정보보안개요 랜섬웨어 해킹 개인정보 유출 사고 보안공격

정보 보안 개요

1. 랜섬웨어 사고의 재구성

- 랜섬웨어라는 악성코드의 공격으로 서버에 저장된 중요한 파일들이 랜섬웨어에 의해 모두 암호화가 된다.
- 랜섬웨어는 강력한 대칭키 암호화 알고리즘으로 암호화했기 때문에 암호 키를 알지 못하면 복구 불가하다.

 

랜섬웨어 감염 방식

보안공격 1단계 : 공격자가 관리자 PC에 악성코드 설치 및 계정 정보 탈취한다.
(이 과정에서 웹 호스팅 서버를 접속할 수 있는 게이트웨이 서버 정보, 실제 웹 호스팅 서버 계정 정보 등의 내부 정보 수집)

보안공격 2단계 : 공격자가 탈취한 정보로 게이트웨이 서버를 통해 실제 웹호스팅 서버들에 접속해서 랜섬웨어 악성코드 설치한다.
(이 과정에서 백업 서버 발견, 백업 서버에도 랜섬웨어 설치 가능)

보안공격 3단계 : 보안 경계가 가장 느슨해질 수 있는 시간대에 랜섬웨어가 동작하도록 설정한다.
ex) 에레버스(erebus) 랜섬웨어 : .doc/.hwp/.zip/.png 등 433개의 파일 확장자를 가진 파일을 암호화 하도록 코딩 된다.

- 개인 정보 유출로 인한 기밀성이 손상된다.
- 랜섬웨어 파일 설치로 무결성이 위배된다.
- 정상적인 웹호스팅 서비스가 이루어지지 않아 가용성 위배된다.

 

APT 보안 공격 ;advanced persistent threats, 지능적 지속 위협

- APT가 단기적으로 정보를 유출하는 것이 아니라 오랜 잠복 기간 흔적을 남기지 않고 정보를 수집한다.
- 잠복하면서 흔적을 하나씩 지우기 때문에 공격 여부 확인 어렵다.
- 장시간에 걸쳐 보안 취약점 정보 수집 (잠복성) = 말미암아 숨바꼭질형 보안 공격한다.

ex) 고객을 가장하여 문의하는 이메일, 여행 등의 미끼상품, 국가기관을 사칭한 이메일 등 클릭한다.
-> 마치 자신의 PC처럼 외부에서 원격 조종 가능하게 만든다, 좀비PC가 된 관리자 PC를 통해 공격한다.

 

 

2. 개인정보 유출 사고의 재구성

- 해커가 단순히 홈페이지 서비스를 제공하는 일반적인 웹서버가 아니라 알집 프로그램의 엄데이트를 담당하는 업데이트 서버 공격한다.

 

개인정보 탈취

보안공격 1단계 : 공격자가 업데이트 서버 해킹한다.

보안공격 2단계 : 공격자는 정상적인 업데이트 파일을 자신이 만든 좀비PC로 만드는 악성코드에 감염된 파일로 교체한다.
특이한 점은 업데이트 파일을 내려받는 모든 사용자가 대상이 아니라 공격대상으로 삼은 사이트만 대상으로 공격하는 것이다.
(원격 조종으로 DB 계정 정보, 관리자 ID 비밀번호 탈취)

보안공격 3단계 : 습득한 DB 계정 정보를 이용해 관리자인 것처럼 DB 접근해 고객 정보 해킹을 시도한다. (대규모 고객 정보 유출 사고) 

- 업데이트 서버가 해킹된 것은 웹 서버의 기밀성이 손상한다.
- 부적절한 권한을 가진 해커에게 정보 유출된 것도 기밀성 위배된다.
- 악성코드 파일 교체로 무결성 위배된다.