정보보안 스터디 - 21주차 6일 - 생활 속의 해킹 위험

 

☞ 생활 속의 해킹 위험

휴대폰을 고치러 가서 맡길 때 비밀번호를 실제 적게하는 경우가 있습니다. 

통신사에서 백업, 휴대폰 잠김을 풀기 위해 등 휴대폰을 맡길 때가 있습니다.

통신사에서 왠만하면 비밀번호를 요구하지 않지만 데이터 백업 목적으로 비밀번호를 요구할 수도 있습니다.

사실 물리적으로 휴대폰을 얻게 된다면 비밀번호가 걸려있을지라도 충분히 비밀번호를 풀어 해킹할 수도 있습니다.

하지만 비밀번호가 풀려있는 휴대폰이라면 백신 탐지 또한 해제를 하고 악성 앱을 직접 설치할 수 있는 것이기 때문에 피싱사이트로 접속시키거나 몸캠피싱 악성앱을 설치하는 것보다 훨씬 쉬운 방법입니다. 악용할 여지가 너무 많습니다.

 

그렇게 되었을 경우 휴대폰 내의 파일, 연락처, 문자 내용 dump는 물론이고 

폰 본사라는 것을 해서 휴대폰을 내휴대폰과 연결해서 똑같이 통제가 가능합니다. 이랬을 경우에는 GPS 설정이 가능하고 카메라를 실행하거나 나머지 설정도 직접 만질수 있기 때문에 더 위험합니다.
특히 주변에 있는 소리를 들을 수도 있습니다.

이 같은 원격 조종한다는 흔적이 없게한다는 점이 충격적입니다.

 

애플은 그나마 물리적으로 획득했다고 하더라도 바로 쉽게 해킹하기가 어렵습니다.

안드로이드가 유독 쉽습니다.

 

이렇게 해킹한 폰으로 정보 수집을 하여 관심사에 맞게 물리적으로 접근한다거나 더 큰 사기를 벌일 수도 있습니다.

 

해킹 피해가 있어서 사이버 수사대에 가더라도 증거가 없으면 도움에 착수하지 못할뿐더러 경제적인 피해는 거의 복구, 회수하는 일은 없다고 보면 됩니다. 그런 부분이 아쉽긴 합니다.

 

 

☞ 네트워크 통신

네트워크 프로토콜은 통신할 때 일련의 절차,규칙을 가지고 통신을 하자고 약속하는 겁니다. 

OSI 7 layer는 편지를 쓸 때로 예시를 들자면

편지를 만들고(애플리케이션)

(프레젠테이션)

(세션)

(전송)

편지를 꾸미고(네트워크)

주소를 쓰고(데이터링크)

글을 쓰는 등(물리)

 

1계층으로 내려가면서 자세한 내용이 나옵니다.

 

이 편지를 받아서 읽을 때는

반대의 과정을 거칩니다.

 

 

☞ IP주소는

로컬환경에서 리무트환경으로 통신할 때 쓰는 주소,

간단하게 말해서 내부 > 외부 컴퓨터를 찾아갈 때 쓰는 주소입니다.

 

현재는 IOT기기, 로봇청소기도 IP주소를 사용하기 때ㅑ문에

IPv4의 43억개의 주소는 부족합니다.

그래서 대응 방안은 IPv6가 나오거나

아니면 꼼수로 나눠 사용하게 합니다.

NAT라는 것은 

공유기(게이트웨이역할) 기준으로 내부 아이피들끼리 사용할수는 있지만 외부로 나갈 때 공인IP주소로 나가는 역할을 합니다. 그렇기 때문에 각각의 기기에 외부IP를 달 필요없이 한 공유기로 통합해서 사용이 가능한겁니다. 

 

포트 번호뒤에는 프로세스가 연결되어있습니다. 따라서 데이터가 IP주소로는 들어왔지만 어디로 가야할지 알려줍니다.

 

☞ IP주소로 해킹?

대부분 각각의 기기가 주소를 가지고 있지 않은 이상, 공유기 환경을 사용을 하며 

IP가 노출되면 공유기로 찾아와서 해킹을 당하는 겁니다.  따라서 직접적인 영향을 주지 않습니다.

 

또한 전제 조건은 내 컴퓨터가 서버여야합니다.

즉 포트를 열고 있어야하는데 대부분은 기본적으로 닫혀있습니다.

열려있다면 업데이트를 안해서 그렇습니다.

어떤 프로그램을 깔게한다거나 사회공학적 기법을 이용하여 포트를 열게는 할 수 있습니다.

그러면 PC를 장악할수 있구요

 

다른 방법으로는 DOS공격이 가능합니다.

DOS 공격에 대한 대응방안으로 전송 패킷 량을 조절하는 방안이 있겠지만

사실 그것도 10만대가 여러 트래픽을 보내면 막을 수 있겠지만 100만대의 컴퓨터(or 봇넷)를 동원하면 뚫릴 수 밖에 없습니다. 그래서 단순하지만 위험한 방법이구요. 

서비스의 마비가 오므로 그 때동안의 중요한 긴급처리를 하거나 매출이 끊기게 됩니다.

DOS 공격은 물리적으로도 가능합니다. 서버 건물에 불을 지르거나 전력을 차단하면 백업이 잘되어 있지 않은 이상 서비스의 마비가 올 수 있습니다.

 

예를 들어 피시방에서 디도스공격이 많이 일어납니다.

공격이 쉬운 이유는 모든 PC가 같은 네트워크에 연결되어있으니까

PC방 자리에 앉아서 악성프로그램, 스크립트를 실행하여 네트워크와 관련된 트래픽을 많이 차지하면 모든 기기에 마비가 옵니다.

 

참고로 네이버아이디 해킹은 MITM(네트워크 arp스푸핑으로) 토큰을 하이재킹하는 방법으로 시행됐습니다.

MITM은 현재까지 유효한 공격으로 

ARP스푸핑으로 ARP응답을 공격자가 게이트웨이라고 계속 보내서 중간자로 스니핑을 할 수 있는 방법입니다.

물론 최신 웹브라우저에서는 사기사이트로 알아내지만 우회할 방법도 있을 듯 합니다.

http를 사용한다면 계정을 탈취당할 수 있고

https를 사용한다고 하더라도 접속한 사이트 주소는 알 수 있고

https SSL strip 벗겨내는 방법을 이용하거나 인증서를 세팅하여 암호화를 우회할 방법이 있습니다.

wireshark에서 직접 확인할 수 있습니다.

따라서 카페 등의 공공 와이파이는 사용할 때 VPN을 사용하는 것이 좋습니다. VPN은 오픈된 통신이 아닌 개인적인 통신으로써 모든 통신과정을 암호화 하기 때문에 들어간 사이트 주소를 공개하지 않을 수 있고 http를 들어가더라도 암호화가 됩니다.

 

bettercap -iface 으로 현재 네트워크망에 누구 있는지 확인이 가능합니다. 이것도 역시 현재있는 IP대역에 arp요청을 보내서 ip, mac주소를 알아오는 방법입니다.

 

 

 

☞ 유료 프로그램 불법 추출방법

CD키 추출 방법

CD키는 단계적으로 문자열을 입력할 때 패턴이 있기 때문에

그 패턴을 파악하여 키젠을 뿌리는 방식이 옛날 방식입니다.

 

요즘까지는

크랙버전을 사용하고 리버싱을 이용해 인증과정을 점프해서 그 버전을 뿌립니다.

 

하지만 최근까지도 유효한 방법으로 인터넷에는 오피스, 게임 크랙버전 설치가 떠돕니다.

크랙버전이기 때문에 백신을 종료하고 실행하면 된다는 말에 쉽게 넘어가 

랜섬웨어, 정보수집 당하는 사례가 빈번합니다.

아무리 좋은 백신을 만들고 사용해도 사회공학적기법으로 끌 수 있다는 겁니다.

직장인들도 당하기 때문에 피해가 더 큽니다. 몸캠피싱도 마찬가지 이구요

 

참고로 게임에도 명령어 간단한 한줄만 삽입하면 악성코드가 됩니다. 

 

☞ eternal blue

보안에 대한 개념이 잡히지 않았던 2000년대부터 올라오면서

2016~2018년도에 활발히 발생했던 치명적인 사건이 있습니다. 랜섬웨어가 활발했습니다.

 

한 유저는 NSA요원을 해킹하고 툴을 공개하면서

smb취약점을 이용한 eternal blue라는 것을 공개합니다.

해당 취약점이 취약한 이유는 컴퓨터만 키고 있어도 해킹이 된다는 것입니다. 

따라서 해커들은 눈을 초롱거리며 응용한 악성코드를 만들었고

웹호스팅을 해킹, 랜섬웨어 하면서 대부분의 웹사이트들이 해킹되었습니다.

POS 단말기, 상영관도 해킹하게 되면서 컴퓨터라면 모두 해킹이 됩니다.

 

몇일간의 MS 제로데이가 지나가고 패치가 나왔지만

사람들이 업데이트를 하지 않아 피해가 지속되곤 했습니다.

 

 

앞으로는 EDR(엔트포인트 탐지)솔루션의 발달 등으로 

탐지가 더욱 수월해질 것이고 보안에 대한 인식도 좋아질 것입니다.

2016~2018년도에 그랬던 것 처럼 지금이 가장 해킹하기 쉬운 시대입니다.