식을 사용할것이다.

당연히 Dos 공격보다 치명적이며, 처리하기도 까다롭다. 예를 들어 Dos 공격이라면 하나의 어드레스에서 비정상적으로 많은 요청이 들어올것임으로 찾아내기도 쉽고 막기도 쉽다. 단순하게 생각해서 갑자기 사이트 트래픽이 올라간다고 판단되면, 웹서버 로그파일을 분석해서 요청이 많은 IP 를 찾아내고 방화벽정책을 변경시키는 정도로 공격을 막아낼수 있다. 그러나 DDos 의 경우 여러군대에서 동시다발적으로 이루어짐으로 하나의 공격서버에서 발생하는 요청의 갯수는 그다지 많지 않을수 있다. 그럼으로 공격받는 측에서는 이게 정상적인 요청인지 아닌지 판단이 정말 애매해 질수 있다.

그림 6. DDos 공격

4.3절. Unauthorized Access

"비인가된 접근" 은 매우 고난이도의 공격기법에 포함되며, 그 종류또한 매우 다양하다. 이 공격의 목적은 비인가된 사용자에게는 공개되지 않은 데이타를 얻어내거나 파괴하기 위함이다. 여기에서는 종류들만 간단히 설명하도록 한다.

4.3.1절. Executing Commands Illicitly

당신의 호스트에서 신뢰할수 없는 사람이 신뢰할수 없는 명령을 실행하는 공격이다. 여기엔 실행권한에 따라서 2가지 유형이 있을수 있다. 일반유저권한으로 실행하는 것과 관리자 권한으로 실행하는 것인데, 일반유저일 경우 시스템을 공격하기 위해서 할만한 일이 별로 없으며, 시스템공격을 위해서는 관리자 권한을 획득해야 한다. 실지 대부분의 경우 이 관리자 권한을 얻는데 공격의 촛점이 맞춰진다.

4.3.2절. confidentiality Breaches

간단히 말해서 개인 혹은 단체의 기밀 데이타를 빼내가는 행위이다. 우리가 말하는 보통 해킹이라면 바로 이것을 말한다. 이들 해커들은 해킹을 통해서 다른 사람(단체)의 데이타를 본다는것 자체만으로도 희열을 느끼며, 자신의 기술을 대견스러워 한다. 확실히 쉘프롬프트를 이용해서 다른 개인혹은 단체의 데이타를 마음대로 열람할수 있다는 것은 묘한 성취감을 심어줄것이다. 악질?의 경우 데이타를 빼내어서 팔아먹기도 할것이다.

4.3.3절. Destructive Behavior

데이타를 파괴하는 행위로써, 2가지 유형이 있다. 첫번째 유형은 데이타를 변조하는 행위이며, 두번째 유형은 데이타를 완전히 파괴(삭제) 하는 행위이다.

4.3.3.1절. 데이타 변조

변경될수 있는데이타는 단순한 개인신상관련 데이타, 웹페이지, 실행파일, 데이타베이스파일 등이 될수 있으며, 데이타 파괴와 달리 그 증상이 뚜렷하게 나타나지 않음으로 파괴보다 심각할수 있다.

최근에는 데이타 변조가 이루어졌을경우 어떤 파일에 데이타 변조가 있는지 알려줌으로써 관리자가 미리 대응할수 있도록 해주는 어플리케이션들이 존재한다. 가장 간단한 예는 중요파일에 대한 "MD5 해쉬" 문자열을 만들고 주기적으로 이 해쉬문자열에 변화가 있는지 검사하는 방법이 될것이다. 파일변조검사에 이러한 방법에 대한 예가 나와 있으니 참고하기 바란다.

4.3.3.2절. 데이타 삭제

효과가 즉각적으로 나타나는 경우가 많음으로 관리자는 즉각적으로 이상을 감지할수 있다. 백업만 잘되어 있다면 비교적 복구가 쉽고, 다른 경우에 비해서 위험도가 낮은 공격이라고 볼수 있다. 보통 초보헤커를 통해서 장난? 으로 이루어지는 경우가 많기 때문에, 지속적으로 침입후 삭제가 이루어지는 일은 흔하지 않다. 즉각적인 데이타 삭제를 하는 이유는 오랜시간 동안 걸리지 않고 데이타를 빼내거나 변조할만한 자신감이 없기 때문이다.

데이타 삭제에 대한 가장최선의 방법은 주기적인 Backup 만한게 없다.

5절. 보안 문제 대처

보안 문제에 대처할수 있는 가장 좋은 방법은 기본적인 보안 도구(방화벽,IDS,파일변조)를 이용해서 최소한의 보안환경을 만들고, rsh, telnet, ftp 와 같은 취약한 서비스 대신, ssh 와 같은 서비스를 사용하는 방법이 될것이다. 또한 주기적으로 시스템/네트웍 상태를 모니터링하고, 보안관련 뉴스를 꾸준히 업데이트 시키고, 만약의 사태를 대비해서 중요한 데이타는 그때그때 백업 시켜놓는게 최선책이다.

보안문제에 대처하기 위한 상세한 내용은 다음 강좌에서 다룰것이다.

6절. 결론

이상 네트웍에 대한 기본정의와 몇가지 보안이슈들에 대한 내용을 다루어 보았다. 인터넷 언어인 TCP/IP 에 대한 기본적인 특성과 ICMP/ARP 등과 같은 필수 프로토콜을 이해한다면 "보안" 이슈들역시 이해가능 하다는 것을 위의 강좌를 통해서 느꼈을 것이다. 위에서는 이러한 특성을 "악용" 하는 문제에 대해서 다루었는데, 이들 프로토콜의 특성을 알고 있다면 유용한 방향으로도 충분히 응용가능 할것이다.(이래서 기초가 중요하다는 말이 나온다)

다음 강좌에서는 보안문제에 대처하기 위한 최소한의 환경을 만들기 위한 몇가지 도구들의 개념과 사용방법들에 대해서 알아보고, libpcap 를 이용한 패킷 모니터링 기법에 대해서 알아보도록 하겠다.