안녕하세요 여러분!
SW마에스트로 서포터즈입니다.
지난 포스트에서 해킹의 개요와 사례를 살펴봤어요.
오늘은 더욱 구체적인 종류와 실제 해킹 사례에
어떤 것들이 있는지를 알아보려고 해요.
해킹의 종류에는 웹 해킹, 시스템 해킹, 리버스 엔지니어링,
소셜 엔지니어링, 포렌식, 암호학 등이 있어요.
플랫폼이나 사람에 따라 다른 종류를 추가할 수도 있고,
다르게 분류할 수도 있지만 기본 틀은 위 그림과 같답니다!
웹 해킹은 웹사이트의 취약점을 공격하는 것으로,
웹페이지를 통해 권한이 없는 시스템에 접근하거나
데이터를 유출하고 파괴하는 해킹이에요.
웹 엔진이나 웹 애플리케이션의 취약점을 이용한 해킹,
각종 웹 서버 및 미들웨어 기본 제공 샘플 파일을 이용한 해킹 등이 있어요.
대표적으로는 SQL 인젝션, XSS 삽입,
CSRF(크로스 사이트 요청 위조), 웹 셸 등의 공격 방법이 사용됩니다.
시스템 해킹은 운영체제나 소프트웨어, 하드웨어에 내재된 보안 취약점을 해킹해요.
리트(해커들의 은어)에서 따 온 pwn을 사용해서 포너블(pwnable)이라고도 부르죠.
운영체제를 대상으로 하는 기법이기 때문에 컴퓨터 구조나 운영체제 등의 지식이 선행되어야 해요.
대표적인 공격 기법으로는 버퍼 오버플로우(스택/힙), 포맷 스트링 버그 등이 있습니다.
그 외에도 리버스 엔지니어링(리버싱), 소셜 엔지니어링, 포렌식, 암호학 등이 있어요.
해킹의 종류는 이처럼 다양하고, 보통 주력 분야 한두 개를 정해서 공부해요.
앞서 살펴본 종류를 기반으로,
2023년 많이 사용될 것으로 예측되었던 해킹 기법 다섯 가지에 대해 알아볼게요.
해킹 기법은 아주 단순하게 악성 코드를 기반으로 한 공격과 그렇지 않은 공격이 있어요.
전자에는 악성 코드 해킹, 공급망 공격이 포함되고
후자에는 피싱, 사이버 범죄 시장, 솔루션 취약점 공격이 포함됩니다.
최근 EDR(Endpoint Detection and Response)을 이용해
엔드포인트 보안을 강화하는 기업이 늘어나며
악성 코드 위주였던 공격에도 변화가 생길 것이라고 예측되었어요.
아직은 EDR이 많이 발전하지 않아
악성 코드 관련 공격이 당분간 지속될 것으로 보이지만
EDR 관련 연구가 활발하게 진행되고 있습니다.
공급망 공격 또한 최근 많이 사용되는 공격 형태인데요,
공격자가 해킹 대상을 프로그램의 제조사로 설정하여
해당 기업의 업데이트/설치 파일에 악성 코드를 직접 삽입한 후
그것이 자연스럽게 기업에 의해 배포되게 하는 방식이에요.
이러한 유형의 공격은 현재 기술로는 탐지하기 어려우며,
앞으로도 많이 발생할 것이라고 예상됩니다.
그리고 위장 메일이나 SNS 등을 이용해 사용자로 하여금
악성 링크를 클릭하게 만들어 개인정보를 빼내는 피싱,
해킹 정보를 거래할 수 있는 사이버 범죄 시장의 체계화,
기업 내부에서 사용하는 제품의 취약점 이용 등의 해킹이 있습니다.
야후 개인정보 유출 사건은
여전히 사상 최대 규모의 개인정보 유출로 기록되는 사건으로,
2013년 미국 포털 야후에서 30억명분의 개인정보가 유출된 사건이에요.
야후의 인터넷 부문은 기업 버라이즌에 의해 인수되었는데,
이 과정에서 야후가 피해 사실을 늦게 알리고
그 규모까지 축소했다는 점이 드러나면서
야후의 신뢰도와 가치가 많이 떨어졌어요.
해당 사건을 수습한 버라이즌에게도 골칫거리가 된 사건입니다.
야후 개인정보 유출은 2013년의 사건이지만,
최근에도 엄청난 충격을 준 해킹 사건이 있었어요.
바로 XZ Utils 백도어 사건인데요.
올해 3월, 데이터 압축 프로그램인 XZ Utils에서 백도어 취약점이 발견되었습니다.
XZ Utils는 리눅스와 GNU 운영체제에서 기본적으로 제공되기 때문에
많은 사람들이 위험에 그대로 노출됐던것이죠.
이 사건이 특히 주목되는 이유는,
공격자가 2021년부터 여러 프로젝트에 참여하며 신뢰도를 쌓고
프로젝트 관련자로서 백도어를 심었기 때문이에요.
무려 약 3년 동안 준비한 셈인 것이죠.
이것은 공급망 공격의 대표적인 사례로 꼽히며,
오픈소스 프로젝트와 공급망 공격에 대한 경각심을 일깨워 주었습니다.
2차에 걸쳐 준비한 해킹 포스트는 여기까지입니다.
유익하셨나요?
저희는 더 알차고 재미있는 소식으로 찾아오겠습니다!
감사합니다.