주식회사 누리아이티

지문인식카드 및 정보자산 2차 인증 보안SW 전문기업

공격자의 전략과 전술, 그리고 그 과정(TTPs, Tactics, Techniques, Procedures)과 2차 인증(추가 인증) 설정

댓글 0

▶ BaroSolution/기타

2021. 4. 13.

지속적인 해킹 사고 발생으로 사이버 보안에 대한 요구가 커지고 있다.
 
방어 시스템이 고도화되고는 있지만, 과거에 사용되었던 해킹 기술로도 여전히 공격이 발생되고 있기 때문에 아무리 준비를 많이 해도 공격에서 예외가 될 수 있는 부분은 없다.
 


공격자의 전략과 전술, 그리고 그 과정(TTPs, Tactics, Techniques, Procedures)는 다음과 같다.
 
① 최초 침투
 
공격자는 외부에 노출되어있는 사내 홈페이지를 통해 최초로 접근을 시도하였다. 이후 특정 계정으로 로그인을 단번에 성공한 것으로 보아, 외부 노출 페이지와 계정정보를 기존에 미리 수집한 것으로 추정된다.
 
공격자는 게시판에 존재하는 파일 업로드 취약점을 이용하여 웹셸을 업로드하고 이를 통해 서버를 제어한다.
 
② 접근 권한 수집
 
웹셸로 접근했기 때문에 웹 서비스 권한만 소유한 공격자는 추가적인 악성행위를 위해 운영체제에 존재하는 취약점을 이용해 권한 상승을 시도했다.
 
이후 추가적인 계정 정보를 수집하기 위해 키로깅 악성코드를 설치한다.
 
③ 내부전파
 
권한 상승에 성공한 공격자는 이후 추가적인 전파를 위해 네트워크 공유를 이용한다. 이때 같은 계정을 사용하거나 세션이 유지되고 있는 서버에 대한 접근에 성공한다.
 
④ 악성코드 실행
 
이후 공격자는 at 명령어를 이용해 악성코드를 스케줄러에 등록해 실행하거나, sc명령어를 이용해 서비스로 등록해 실행시킨다.
 
⑤ 흔적 삭제
 
공격자는 공격을 마치거나 또는 거점으로서 일시적으로 이용한 서버에 대해서는 이벤트로그를 삭제하거나 악성코드를 삭제함으로써 공격의 흔적을 지운다.
 
⑥ 탈취 정보
 
공격자는 최종적으로 악성코드의 명령을 통해 사내 정보를 수집하며, 웹 페이지가 운영되는 서버에서는 웹로그도 수집한다.
 
 
위와 같은 과정을 보았을 때 사전에 정보를 수집하고 침투하여 행위를 가하고 지속적으로 정보를 수집하는 행위로 그 과정을 볼 수 있다.
 
미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다.
 
기업 및 개인의 정보 유출에 대한 해킹 피해보도는 잊혀질 만 하면 계속 발생되고 있으며, 이에 대한 피해는 심각한 수준이다. 보다 근본적으로 해킹에 안전한 2차 인증(추가 인증)를 사용하여 대응하여야 한다는 인식이 사회적으로 확산되고 있는 실정이다.
 
그러므로, 정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체할 수 있는 새로운 적용 방안(추가 인증, 비밀번호 대체, 새로운 비밀번호)이 필요하다.
 


우리의 미션은 정보자산의 OS와 어플리케이션에서 비밀번호를 없애는 것이다. 우리가 비밀번호를 계속 사용하는 한 우리의 프라이버시와 정보자산이 안전할 수도 편리할 수도 없다는 것을 누구나 알고 있기 때문이다. 또한 우리는 비밀번호를 제거할 수 있는 특별한 보안 기술인 정보자산의 2차 인증(추가 인증) 솔루션인 BaroPAM을 가지고 있기 때문에 이 미션을 반드시 달성할 수 있다.
 
지금까지 보안상 분기마다 한번씩 주기적으로 비밀번호 변경 규정에 따른 복잡한 비밀번호를 변경(비밀번호 증후군/리셋 증후군 호소)하는 것 보다 생각의 전환이 필요한 것 같다.
 


BaroPAM 같은 2-factor 인증 솔루션을 Linux/Unix 서버에 적용하면 비밀번호와 같이 일회용 일증키를 입력할 경우, 비밀번호를 먼저 입력하고 공백 없이 이어서 일회용 인증키를 입력하면 된다.

   
예를 들어, 비밀번호가 "baropam" 이고, 일회용 인증키가 "123456" 이라면 비밀번호 입력란에 "baropam123456"으로 입력하면 된다.
 
일회용 인증키 생성 주기가 30초 이면 30초 마다 일회용 인증키가 바뀌기 때문에 고정된 비밀번호와 결합하면 일회용 인증키 생성 주기 마다 새로운 비밀번호가 생성되기 때문에 고전적 방법인 주기적으로 서버의 비밀번호를 바꿀 필요가 없게 됩니다.

만약, 2-factor 인증 솔루션이 적용되어 있다면 비밀번호 입력란에 고정된 비밀번호만 입력하는 경우 서버 로그인을 할 수 없게 됩니다.
 


모든 정보자산의 "사용자 식별.인증에 대한 일회용 인증키 적용"은 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다.
 

사업자 정보 표시
주식회사 누리아이티 | 이종일 | 서울시 강서구 마곡중앙2로 15, 913호(마곡동, 마곡테크노타워2) | 사업자 등록번호 : 258-87-00901 | TEL : 010-2771-4076 | Mail : mc529@nurit.co.kr | 사이버몰의 이용약관 바로가기