오늘날 특정한 카테고리의 공격이 주류를 이루고 있지만 이는 언제라도 순식간에 바뀔 수 있다는 점을 명시해야 한다. 님다(Nimda)웜이 네트워크를 공격하는 단일 문제로서 가장 일반적인 형태로 자리잡는 데는 매우 짧은 시간이 소요됐지만 또 다른 새로운 공격이 순식간에 가장 심각한 사안으로 대두될 수 있다. 다음의 보안 침입 유형은 가장 일반적인 공격 유형을 나타낸 것이다.
◆ 공중프로토콜 침입
네트워크 자원을 대상으로 가장 빈번하게 발생하는 공격은 인터넷 전반에 걸쳐 사용하는 프로토콜을 이용하기 위해 사용되는 메소드 그룹에서 시작되고 있다. 이들 공격은 네트워크내부에서 돌아다니려고 하는 외부의 누군가에 의한 것이다. 이들 중 일부는 단순한 프로브(예, 취약점을 발견하기 위해 포트를 스캐닝 하는 것)일 수도 있다. 이와 같은 프로브 자체로서는 네트워크에 아무런 해를 끼치지 않지만 종종 로그인 시도나 IP 스푸핑(spoofing)과 같이 좀 더 은밀한 메소드를 사용해 열린 프로토콜을 악용하려고 시도하기도 한다. 일단 네트워크가 일차적으로 손상을 입게 되면 네트워크 프로토콜을 이용한 추가 침입이 발생할 수 있다. 또한 기업 내부의 사용자가 네트워크 상에서 악의적인 행동을 시도할 수 있으며 이런 침입 형태는 그 피해가 매우 심각할 수도 있다.
◆ HTTP 공격
웜은 자기 복제를 통해 계속 퍼져나가도록 설계된 컴퓨터 코드다. 일부 웜은 단순히 계속 퍼져나가기만 해 컴퓨터와 네트워크 공간을 꽉 채워 마비시키기도 한다. 또한 다른 웜은 이동할 대 호스트 컴퓨터를 파괴시킨다. 1년 이상 수 천 여대의 머신을 감염시킨 님다와 같은 HTTP 웜은 감염된 e메일로부터 시작했다가, 일단 시스템에 이상이 발생하면 네트워크 공간으로 빠르게 퍼져나가게 되고, 그 다음 감염된 포스트는 취약한 웹서버를 스캐닝 한 후 감염시키는 여러 공격 메소드를 보유하고 있다.
웹 사이트를 관리하는 호스트 컴퓨터를 이용함으로써 님다는 실제로 기업의 방화벽 뒤에서 활동을 함으로써 인트라넷 상의 또는 심지어 비즈니스 파트너와 공유하는 엑스트라넷 상에서 안전하기 여겨지는 사이트를 감염시킨다. e메일을 스캐닝하는 안티바이러스 소프트웨어는 발생하게 될 웜의 확산을 전혀 파악하지 못한다. nIDS 센서는 단일의 감염된 호스트로부터 1,000회의 경보를 발행할 수 있지만 실제로 그 어떤 공격의 확산도 저지하지 못한다.
◆ SYN 플러드(flood) 공격
가끔 DoS공격으로 인해 유명 웹 사이트가 마비 또는 중단됐다는 뉴스를 접하곤 한다. 그러나 이 DoS공격은 실제 알려진 것보다 훨씬 더 자주 발생하며 모든 규모의 기업을 대상으로 이루어진다. 이들 공격은 서버에 엄청난 양의 트래픽을 일시에 반복적으로 보냄으로써 네트워크 속도를 느려지게 하며 적법한 사용을 막을 뿐만 아니라, 심지어 서버의 기능을 완전히 마비시킬 수 있다.
◆ FTP 공격
FTP(File Transfer Protocol)은 파일 공유를 위해 일반적으로 사용되는 인터넷 프로토콜이다. 그러나 설계상의 결함 때문에 ‘바운스(bounce)'공격에 취약하다. 공격자는 타깃 사용자의 IP주소만 보유하고 있으면 된다. 공격자는 FTP서버를 사용해 타깃 사용자와의 커넥션을 연결하고, 전혀 해롭지 않아 보이는 이 커넥션을 이용해 악성 코드가 방화벽을 통과할 수 있도록 한다. 이 때 종종 이 hem는 공격자에 대하 직접 액세스를 설정함으로써 공격자는 타깃 사용자의 컴퓨터에 완벽한 액세스 권한을 확보하게 된다.
◆ ICMP 공격
네트워크에 대한 진단을 수행하기 위해, 네트워크 관리자는 일반적으로 ICMP 프로토콜을 사용한다. 당연히 해커는 이 열려진 상태를 악용한다. 해커는 기본적으로 포트를 통해 가짜 요청(핑)을 보냄으로써 내부에서 응답을 하도록 한다. 이는 정보를 얻거나, 시스템을 마비시키거나(flood), 심지어 취약성을 더욱 악화시킬 수 있는 명령어를 심는데 이용될 수 있다. ICMP 응답을 이용해 손상된 머신에 명령어를 과도하게 보내는 것(피기백, piggyback)이 그 대표적인 예가 될 수 있다.
◆ 애플리케이션 공격
웹 서버 상에서 실행되는 애플리케이션에서 완벽하게 버그를 제거한다는 것은 매우 어렵다. 만약 한 해커가 이를 이용할 수 있는 방법을 발견하게 되면, 언더그라운드의 해커들을 통해 급속하게 알려지게 된다. 종종 공격자는 임시 메모리 파일의 과부하로 인해서 흔히 발생하게 되는 취약점인 ‘버퍼 오버플로우’집중 공략한다. 영리한 해커들이라면 이런 취약점을 이용해 웜 또는 트로이 목마(Trojan)와 같은 악성 코드가 보안 액세스를 통과할 수 있는 방법이나 시스템에 대한 ‘루트(관리자)’ 액세스 권한을 확보하는 방법을 이미 알고 있다
|