네트워크 공격기법의 패러다임 변화와 대응방안

네트워크 공격기법의 패러다임 변화와 대응방안

- Network Attack Paradigm Shift and Its Countermeasure -

Part I : 네트워크 공격기법의 패러다임 변화 v1.0

이현우 연구원, lotus@certcc.or.kr
CERTCC-KR, cert@certcc.or.kr

Document History

2000. 5. : Part I. 네트워크 공격기법의 패러다임 변화 v0.1
2000. 11 : Part I. 네트워크 공격기법의 패러다임 변화 v1.0
Changes : Reference 및 내용 추가

I. 서론

II. 네트워크공격기법의 패러다임 변화

1. 전통적인 공격기법

1.1 정보수집 단계
1.2 시스템 침입 단계
1.3 공격전이 단계
1.4 전통적인 공격기법의 특징

2. 새로운 공격 기법

2.1 백오러피스
2.2 네트워크 스캐닝
2.3 인터넷 웜
2.4 백도어
2.5 악성 에이전트
2.6 사회공학기법(Social Engineering)
2.7 새로운 공격기법의 특징

3. 새로운 공격기법의 발전방향

[Reference]

I. 서론

연구와 군사 목적으로 발전한 인터넷은 현재 많은 기업들과 일반인들이 사용하게 되었고 현대 사회에서 중요한 기반으로 자리잡게 되었다. 더불어 보안문제가 인터넷 사회에 끼치는 영향이 커짐에 따라 보다 많은 침입자들이 현재의 보안모델의 취약점을 공격하려 하고 있으며, 공격용 프로그램 또한 보다 복잡하고 정교해 지고 있다. 즉 인터넷의 상용화 및 영향력이 커짐에 따라 침입자들이 자신들의 무기를 정교히 만들만한 동기를 갖게 된 것이다.

"네트워크 공격기법의 패러다임 변화"는 이미 언더그라운드에서는 시작되었으며, 최근 Yahoo, amazon 등 유명 전자상거래 사이트에 대한 분산 서비스거부공격(DDOS, Distributed Denial Of Service)에서 사용된 공격도구에서 잘 나타나고 있다. 또한 이는 현재의 보안모델에 대한 문제를 보여 준다. 이러한 변화는 새로운 공격도구의 형태 및 공격 메커니즘을 분석함으로서 알 수 있다.

예전에는 단순히 특정 시스템의 버그를 공격하는 도구 및 이러한 취약점을 찾아주는 스캔 공격도구들이 주류를 이루었다. 그리고 좀더 나아가 파이어월 시스템 및 기타 보안시스템을 우회하기 위한 좀더 진보된 종류의 공격도구들이 나타났다. 하지만 최근에는 백오러피스로 대표되는 트로이잔목마, 그리고 인터넷 웜(Worm), 백도어 형태의 공격도구가 많이 등장하고 있으며, 이중 일부 공격도구들은 원격 제어가 가능하다. 최근에 발견되는 공격도구의 특징을 종합해 보면 은닉화(Stealth)화 분산화(Distributed), 에이전트화(agent)그리고 자동화(Automation)의 특징을 가지고 있다.

기존의 공격방법은 이미 잘 알려져 있어 침입탐지시스템 등을 이용하여 공격패턴에 대한 탐지가 가능하였고 보안시스템구축을 통하여 적절히 방어할 수 있었다. 이러한 보안기술의 발전과 더불어 이를 극복하기 위한 공격기술 또한 발전하였고 위에서 언급한 새로운 공격모델이 등장하였다. 새로운 공격모델에서는 보다 복잡한 공격 탐지 기법이 필요하며, 그 대응방법에 대한 변화를 요구한다. 반면 공격자 입장에서는 공격도구의 자동화로 인하여 공격기술이 대중화되고 있으며, 따라서 인터넷 공격이 점점 많아지고 있다. 하지만 소위 "Real Attack"을 위해서는 공격자 역시 예전의 "Script Kiddies"의 공격과는 다른 보다 고난위도의 기술을 요구한다.

"앞으로 다가올 네트워크 공격은 그 전파속도가 빠르고 대규모 적이며 보이지 않는 공격이 될 것이며, 이에 대한 대응은 매우 시급하다. 구체적이고 빠른 해결책이 필요하며, 이러한 해결책은 현존하는 보안문제를 포함하여 앞으로 발생할 잠재적인 위협을 막을 수 있어야 만 한다"

본 문서에서는 먼저 공격기법의 새로운 패러다임 변화를 보기 전에 기존의 전통적인 공격기법에 대하여 설명한다. 그리고 에이전트화, 자동화, 분산화, 은닉화의 특징으로 구분되는 최근의 공격기법 변화에 대하여 언급하고 그에 대한 대책을 설명하고자 한다.

Top

II. 네트워크 공격기법의 패러다임 변화

1. 전통적인 공격 기법

전통적인 네트워크 공격은 그 절차 및 기법이 이미 잘 알려져 있어 잠재적인 취약점을 방어하기 위한 수단이 많이 강구되어 왔다. 일반적인 공격절차는 가장먼저 공격대상에 대한 "정보수집 단계"이며, 그 다음 수집한 정보를 바탕으로 "시스템 침입 단계"를 거치게 된다. 그리고 지속적인 침입 및 다른 시스템의 공격을 위한 "공격 전이 단계"를 거치게 된다[1].

1.1 정보수집 단계

정보수집은 네트워크 공격의 첫 번째 단계로 공격대상 네트워크에 대한 정보를 파악하는 것이다. 주로 네트워크 토폴러지, 시스템 OS, 네트워크 장치의 종류, 그리고 WWW, FTP 등 공격대상 네트워크가 제공하는 서비스와 버전 정보를 수집한다. 정보수집 방법은 스캔 공격도구를 이용하는 것에서부터, 다양한 네트워크 서버가 제공하는 정보를 수집하는 방법에 이르기까지 상당히 다양하며, 파이어월을 우회할 수 있는 방법도 존재한다.[2]

1.1.1 시스템 및 서비스 탐지

공격 대상 네트워크에 시스템이 있는지를 파악하기 위하여 일반적으로 "Ping"을 이용한 공격도구를 사용한다. 또한 DNS 서버를 조회하여 어떠한 시스템이 있는지를 파악할 수도 있다. 시스템의 존재여부에 대한 정보수집이 끝나면, 각 시스템이 어떠한 서비스를 제공하고 있는지를 점검하기 위해 열려진 포트를 점검한다. 특히 버그가 있는 서비스를 집중적으로 조사하게되며, 이러한 과정은 Sscan, Mscan, vanilla scanner 등 "취약점 스캐너" 또는 "포트 스캐너"라는 자동화된 공격도구를 이용한다[3]. 일반적으로 시스템의 존재여부와 서비스에 대한 스캔은 동시에 이루어진다.

1.1.2 OS 탐지

좀더 세밀한 공격을 위하여 해당 시스템의 OS 버전에 대한 정보수집을 한다. OS 버전을 탐지하는 기술은 "IP stack fingerprinting" 이라는 특성을 이용한다. 시스템에 따라 IP stack의 구현이 다른 점을 이용하여, 특정 패킷을 만들어 보내어 그 응답에 따라 시스템을 구별해내는 방법이다[4]. 대표적인 도구로는 queso[5], nmap을 들 수 있다.

1.1.3 네트워크 토폴러지/파이어월 필터링규칙 탐지

네트워크 포폴러지는 호스간의 거리를 나타내는 "hop count"를 이용하여 알아낼 수 있으며, "traceroute" 프로그램을 응용한 공격도구를 이용한다. 또한 파이어월에 의해 보호되는 시스템에 대한 정보 및 파이어월 자체의 필터링 규칙 정보를 수집하는 방법도 존재한다. 이러한 공격은 대부분의 파이어월이 필터링하지 않는 특정 ICMP type 패킷이나 udp를 이용한 traceroute 패킷을 이용하며, 대표적인 공격도구로는 Firewalk[6], hping[7], nmap[8] 등이 있다.

1.1.4 네트워크 서버의 정보 수집

DNS, SNMP, Sednmail, NetBIOS 등 일반 네트워크 서버가 제공하는 정보를 수집하여 공격에 유용하게 사용할 수 있다. DNS의 경우 "zone transfer" 또는 일반적인 query를 이용하여 등록된 호스트의 정보를 알 수 있으며, 잘못 설정된 SNMP는 네트워크의 토폴러지 및 각 종 네트워크 정보를 알려준다. 또한 라우터를 통하여 중요한 정보를 알아낼 수 있는 방법도 존재한다.

"정보수집단계"는 공격대상 네트워크에 어떠한 호스트가 있으며, 이 호스트가 어떠한 서비스를 제공하는가, 그리고 네트워크가 어떻게 구성되어 있는가를 파악하여 최종 공격 대상을 찾아내는 단계이다.

1.2 시스템 침입 단계

시스템 침입단계는 실제 개별 시스템에 침입하는 단계로 정보수집단계에서 수집한 정보를 바탕으로 가장 취약한 부분을 공격하게 된다. 일반적으로 버그가 있는 네트워크 서버를 공격하게 되는데 sadmind, amd, amountd, statd, POP, Imap 등 각종 서버의 원격 버퍼오버플로우(buffer overflow) 취약점[9]을 공격한다. 그밖에 서버의 설정 오류를 이용하는 방법도 있으며, 패스워드 파일을 획득한 경우에는 "crack"이라는 과정을 거쳐 패스워드를 해독하여 침입할 수도 있다.

시스템 침입단계에 사용되는 방법은 이미 잘 알려져 있고 많은 공격도구들이 공개되어 있으며 체계화되어 있다[10]. 따라서 시스템/네트워크에 대해 깊은 지식이 없는 소위 "Script kiddies"라 불리는 해킹 관심자들도 누구나 손쉽게 시스템에 침입할 수 있다.

1.3 공격전이 단계

"공격전이 단계"는 1차적인 시스템 침입 이후에 일어나는 침입을 말하는데, 1차적인 침입으로부터 얻은 정보 및 추가 작업을 통하여 시스템 침입을 확대하고 다른 시스템에 침입하는 단계이다.

일단 시스템 침입이 성공하고 나면 공격자는 시스템 침입흔적을 제거하게 된다. 또한 정보수집단계로 인하여 남은 흔적도 제거하게 된다. 또한 일반 계정으로 침입한 경우에는 충분한 권한(유닉스의 경우 root 권한)을 갖기 위하여 로컬 시스템의 취약점을 공격하게 되는데, 대부분의 시스템에서 이러한 취약점을 갖고 있다. 그리고 재 침입을 위하여 비인가된 접근을 제공해주는 "백도어"를 설치하게 되는데 이러한 백도어는 데몬 서비스 형태, 또는 서비스의 비정상적인 설정 등을 이용하여 특정 포트를 열어놓게 된다. 이러한 작업을 손쉽게 해주는 툴킷이 존재하는데 흔히 "rootkit"이라 부르며 시스템 종류별로 다양한 도구가 존재한다[11].

공격자는 시스템 침입에 성공한 시스템을 이용하여 보다 심도 있는 공격을 수행하게 된다. 가장 전통적인 방법은 "password sniffer"로 자신이 침입한 시스템에 설치하여 공격대상 네트워크상의 Telnet. POP, FTP 등에 대한 트래픽을 감시하며, 사용자 이름과 패스워드를 수집한다[12]. 또한 침입한 시스템과 "신뢰관계"에 있는 시스템의 정보를 알아내어 별도의 공격을 하지 않고도 인가된 사용자로서 다른 시스템을 공격할 수도 있다. 가장 대표적인 예가 "r" 계열의 명령을 사용하는 경우이며, 이외에도 데이터베이스에 접근할 수 있는 경우도 있다.

공격전이의 또 다른 경우는 침입에 성공한 시스템을 다른 네트워크를 공격하기 위한 경유지로 사용하는 것이다. 이 경우 다시 정보수집단계부터 새로이 시작하게 된다. 경유지를 이용하는 이유는 공격자의 흔적을 추적하기 어렵게 하기 위함이며, 많은 경우에 있어 최소 2 - 5개 사이트 이상을 경유지로 사용한다. 시스템 침입의 많은 경우가 이러한 경유지로 사용하기 위함이다[13].

1.4 전통적인 공격기법의 특징

전통적인 공격모델의 정보수집 단계에서는 하나의 시스템에서 단일의 공격대상 시스템이나 또는 대규모의 광범위한 네트워크를 대상으로 스캔공격을 수행하게 된다. 취약점 스캔공격 도구를 분류해보면 단일 취약점을 스캔하는 도구와 다수의 취약점을 스캔하는 도구로 구분될 수 있으며, 이들 도구는 하나의 시스템 또는 네트워크 블록 단위로 스캔하는 기능을 가지고 있다.

또 다른 특징은 서버 중심의 공격기법이다. 대부분의 공격도구(실제 시스템 침입에 사용되는 공격용 스크립트로 소위 "exploits"라고 불리운다.)는 서버의 취약점을 공격하며, 백도어나 트로이잔목마도 공격하고자 하는 시스템에 서버를 설치하여 공격자의 클라이언트에서 침입하는 방식을 사용한다.

전통적인 공격모델에서의 침입경로는 다단계의 경로를 거치게 된다. 공격자는 자신의 흔적을 감추기 위해 2 - 5개 이상의 시스템에 차례로 침입하여 최종 공격 대상 시스템을 공격한다. 결국 침입을 당한 호스간에 체인을 이루고 마지막의 피해 시스템은 바로 전단계의 시스템에 대한 정보만을 가지게 된다. 물론 전 단계의 시스템에서는 이미 공격자가 자신의 흔적을 제거하기 때문에 역추적은 거의 불가능하게 된다. 이러한 체인 모델에서 공격자는 각각의 시스템에 침입할 때마다 취약점 스캐너 등을 사용하게 되는데, 이 경우 상당한 시간을 필요로 하며 공격자는 백도어 등을 통하여 나중에 다시 시스템에 들어와서 정보를 가져가야 하는 위험이 존재한다.

Top

2. 새로운 공격 기법

전통적인 공격모델의 변화는 미국에서 보안 시스템이 보편화되면서 이를 극복하고자하는 공격자들의 노력에서 시작된다(왜 미국이냐는 질문에 대한 대답은 간단하다. 대다수 공격자의 공격대상이 미국이기 때문이며, 보안이 가장 잘 된 사이트를 침입해야 공격자로서 인정받기 때문이다). 즉, 공격자와 방어자의 뚫고 막는 경쟁으로 인한 것이다. 현재의 보안모델에서는 일반적으로 공격자가 항상 우세하며 방어자는 알려진 공격방법에만 대응하는 방식의 사이클을 가진다. 또한 인터넷이 실세계의 중요한 일부가 되면서 "사이버테러", "사이버범죄" 또한 구체화, 조직화 되는 것도 전통적인 공격모델의 변화에 큰 영향을 주고 있다.

전통적인 공격기법 변화의 가장 큰 원동력은 방어자의 보안수준 향상이다. 파이어월 및 침입탐지시스템(IDS, Intrusion Detection System)의 보편화는 전통적인 공격기법에 매우 효과적인 대응수단을 제공한다. 그리고 여러 국가의 CERT 간의 공조체계도 공격자의 활동범위를 좁혀가고 있다[14]. 하지만 이러한 장벽을 극복하고 성공적으로 시스템에 침입하기 위한 기술 및 도구들이 최근 몇 년간 지속적으로 개발되고 있다. 대표적인 도구로는 hping, Firewalk, Loki Project[15], pcap[16], libnet[17] 등을 들 수 있다. 그리고 이러한 변화중 주목을 끌만한 것은 바로 '98년 중반에 공개된 백오러피스이다. 이러한 기술 및 도구들의 등장은 새로운 공격기법의 패러다임으로 가는 과도기이며, 기반 기술이 된다.

2.1 백오러피스[18]

개인적인 의견으로는 백오러피스의 출현은 공격기법의 새로운 패러다임에서 큰 위치를 차지한다고 본다. 백오러피스는 새로운 네트워크 공격기법의 많은 특징을 내포하고 있으며, 가장 성공적인 공격과 명성(적어도 국내에서는)을 이루었다.

다른 공격도구와 마찬가지로 백오러피스 또한 공격자에게 인가 받지 않은 접근권한을 제공한다. 이와 더불어 새로운 기능으로는 패킷 릴레이 기능을 가지고 있으며, 새로운 공격 프로그램을 추가할 수 있는 기능을 가지고 있다. 이는 최근의 IT 기술에서 나타나고 있는 에이전트 개념과 비슷한 개념으로 제품의 기능 및 버전업을 자동으로 하는 것과 비슷하다. IT의 기술발전이 공격기술에도 적용되고 있는 것이다.

패킷 릴레이 기능은 공격자가 다시 시스템에 침입하지 않고 이미 침입에 성공한 시스템을 이용하여 다른 시스템을 공격하는데 이용할 수 있음을 의미한다. 물론 윈도우 시스템이라는 특성에서 연유된 것이기는 하지만 최근 이러한 형태의 공격도구들이 유닉스에서도 발견되고 있다.

백오러피스는 바이러스와 버금가는 전파력을 가졌다. 전파 매체가 전자메일, 웹을 통한 다운로드 등 보안시스템을 우회할 수 있는 수단을 이용하기 때문이기도 하지만, 언론에서 조장한 영향이 적지 않다. 또한 제작자의 고의적인 의도가 있었는지는 모르겠지만 백오러피스의 재미있는 기능들은 해킹의 개념을 대중화하였고, 스크립트키디(script kiddies)라 불리우는 공격자보다도 수준이 낮은 "워너비"(want to be, 해커가 되고 싶어하는 사람)들에게 해킹을 맛을 보여주는 도구를 제공함으로서 백오러피스를 널리 퍼지게 하였다[19]. 이러한 면에서 백오러피스는 가장 성공적인 공격도구라고 말할 수 있다.

사실 백오러피스의 진정한 위협은 이러한 워너비(want to be)들에 의한 공격이 아니다. 워너비의 호기심으로 인하여 이미 인터넷상의 수많은 시스템에 백오러피스를 비롯한 비슷한 종류의 공격도구들이 설치되었고, 이러한 시스템은 향후 더 강력한 공격을 수행할 수 있는 공격도구로 바뀔 수 있다는데서 그 위협이 존재한다. 예를 들면, 백오러피스가 설치된 1000개의 시스템 정보를 가진 공격자가 Win/trin00[20]와 같은 새로운 분산서비스공격 도구를 만들고 이를 백오러피스를 이용하여 시스템에 인스톨한 뒤 공격을 수행한다고 가정할 수 있다.

백오러피스의 또 다른 특징으로는 일반 사용자를 공격 대상으로 했다는 점이다. 보안 인식이 확산되면서 서버 및 네트워크에 대한 보안이 향상되었고 결과적으로 공격자는 보안에 대한 인식이 없는 일반 사용자들을 공격대상으로 삼은 것이다. 그리고 일단 일반 사용자를 대상으로 일차적인 공격이 성공하고 나면 공격전이 단계를 거쳐 서버에도 침입할 수 있는 기회를 갖게 된다. 백오러피스의 키스트로크 로깅기능을 이용하거나 PC에 저장된 패스워드를 유출하여 서버에 침입할 수 있다.

2.2 네트워크 스캐닝

파이어월의 도입은 전통적인 네트워크 스캐닝 공격을 효율적으로 차단해 주는 보안 수단이 된다. 하지만 파이어월을 우회할 수 있는 공격기술 또한 많이 발전하였다. 대부분의 시스템에서 네트워크 패킷을 스니핑할 수 있도록 해주는 pcap 라이브러리, 임의의 패킷을 만들어 보낼 수 있도록 해주는 libnet 라이브러리의 공개는 파이어월을 공격하기 위한 공격도구의 기반기술이 되며, firewalk, hping, nmap 등과 같은 고도의 스캐닝 도구에 사용된다.

공격자의 시스템에서 직접 스캔을 시도하는 전통적인 공격기법과 달리 제삼의 서버를 이용하여 공격대상의 네트워크를 스캐닝할 수 있는 ftp bounce attack, DNS bounce attack 등의 bounce 기술이 많이 사용되고 있으며, hping과 같이 소스주소를 속여 스캔공격을 할 수 있는 방법도 존재한다. 그리고 wingate등의 proxy 기능을 제공하는 시스템을 이용함으로서 공격자의 위치를 노출시키지 않는다.

전통적인 공격모델은 이미 잘 알려져 있어 침입탐지시스템(IDS)등에 의하여 쉽게 노출되고 추적될 수 있다. 이러한 침입탐지시스템을 무력화시키기 위한 최선의 공격방법으로 새로이 부각되는 방법은 분산 스캔공격[21]이다. 분산 스캔공격은 여러 호스트에서 하나의 공격대상 네트워크를 스캔하여 보다 빠르고 다양한 정보를 획득할 뿐만 아니라, 수 많은 시스템을 이용하고 그리고 때로는 가짜 공격패킷을 이용하기 때문에 침입탐지시스템이 탐지하는 정보를 무의미하게 만들게 된다. 또한 에이전트 형태의 스캔 공격도구를 이용하게 되면 공격자는 공격 시스템에 로그인 하지 않고 원격에서 다수의 에이전트를 통제하여 쉽게 정보를 수집할 수 있게 된다.

2.3 인터넷 웜(Internet Worm)

인터넷에서 많은 사이트들의 네트워크 구조가 획일화되고 그리고 몇몇 시스템 및 솔루션이 대다수의 시장을 차지히게 되면서 이러한 시스템 및 솔루션의 새로운 취약점은 그 파급효과가 커지고 있다. 예를 들면, solaris는 현재 워크스테이션 분야에서 가장 많은 시장을 확보하고 있다. 그리고 최근에 지속적으로 발견되고 있는 RPC 관련 취약점은 수많은 Solaris 시스템을 공격하는데 매우 효과적이었다.

인터넷 환경의 획일화는 결국 인터넷 웜과 같은 자동화된 공격도구의 출현을 야기 시키고 있다. 1998년에 ADM Internet worm(ADMw0rm)[22]이, 1999년에는 ADMw0rm과 유사한 Millennium Internet Worm[23]이 공개되었으며, 국내 침해사고에서도 발견된 적이 있다. 이러한 인터넷 웜은 자동으로 임의의 공격 목표를 정하고 공격이 성공하고 나면 그 지점부터 또 다른 공격을 시작하므로 위의 취약점을 가진 많은 사이트가 공격을 당할 수 있다. trin00, TFN 등 DDOS 공격도구 또한 위와 비슷한 종류의 인터넷 웜을 통하여 서버에 설치될 수 있는데, 실제로 몇 몇 침해사고에서 인터넷 웜과 비슷한 기능의 스크립트들이 발견되었다[24].

또한 유닉스 및 윈도우 기반의 공격 프로그램들이 다양한 플랫폼별로 포팅되어 공개되는 경우가 증가하고 있어, 공격도구의 자동화 또는 패키지화는 가속화 될 것이다. 이미 언더그라운드에서는 이러한 자동화된 공격 시스템(Automated Attack Machine)[25]에 대한 연구가 진행중이다.

"자동화된 공격도구는 패러렐(parerall)한 형태의 공격패턴을 제공하는데, 이는 공격자에게 공격범위 및 속도를 향상시켜주며, 결국 조만간 공격자에게 인터넷을 전복시킬만한 시스템 및 네트워크 자원을 제공할 수도 있다."

그리고 이러한 공격에 에이전트 형태의 공격도구를 사용하게 되면 공격자는 실제의 공격라인으로부터 떨어져 있게 되고, 역추적은 사실상 불가능하게 된다.

2.4 백도어

스캐닝 기술과 더불어 가장 빨리 변화하고 있는 공격 기술분야가 백도어 이다. 앞서 설명한 것처럼 백도어는 침입자가 아무런 인증수단없이 그리고 로그기록을 남기지 않고 시스템에 다시 들어올 수 있도록 하는 수단을 말한다. 하지만 전통적인 백도어 기술은 이미 잘 알려져 있고 대부분의 보안 시스템에서 이를 탐지할 수 있어 공격자에게는 큰 위험부담을 안겨준다.

최근에 발견되는 백도어는 특정 포트를 열거나 네트워크 커넥션을 필요로 하지 않는다. raw socket를 열어 특정 패킷이 오기를 기다린다. 그리고 조건에 맞는 패킷이 오면 그에 적절한 응답을 제공한다. 이러한 기술을 tunneling 기술이라 하며 ICMP, UDP, IP, TCP[26] 등 다양한 프로토콜 계층에서 구현될 수 있으며, http[27], Mail[28], DNS[29] 등 응용프로그래밍 계층에서도 구현될 수 있어 파이어월을 우회할 수 있는 수단을 제공한다. 또한 침입탐지시스템을 우회하기 위하여 암호화 기능을 제공하기도 한다.

네트워크 백도어 이외에도 시스템에서 특정 파일이나 프로세스를 숨기기 위한 기술도 발전하고 있다. 단순히 login, ps, ls, find 등과 같은 프로그램을 변조하는 것이 아니라 커널레벨에서 은닉기능을 구현한다. 이미 FreeBSD, linux와 solaris에 대한 커널 백도어[30]가 공개되었다. 이러한 커널 백도어는 사실상 탐지하기가 불가능하다. 예방하기 위해서는 커널에서 LKM 기능을 제거하면 되지만 최근 실행되고 있는 커널에 코드를 삽입하는 방법[31]에 관한 기술도 이미 언급되고 있어 이 또한 완전한 방법은 아니다.

백도어의 형태 및 기능 또한 다양화되고 있다. 공격자가 백도어로 연결을 맺는 서버 개념의 백도어에서 벗어나 Reverse Pimpage[32], reverse ssh[33]와 같이 클라이언트 형식의 백도어가 있다. 이는 대부분의 사이트가 외부로 나가는 패킷에 대한 필터링을 하지않는 모안모델의 취약점을 이용한 것이다. tunneling 기술을 이용하여 모듈 업그레이드, 원격 공격명령 수행 등을 수행하는 에이전트 형태의 백도어도 존재한다. 이러한 기능이 추가되고 있다는 사실은 공격자가 지속적으로 백도어를 이용하겠다는 의미이며, 수천대의 호스트가 공격에 사용되었던 최근의 DDOS 공격에서처럼 향후의 공격을 준비한다는 의미로 받아들일 수 있다.

개인적인 의견이지만, "최근의 급격한 공격 증가의 상당수가 이러한 백도어를 심기위한 작업을 위한 것이며, 이는 향후 보안 시스템이 보편화된 뒤에도 백도어를 이용하여 공격을 효율적으로 그리고 지속적으로 수행하기 위한 것처럼 보인다."

2.5 악성 에이전트[34]

윈도우 시스템 기반의 공격도구가 증가하고 있다. 앞서 설명한 바와 같이 보안인식이 없는 일반 사용자를 대상으로 공격함으로서 보안시스템을 우회할 수 있기 때문이다. 그리고 윈도우 시스템의 성능향상 또한 공격자로 하여금 윈도우 시스템을 매력적인 공격 목표로 만들고 있다.

클라이언트로 사용되는 윈도우 시스템을 공격하여 가장 효율적으로 이용하기 위한 수단은 에이전트 형태의 프로그램이다. 에이전트는 공격자의 명령을 받아 공격자 대신에 공격임무를 수행해 주고 그 결과를 다양한 방법으로 전달해 줄 수 있다. 이는 공격자로 하여금 시스템에 로그인하지 않고도 시스템을 조작하게 함으로서 공격자의 노출 위험을 줄여준다. 이러한 잇점 때문에 현재 유닉스 시스템에서 사용되는 백도어나 공격도구들도 이러한 에이전트 형태로 나타나고 있다.

악성 에이전트는 바이러스의 확산기능, 스파이 기능, 원격제어 기능, 시스템 침입기능 등 다양한 기능을 가지고 있으며, 모든 특성을 가진 악성 에이전트도 존재한다. 이미 백오러피스와 유사한 종류의 공격도구는 그 수가 수백가지에 이르며, E-mail을 전파 매체로 사용하는 인터넷 웜 바이러스는 이러한 공격도구를 널리 유포시킬 수 있는 수단이 될 수 있다. 또한 E-mail뿐만 아니라 브라우저 등의 버그를 이용하여 일반적인 웹을 통하여 유포될 수도 있어 더욱 위험한 공격방법이 된다.

2.6 사회공학기법(Social Engineering)[35]

보안시스템이 잘 갖추어진 사이트를 공격하는 경우나, 조직화된 공격 또는 대규모의 공격에 있어 사회공학기법은 필수적인 요소이다. 사실 사회공학기법은 네트워크 공격에서 일반인이 많이 간과하는 부분이며, 따라서 최근에 이러한 취약점을 이용한 공격이 증가하고 있다.

사회공학기법을 이용한 가장 대표적인 공격은 바로 멜리사 바이러스이다. 멜리사 바이러스는 파이어월에서 통제하지 않는 E-mail을 그 전파 매체로 사용하고 있는데, 여기서 주목할 것은 감염된 사용자의 메일 주소록을 통해서 전파된다는 점이다. 이는 E-mail사용자들간의 신뢰관계를 이용한 것으로, 그 효과는 피해규모가 말해 주고 있다.

또한 최근에 공개되는 공격코드는 1524, 2222 등 특정포트를 개방하도록 하는 백도어를 설치한다. 그리고 이러한 프로그램은 매우 쉽게 컴파일되고 실제 공격에서도 잘 실행된다. 이는 스크립트키디 또는 워너비들이 이러한 공개된 코드를 가지고 많은 시스템을 공격하게 하여, 인터넷의 많은 시스템을 손쉽게 공격하고자 하는 의도가 있을 수 있다. 사실, 공격코드는 일부러 틀리게 작성하여 공개함으로서, 일반인 또는 스크립트키디들이 "절대 공짜로 쉽게 정보를 얻는 일이 없도록 하는게" 일반적인 해커의 습성이다.

사회공학기법을 이용한 공격은 무궁무진하며, 탐지하기가 매우 어렵다. 네트워크 공격은 기술적으로만 이루어지는 것이 아니라는 것을 명심하여야 한다.

2.7 새로운 공격기법의 특징

앞서 설명한 최근 발견되는 공격도구들은 공격기법의 새로운 패러다임인 에이전트화, 분산화, 자동화, 은닉화의 특징을 보여준다. 각각의 특징은 독립적인 기능이라기 보다 "보다 효율적인 공격"이라는 목표를 향하여 상호의존적으로 발전하고 있다. 그리고 이러한 변화는 이미 언더그라운드에서 시작되었으며, Yahoo, amazon 등 유명 전자상거래 사이트에 대한 분산 서비스거부공격(DDOS, Distributed Denial Of Service)[36]에서 표면화되었다.

2.7.1 에이전트화

전통적인 공격기법에서는 공격자가 침입한 시스템에 다시 로그인하거나 또는 백도어를 통하여 재침입하고 다른 시스템을 공격하는 공격전이 단계를 거치는 것이 일반적이었으나 최근의 공격기법에서는 원격으로 조정 가능한 agent형의 백도어를 설치하고 이를 이용하여 다른 시스템을 공격하는 방법을 사용한다. 이는 공격자가 매번 로그파일에서 자신의 흔적을 지워야만 하는 번거로움을 없애주며, 많은 시스템을 이용하여 분산 공격을 수행할 때 매우 효과적인 방법이다.

2.7.2 분산화

전통적인 공격기법에서는 하나의 시스템에서 단일의 공격대상 시스템이나 대규모의 광범위한 네트워크를 대상으로 공격을 시도하는 반면, 새로운 공격기법에서는 침입탐지시스템 등의 보안 시스템을 우회하기 위하여 많은 수의 시스템에서 단일의 시스템 또는 다수의 시스템을 공격하는 방법을 사용한다.

분산 공격은 원격 명령으로 공격을 수행하거나 또는 패킷을 릴레이 해주는 에이전트화 된 공격도구를 이용함으로서 공격자의 위치를 감출 수 있으며, 보다 빠르게 공격대상 시스템에 대한 정보를 수집할 수 있다.

2.7.3 자동화

인터넷 웜 및 윈도우용 공격도구, 그리고 최근 침해사고에서 발견되는 자동 공격 스크립트의 증가는 공격도구들이 자동화되고 있음을 의미한다. 그리고 이러한 자동화는 분산 네트워크 공격을 가능하게 한다.

2.7.4 은닉성

에이전트를 이용한 분산 공격기법은 침입탐지시스템을 무력화시키는 가장 효과적인 공격기법으로 공격자의 위치를 은닉시킬 수 있는 공격기법이다. 이러한 에이전트와 공격자간의 통신은 암호화 및 tunneling 기법을 사용하여 탐지하기 어렵도록 한다.

3. 새로운 네트워크 공격의 발전방향

앞서 설명한 바와 같이 새로운 공격기법은 에이전트화, 분산화, 자동화, 은닉화를 추구하고 있으며, 공격 용도에 따라 특정 기능만을 이용하거나 또는 이러한 모든 기능을 가진 악성 에이전트 또는 공격도구가 나타날 것이다. 또한 WAP, PDA 등의 "인터넷 어플리케이션이 많아질수록 그에 비례하여 공격방법도 다양해 질 것이며, 이러한 공격을 탐지하고, 대응하기 위해서는 더욱 많은 노력과 비용이 요구될 것이다."

네트워크 공격은 서버를 대상으로 하는 공격보다 상대적으로 보안인식이 없는 일반사용자를 대상으로 하는 공격이 증가하고 있으며, 앞으로도 지속적으로 발전/증가할 것이다. 왜냐하면, 아직 개인 사용자에 대한 보안인식 및 보안대책이 미비하기 때문이다. 네트워크 공격 또한 실세계에서의 공격과 마찬가지로 가장 취약한 부분을 찾아 공격하기 마련이다.

인터넷의 발전 속도와 비례하여 네트워크 공격기법도 증가한다. 인터넷과 관련된 수많은 어플리케이션의 발전과 더불에 그에 따르는 취약점 및 공격기법이 다양화되고 있다. 새로운 인터넷 매체는 악성 에이전트의 유포에 사용될 수 있으며, 매일 새롭게 등장하는 인터넷 어플리케이션들은 잠재적인 취약성 또는 버그를 포함한다. 그리고 OS, 시스템 또는 네트워크 프로토콜과 관련된 버그보다는 어플리케이션 계층에서의 취약점이 지속적으로 많이 발견되고 공격에 사용될 것이다.

인터넷 공격이 경제적 목적뿐만이 아니라 정치적 목적으로 사용될 가능성이 높아지고 있다. 경제적 목적뿐만이 아니라 정치적으로 이용하기 위해서 DDOS와 같은 공격을 수행할 수도 있을 것이다. 이는 예전의 홈페이지 변조, 자료유출 등의 피해 차원의 공격이기 보다는 여론 및 인터넷 커뮤너티를 움직이기 위한 보다 조직적이고 교묘한 공격이 될 수도 있다는 것이다. 그리고 이러한 의도적인 공격은 그 모티브를 찾기가 불가능할 것이다. 이에 대해서는 그 가능성만이 있을뿐 이를 입증할 만한 자료는 찾아보기 힘들다(2000년 2월 DDOS 사건과 최근 MS 해킹사고 등에서 몇몇 숨겨진 의도에 대한 의문이 제기되기도 했었다). 하지만 이미 인터넷은 세계 경제의 중심에 서있다는 사실에 주목하여야 한다.

Top

[ Reference]

[1] know Your Enemy : I, II, III, Lance Spitzner, 2000. 7

http://www.enteract.com/~lspitz/enemy.html

- Know Your Enemy 시리즈 홈페이지로 블랙햇(Black Hat) 커뮤너티에 대하여 연구하는 사이트이다. 또한 본 사이트를중심으로 HoneyPot 프로젝트를 수행하고 있는데 대부분의 참가자들이 수준있는 보안 전문가들이다.

[2] Network Scanning Techniques, Sys-Security Group, Ofir Arkin, 1999.9

http://www.sys-security.com/html/papers.html

- 네트워크 정보수집을 Foot printing, Scanning, Enumeration로 나누어 설명하고 각 단계에서 사용하는 기술을 전반적으로 간략히 설명한다. 설명의 깊이는 낮지만 상당히 많은 부부을 커버한다.

[3] The Art of Port Scanning, Phrack Magazine Volume 7, Issue 51 September 01, 1997, article 11 of 17 Fyodor <fyodor@dhp.com>

http://packetstorm.securify.com/mag/phrack/phrack51/P51-11

- vanilla TCP connect() scanning, TCP SYN (half open) scanning, TCP FIN (stealth) scanning, TCP ftp proxy (bounce attack) scanning, SYN/FIN scanning using IP fragments (bypasses packet filters), UDP recvfrom() scanning, UDP raw ICMP port unreachable scanning, ICMP scanning (ping-sweep), reverse-ident scanning 기술을 설명한다.

Sscan 분석 보고서, CERTCC-KR, 정현철, 1999.2

http://www.certcc.or.kr/paper/tr1999/1999003/Docs/tr1999003.html

Mscan 분석 보고서, CERTCC-KR, 김상정, 1998.8

http://www.certcc.or.kr/paper/tr1998007.html

[4] Remote OS detection via TCP/IP Stack FingerPrinting, Fyodor, 1998.10.18

http://www.nmap.org/nmap/nmap-fingerprinting-article.html

- FIN probe, BOGUS Flag probe, TCP ISN Sampling, Don't fragment bit, TCP initial Window, ICMP error message quenching, type of service, Fragmentation handling 등의 방법을 이용하여 원격지 시스템의 OS 버전을 스캔한다.

[5] QueSO

http://www.apostols.org/projectz/queso

- 원격 시스템의 OS를 탐지하기 위한 도구로 SYN+ACK, FIN, FIN+ACK, SYN+FIN, PSH, SYN+XXX+YY(XXX & YYY : unused TCP flags) 등의 패킷을 보내 그 응답을 분석하여 OS 종류 및 버전을 알아낸다.

[6] Firewalk분석보고서, CERTCC-KR, 이현우, 1998.12

http://www.certcc.or.kr/paper/tr1998019.html

http://www.packetfactory.net/Projects/Firewalk/

- 게이트웨이의 접근제어리스트 필터링을 스캔하거나 네트워크 토폴러지를 스캔하기 위한 기술로 변형된 traceroute를 이용, 게이트웨이의 열린 포트를 알아낼 수도 있으며, 또한 패킷 필터링 장치로 보호되는 내부의 라우터를 알아낼 수도 있다.

[7] hping2

http://www.kyuzz.org/antirez/hping/

- 임의의 ICMP/UDP/TCP 패킷을 만들어 보내고 그 응답을 볼 수 있도록 만든 프로그램으로 firewal rules 테스트, [spoofed] port scanning, 성능 테스트, Path MTU discovery, Files trasfer, 다양한 프로토콜을 이용한 traceroute, Remote OS fingerprin, TCP/IP stack auditing 등의 작업을 할 수 있다.

[8] network map(nmap)

http://www.nmap.org/

- 범용 네트워크 스캔도구로 스캔과 관련된 대부분의 기능이 구현되어 있다.

[9] Smashing The Stack For Fun And Profit, Aleph One, Phrack magezine Volume Seven Issue Forty-Nine File 14 of 16

http://www.phrack.com/

[10] Computer Vulnerabilities, Security Paradigm Eric Knight

http://www.securityparadigm.com/compvuln_draft.pdf

- 시스템 취약점에 대하여 분류 및 정리

http://cve.mitre.org/

http://www.securityfocus.com/

http://xforce.iss.net/index.php/

- 최근에 발견되는 네트워크 및 시스템 취약점 정보를 제공하는 대표적인 사이트로 공격코드까지도 공개된다. CVE(Commen Vulnerability Exposure)의 경우 동일한 취약점이 여러 다른 이름으로 불리는 것을 방지하고 취약점에 대한 신뢰성 있는 정보를 제공하기 위해 만들어진 기관이다. securityfocus의 경우 bugtraq이라는 메일링리스트를 통하여 최근의 버그에 대하여 토론하고 이를 정리하여 올려놓고 있다.

[11] 트로이 목마와 백도어 분석 보고서, CERTCC-KR, 정현철,

http://www.certcc.or.kr/paper/tr1999/1999006/Docs/tr1999006.html

http://www.securitymap.net/tools/backdoor

[12] Sniffer FAQ

http://www.robertgraham.com/pubs/sniffing-faq.html

네트워크 스니핑 기술 및 방지대책, CERTCC-KR, 박현미/신은경/이현우

http://www.certcc.or.kr/paper/tr2000/2000-07/tr2000-07.htm

[13] CERTCC-KR 침해사고 현황

http://www.certcc.or.kr/statistics/hack/hack.htm

- CERTCC-KR의 통계자료를 보면 해킹사고의 많은 부분이 경유지로 사용된 경우임을 알수 있다.

[14] FIRST Team Info

http://www.first.org/team-info/

- 침해사고 대응을 위한 CERT팀간의 공조를 위한 기구로 현재 수 많은 국가의 CERT팀들이 가입해 있다. 이들 CERT간의 협력은 공격자의 활동범위를 많이 축소시키고는 있으나, 대부분 ORG 성격을 가지고 있어 적극적인 공격대응을 하지 못하고, 다만 예방 및 침해사고의 확산 방지에만 노력하고 있다.

[15] Project Loki, daemon9/alhambra, Phrack magezine Volume Seven Issue Forty-Nine File 06 of 16, 1996.

http://www.phrack.com

- Covert channel에 대한 개념을 처음으로(?) 소개한 문서로 아주 정상적으로 보이는 Ping traffic을 이용하여 데이터를 주고받을 수 있는 채널을 형성하는 방법을 보여준다. 최근의 악성 에이전트에서는 이러한 Ping 패킷에 공격명령 정보를 암호화 하여 보내는 방법을 사용하기도 한다.

[16] libpcap, Packet Capture Library

- 네트워크상의 패킷을 읽어 BPF 방식으로 필터링을 제공해 주는 라이브러리로, 침입탐지시스템, 스니퍼 등 수많은 보안 또는 공격용 프로그램에서 사용한다.

[17] Libnet, Packet Assembly System

http://www.packetfactory.net/Projects/Libnet/

- 네트워크 패킷을 만들 수 있도록 도와주는 라이브러리로 로레벨에서의 패킷 생성 및 조작을 가능하게 한다. Hijacking 프로그램 또는 네트워크 연결을 관리해 주는 프로그램 등에서 사용한다.

[18] Back Orifice 분석 보고서, CERTCC-KR, 신훈, 1998. 8

http://www.certcc.or.kr/paper/tr1998005.html

[19] Hacker Society, Gilbert Alaverdian,

http://www.neo.net.au/papers/[neo]hacker_society.html

- 언더그라운드 해커의 사회 규범, 코드, 규정 등에 대하여 설명하고, 해커의 분류에 대한 자료이다.

[20] Win/Trin00

http://packetstorm.securify.com/distributed/razor.wintrinoo.txt

- 유닉스의 Trin00에 해당하는 윈도우용 공격 에이전트에 대한 설명

[21] phpDistributedPortScanner , A Distributed Port Scanner

http://www.digitaloffense.net:8000/index.html?section=PROJECTS

- 분산 네트워크 스캐너의 한 종류에 불과하며, 기타 다양한 도구들이 존재한다.

[22] ADM Internet Worm

http://www.whitehats.com/library/worms/adm/index.html

- 원격 BIND 취약점을 자동으로 공격하여 접근권한을 회득하고, 피해 시스템에서 또 다시 다른 호스트를 공격하는 프로그램이다. 피해 시스템은 "w0rm"이라는 백도어 계정이 생성되며, 피해 시스템의 IP주소가 공격자에게 메일로 전달된다.

[23] Millennium Internet Worm 분석 보고서, CERTCC-KR, 이상엽/이현우, 1999. 9.

http://www.certcc.or.kr/paper/tr1999/1999009/tr1999009.html

http://www.whitehats.com/library/worms/mworm/index.html

- imap4 v10.x, Qualcomm popper, bind with iquery, 그리고 rpc.mountd services 등 최근의 원격 버퍼오버플로우 취약점에 대하여 자동으로 스캔하여 침입하는 프로그램이며, 자신이 공격한 시스템에 대해서는 패치를 하여 다른 공격자가 침입하지 못하도록 한다.

[24] 분산환경에서의 서비스거부공격 분석보고서, CERTCC-KR, 이현우/정현철, 1999. 12.

http://www.certcc.or.kr/paper/tr1999/1999010/tr1999010.html

- 1999년 7, 8월 경에, 국내 모대학의 60여 Solaris 서버가 반자동화된 공격으로부터 침입을 당하여 Trin00 에이전트가 설치되고, DDOS 공격에 이용당한 사고 있었다. 이 사고와 관련된 미국의 몇 몇 대학교 역시 250여대 또는 100여대의 Solaris 서버가 똑같은 방법으로 해킹을 당하였으며 공격이 이용되었다.

[25] PROJECT AREA52, Volume 0xa Issue 0x38, Jitsu-Disk/Simple Nomad/Irib, 05.01.2000

http://packetstorm.securify.com/mag/phrack/phrack56/p56-0x06

- 실제 공격과는 별개로, 보편적인 공격기법 분류에 따른 자동공격엔진(Automated attack engine) 구현을 시도한다. 대부분 Phrack에서 나온 개념들은 현실성이 있는 개념이며 많은 부분이 구현되어 왔다.

[26] Covert Channels in the TCP/IP Protocol Suite, Craig H. Rowland, 1996. 11.

http://www.securitymap.net/docs/attack/covert_tcp.txt

- TCP 헤더의 다양한 필드(IP Identification Field, Initial Sequence Number Field, The TCP Acknowledge Sequence Number Field("Bounce"))를 이용하여 Covert channel을 형성할 수 있는 방법에 대하여 설명한다. 이러한 Covert channel은 파이어월 및 IDS를 우회하기위한 기술이다.

Placing Backdoors Through Firewalls, van Hauser/THC,

http://thc.pimmel.com/files/thc/fw-backd.htm

- 파이어월 또는 IDS를 우회하기 위한 백도어들에 대하여 설명한다. 주로 어플리케이션 레벨의 백도어를 다룬다.

[27] HTTP tunnel, Lars Brinkhof

http://www.nocrew.org/software/httptunnel.html

- HTTP request를 이용하여 양방향(bidirectional)의 데이터 채널을 생성하는 방법에 대하여 설명한다. WWW 서비스가 제공되는 경우, 이러한 채널은 파이어월을 통과하여 생성될 수 있다.

[28] MailTunnel

http://www.detached.net/mailtunnel.html

- E-Mail 메시지를 통하여 양방향의 가상 데이터 채널을 생성하는 방법을 설명한다. 파이어월에서 메일서비스를 제공할 경우, TCP/IP상의 어떠한 세션도 만들 수 있다.

[29] DNS Tunnel

http://www.icon.co.za/~wosp/wosp.dns-tunnel.tar.gz

- Covert channel을 위해 DNS query/response를 사용한다.

[30] attacking solaris with loadable kernel modules, Plasmoid/THC, 1999

http://www.pimmel.com/articles/slkm-1.0.html

attacking freebsd with kernel modules, pragmatic/THC, 1999. 6.

http://www.pimmel.com/articles/bsdkern.html

lkm - loadable linux kernel modules pragmatic/THC, 1999. 3.

http://www.pimmel.com/articles/lkm-hacking.html

Anonymizing UNIX Systems, van Hauser / THC

http://www.pimmel.com/articles/anonymous-unix.html

[31] RUNTIME KERNEL KMEM PATCHING, Silvio Cesare, 1998

http://www.big.net.au/~silvio/runtime-kernel-kmem-patching.txt

- LKM을 이용하지 않고 커널 메모리(kmem)에 직접 접근하여 Runtime 커널을 수정하는 방법에 대하여 설명한다.

[32] Reverse Pimpage

http://soomka.com/

- reverse telnet 프로그램으로 파이어월을 통과하기 위하여, 내부의 telnet 데몬에서 외부사용자로 접속을 시도한다.

[33] openssh.reverse.tgz, 2000. 10. 3

http://teso.scene.at/releases.php3

- OpenSSH을 수정한 프로그램으로 외부 사용자가 NAT 파이어월내의 시스템으로 접속할 수 있도록 해준다. sshd가 클라이언트처럼 동작한다.

[34] THE EVOLUTION OF MALICIOUS AGENTS

http://www.securitymap.net/sdm/docs/virus/agents.txt

- 모리스웜에서 멜리사 바이러스에 이르는 트로이잔, 바이러스, 인터넷 웜에 대하여 다루고 있다. 초근의 웜형 공격프로그램에 대하여 "악성 에이전트"라는 새로운 용어를 사용하였다. 확산형, 스파이형, 공격형, 원격 통제형 등으로 악성 에이전트를 분류하고 있으며, 이러한 모든 기능을 가진 RingZero Trojan의 기능을 분석하였다.

[35] Social Engineering FAQ

http://www.securitymap.net/sdm/docs/faq/socialen.txt

[36] Distributed Denial of Service (DDoS) Attacks/tools, David Dittrich

http://staff.washington.edu/dittrich/misc/ddos/

http://www.securitymap.net/

- 본 문서에 나온 모든 레퍼런스 내용을 포함한 사이트

[*] CERTCC-KR

http://www.certcc.or.kr

[*] PacketStorm

http://packetstorm.securify.com

[*] Distributed Metastasis, Andrew J. Stewart,

http://www.packetfactory.net/Papers/

- 본 문서보다 8개월 정도 빨리 나온 문서로 본 문서와 비슷한 내용을 담고 있다. 필자의 생각을 정리하는데 큰 도움을 주었으며, 많은 내용을 함축하고 있다.

[*] Protecting against the unknown, Mixter, January 2000

http://mixter.void.ru/protecting.txt

- "A guide to improving network security to protect the Internet", DDOS 공격이후 Packetstorm 사이트에서 그에 대한 대응방안에 대한 paper를 공모하여 1등에 뽑힌 paper 이다. 시스템, 네트워크, 바이러스, OS, 어플리케이션, 기준 등에 대하여 논하고 있으며, 단기적/장기적 관점에서 그 대응방안을 얘기한다. 지금까지의 보안 문서중 가장 종합적이며, 현실적인 면에 대하여 지적하고 있다.

Top