보안 위협

패스워드 크래커¶

• 사전 공격(Dictionary Attack)
• 패스워드 사전 파일을 이용하여 접속 계정을 알아내는 해킹 방법
• 공격 대상의 개인 정보를 알고 있다면 효율적
• 무차별 공격(Brute-force Attack)
• 성공할 때까지 가능한 모든 조합의 경우의 수를 시도해 공격
• 하이브리드 공격
• 사전 공격 + 무차별 공격
• 레인보우 테이블 공격
• 패스워드를 해시 처리하여 패스워드와 해시로 이루어진 체인을 무수히 만든 테이블을 대입하여 공격
• 사전 공격, 무차별 공격보다 적은 시간 소요
• 패스워드에 솔팅 처리를 하여 예방

사회공학 공격¶

신뢰할 수 있는 개인이나 조직을 사칭하여 공격대상의 민감한 정보를 빼내는 공격 기법

• 피싱(Phishing)
• 공격 대상에게 E-mail 을 발송하여 위조된 사이트로 이동시킨 후, 개인 정보를 요구
• 파밍(Pharming)
• 정상적인 사이트로의 접속 요청을 위조 사이트로 바꾸어 개인정보 탈취
• 스미싱(SMishing)
• SMS+Phishing
• SMS을 통해 사용자를 속여 악성 소프트웨어 설치를 유도
• 해당 소프트웨어를 통해 개인정보를 탈취하거나 금전을 요구

은닉채널¶

엔티티가 허가되지 않은 방식으로 정보를 얻는 방법

• 보안 메커니즘에 의해 통제되지 않는 정보흐름
• 정보흐름은 은닉채널이 존재하지 않게 설정해야 함
• 은닉채널의 위험은 대역폭에 따라 변경되기 때문에 대역폭을 제한

대응책¶

• 로그분석
• HIDS(호스트 기반 IDS)탐지
• 시스템 자원분석

방사¶

• 컴퓨터와 장치로부터 방출되는 전기적 신호를 가로채는 방법

대응책¶

• 탬페스트
• 차폐물질을 통해 방사되는 신호를 억제하는 기술의 표준
• 차폐물질을 생산하는 업체는 반드시 표준에 대해 인증
• 백색소음
• 일정한 범위의 무작위적인 전기 신호를 의도적으로 방출
• 통제구역
• 전기적 신호가 새어나지 않게 하기 위해 벽면에 물질을 사용