자격증/정보처리기사
[정보처리기사 실기] 암기해야하는 여러가지 보안 및 해킹 기술 용어 정리
개발..너...
2024. 7. 11. 19:19
킬스위치(Kill Switch)
스마트폰 이용자가 도난당한 스마트폰의 작동을 웹사이트를 통해 정지할 수 있도록 하는 일종의 자폭기능으로 스마트폰의 유통, 도난, 분실을 어느정도 막을 수 있고, 원격잠김, 개인정보 삭제등의 기능이 있으며, 단말기의 펌웨어나 운영체제에 탑재되는 기술은 킬 스위치이다.
(18년 2회)
정보보안의 핵심 3요소
기밀성, 무결성, 가용성
도스공격(Dos : Denial of Service, 서비스거부)
공격할 서버에 계속 공격하여 가용성을 파괴하게하는 네트워크 공격
| 공격 명칭 | 설명 |
| Smurf Attack | IP, ICMP의 특성(데이터를 보냈으나 문제가 생기면 문제가 발생됨의 결과가 return 되는 것)을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보내서 네트워크를 불능으로 만드는 것 |
| SYN flodding | 공격자가 TCP의 3-way-handshake 과정을 의도적으로 중단하여 서버를 대기상태로 두는 것 |
| UDP 플러딩 | 대량의 UDP을 이용하여 대상 호스트의 네트워크 자원을 소모시키는 공격을 말한다. |
| Ping 플러딩 | 대량의 Ping을 이용하여 대상 호스트의 네트워크 자원을 소모시키는 공격을 말한다. |
| Ping of Death | Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용범위 이상으로 전송하는 것 |
| Teardrop Attack | 데이터를 송수신시에 패킷의 분할 순서(off Set) 도 함께 전송되는데 이 순서를 변형해서 재조립시 오류를 발생시키는 것 |
| LAND Attack | 패킷을 전송할 때 송신 IP 와 수신 IP를 공격대상 IP로 두어서 자기 자신에게 응답하고 송신하게 하는 과정을 무한히 반복하게 하는 것 |
스팸 차단 솔루션(Anti-Spam Solution)
메일 서버 앞단에 위치하여 프로시(Proxy) 메일 서버로 동작하며 메일 바이러스검사, 내부 -> 외부 본문 검색 기능을 통한 내부 정보 유출 방지하는 보안 솔루션이다.
네트워크 보안 솔루션
| 보안솔루션 | 설명 |
| 방화벽 (FireWall) |
미리 정의된 보안규칙을 기반으로 외부로부터 불법 침입과 내부의 불법정보유출을 방지하고, 내/외부 네트워크의 상호간 영향을 차단하기 위한 보안시스템 |
| 침입 탐지 시스템 (IDS; intrusion Detection System) |
네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원접근과 보안정책위반행위(침입)를 실시간으로 탐지하는 시스템 |
| 침입 방지 시스템 (IDS; Intrusion Prevention System) |
네트워크에 대한 공격이나 침입을 실시간적으로 차단하고, 유해 트래픽에 대한 조치를 능동적으로 처리하는 시스템 |
루트킷, 크라임웨어
| 공격용도구 | 설명 |
| 루트킷 (Rootkit) |
시스템 침입 후 침입 사실을 숨긴 채 차후의 침입을 위한 백도어, 트로이목마 설치, 원격접근, 내부사용흔적삭제, 관리자 권환 획득 등 주로 불법적인 해킹에 사용되는 기능을 제공하는 프로그램 모음 해커가 시스템의 민감한 정보를 수집하거나, 네트워크상의 다른 시스템을 공격 또는 추적 회피를 위한 중간지점으로 이용하더라도 로그를 지워버릴 수 있어 탐지하기 어렵다. |
| 크라임웨어 (Crimeware) |
온라인상에서 범죄와 같은 불법적인 행위를 수행하기 위해 제작된 컴퓨터 프로그램으로, 공격용 툴킷으로 불린다. 악성 코드로 구성된 프로그램이 사용자를 속여 PC에 설치되면 불법적으로 정보를 수집하거나 PC의 자원을 사용하여 원하는 대상을 공격하는 용도로 사용 키로거, 스파이웨어, 브라우저 하이잭커 등이 속함 |
입력 데이터 검증 및 표현에 대한 취약점
| 취약점 | 설명 |
| XSS (Cross Site Scripting) |
검증되지 않은 외부 입력 데이터가 포함된 웹 페이지가 전송되는경우, 사용자가 해당 웹 페이지를 열람함으로써 웹 페이지에 포함된 부적절한 스크립트가 실행되는 공격 |
| 사이트 간 요청 위조 (CSRF) |
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 |
| SQL 삽입 (SQL Injection) |
응용프로그램의 보안 취약점을 이용하여 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스(DB)의 접근을 통해 정보를 탈취하거나 조작등의 행위를 하는 공격기법 |