![[정보보안기사] 접근통제 보안위협 및 대응책](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbynL12%2FbtqBJfmHpBU%2FwJHkyEhGRmiCh26euKwvFk%2Fimg.png)
1. 패스워드 크래커 (Password Cracker)
1) 사전 공격 (Dictionary Attack)
패스워드에 자주 사용되는 단어들은 Dictionary 파일로 만든 후 하나씩 대입하여 일치여부를 확인하는 크래킹 방법이다.
공격 대상의 개인 정보를 충분히 알고 있다면 매우 효율적인 공격이다.
해시된 패스워드들을 수집한 후 사전에 있는 단어와 비교하여 일치할 때까지 비교 작업을 수행한다.
2) 무차별 공격 (Brute-force Attack)
패스워드에 사용될 수 있는 문자열의 범위를 정하고 그 범위 내에서 생성 가능한 모든 패스워드를 생성하여 대입한 후 패스워드가 일치 여부를 확인하는 크래킹 방법이다.
Dictionary Attack 공격이 실패할 경우 Brute Force Attack 공격을 수행한다.
수천 개의 전화번호에 자동으로 전화를 걸어 모뎀에 장착된 전화번호를 찾는 기술인 워다이얼링에도 사용된다.
3) 혼합 공격 (Hybrid Attack)
Dictionary Attack 과 Brute Force Attack을 혼합한 방법으로 사전 파일에 있는 문자열에 문자, 숫자를 추가로 대입하여 패스워드 일치 여부를 확인하는 크래킹 방법이다.
4) 레인보우 테이블 공격 (Rainbow Table Attack)
패스워드를 해시 처리하여 패스워드와 해시로 이루어진 체인을 많이 만들어 놓은 테이블을 가지고 대입하여 공격한다.
사전공격, 무차별 대입 공격을 수행하는 것보다 훨씬 적은 시간이 소요된다.
패스워드를 해시로 저장할 때 salt 값을 넣어 예방할 수 있다.
2. 사회공학 공격(Social Engineering Attack)
신뢰할 수 있는 개인이나 조직을 사칭하여 공격대상의 민감한 정보를 빼내는 작업을 통칭한다.
인간기반 사회공학 공격, ICT 기반 사회공학 공격이 있다.
1) 인간기반 사회기반 공격
ID/PW 빼내기 카드 비밀번호화 보안카드번호 빼내기, 개인정보 빼내기 등인 대표적인 인간 기반 사회공학 공격이다.
2) 종류
어깨 넘어 훔펴보기(Shoulder Surfing)
쓰레기통 뒤지기(Dumpster Diving)
협박 메일(Blackmail)
따라 들어가기(Piggybacking)
3) 대응책
신원증명 요청, 문서세절기 이용, 보안인식 교육을 실시한다.
3. ICT 기반 사회공학 공격
1) 피싱 (Phising)
수신자에게 이메일을 발송하여 위조된 사이트로 이동시킨 후 이들에게 사이트 개편등의 이유로 고객정보를 요구하는 방법이다.
2) 파밍 (Farming)
위조 사이트를 개설한 후 원래 사이트로 접속시 위조된 사이트로 접근되도록 방향을 재지정한다.
피싱보다 속기 쉬우므로 피해를 당할 우려가 더 크다.
3) 스미싱 (SMishing)
SMS와 Phising이 결합된 용어로 SMS를 통해 사용자에게 트로이목마, 악성코드를 설치한 후 개인정보를 빼내거나 소액결재 등을 실행하여 금전적인 손해를 입히는 공격기법이다.
4. 은닉채널 (Covert Channel)
개체가 허가되지 않은 방식으로 정보를 얻는 방법이다.
정보흐름은 은닉채널을 존재하지 않게 설정한다. (쉽지 않음)
통신 대역폭을 제한하고 로그분석, HIDS(호스트기반 IDS), 시스템 자원 분석 등을 수행한다.
5. 방사 (Emanation)
컴퓨터와 장치로부터 방출되는 전기적 신호를 가로채는 방법이다.
탬페스트(TEMPEST): 차폐 물질을 통해 방사 신호를 억제한다. (장비는 인증을 받아야 함)
백색잡음: 일반 신호에 무작위적인 전기 신호를 의도적으로 방출한다.
통제구역: 전기 신호가 통과되지 않도록 벽면에 물질을 사용한다.
6) 워터링 홀 (Watering Hole)
표적으로 삼은 집단이 주로 방문하는 사이트를 감염시키고 피해 대상이 해당 웹사이트에 접근할 때까지 기다리는 웹 기반 공격기법이다.
[참조]
피싱: https://www.hsbc.co.kr/ko-kr/phishing-notification
파밍: https://blog.skbroadband.com/468
'Certification Study > 정보보안기사' 카테고리의 다른 글
| [정보보안기사] HTTP 개념 (0) | 2022.10.19 |
|---|---|
| [정보보안기사] 네트워크 개념 (4) | 2022.10.13 |
| [정보보안기사] 윈도우 서버 보안 (0) | 2022.10.12 |
| [정보보안기사] 36. 전자상거래 보안 (0) | 2022.10.03 |
| [정보보안기사] 정보보안 관리 및 법규 (3) | 2020.08.29 |
공부&일상 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요! 질문은 언제나 환영입니다😊
![[정보보안기사] HTTP 개념](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F3LMXJ%2FbtrO35RHN0o%2FHTzygJrkkYOrdw5gRwzgpK%2Fimg.png)
![[정보보안기사] 네트워크 개념](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FTtXLS%2FbtqBWrNNozN%2Ftg3MCJKqX4ElZshzis41B0%2Fimg.png)
![[정보보안기사] 윈도우 서버 보안](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FczE0R1%2FbtqBNjpG39v%2Faq3uMxSKMqJX04MNj6UJE0%2Fimg.png)
![[정보보안기사] 36. 전자상거래 보안](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FccQp6j%2FbtrNEvY0HHL%2FXLFJNLJ9hM6tCbunN1xQ01%2Fimg.png)