1. 파일 다운로드 취약점

설명

파일 다운로드 취약점은 웹 애플리케이션이 사용자에게 파일을 다운로드할 때, 공격자가 악성 파일을 다운로드할 수 있는 취약점이다. 이는 파일 다운로드 기능이 적절히 보호되지 않거나 사용자의 입력을 제대로 검증하지 않을 경우 발생한다. 예를 들어, 공격자가 URL 매개변수를 조작하여 서버에서 중요한 시스템 파일을 다운로드할 수 있는 경우다.

취약점 실습

 
공격자는 파일 다운로드 기능의 URL 매개변수를 조작하여 서버의 민감한 파일에 접근할 수 있다.
 
예제 (리눅스 시스템)

http://example.com/download?file=../../../../etc/passwd

 
예제 (윈도우 시스템)

http://example.com/download?file=../../../../winnt/win.ini

이러한 요청을 통해 시스템의 중요 파일을 다운로드할 수 있다.

작동 원리

• 상대 경로(../)를 이용해 상위 디렉터리로 이동한 후, 민감한 파일에 접근한다.
• 서버가 사용자의 입력값을 제대로 검증하지 않으면, 공격자가 원하지 않는 경로를 지정하여 파일을 다운로드할 수 있다.
• 일부 경우, URL 인코딩(%2e%2e%2f)을 활용하여 필터링을 우회할 수도 있다.

• https://cafe.naver.com/crehacktive/203(해당 블로그에 자세히 설명 되어 있다)

대응 방안

1. 파일 경로 검증: 파일 다운로드 시 사용자로부터 입력된 경로를 그대로 사용하지 않고, 파일 경로를 안전하게 처리한다. 경로를 정해진 범위 내로 제한한다.
2. 파일 확장자 제한: 다운로드할 수 있는 파일 형식을 제한하여 악성 파일을 다운로드할 수 없도록 합니다.
3. 파일 다운로드 로그: 파일 다운로드 시 로그를 기록하여 악의적인 접근을 추적할 수 있도록 한다.

2. 파일 업로드 취약점

설명

파일 업로드 취약점은 공격자가 악성 파일을 서버에 업로드하여 시스템을 공격하는 취약점이다. 예를 들어, 서버에서 업로드된 파일을 실행하거나 특정 경로에 저장하면서 보안 취약점이 발생할 수 있다.

취약점 캡처

• 공격자는 악성 스크립트를 포함한 파일을 업로드할 수 있다. 예를 들어, .php, .exe와 같은 파일을 업로드하여 웹 서버에서 실행하게 할 수 있다.
• 이를 통해 시스템에 악성 코드가 실행되거나, 데이터가 유출될 수 있다.
• 사이트 검색해 본 결과 게시판 업로드 창에 제한 없이 아무 파일이나 올릴 수 있게 보안이 미흡한 웹 사이트들도 종종 보였다.

대응 방안

1. 파일 형식 검증: 업로드 가능한 파일의 확장자 및 MIME 타입을 엄격히 검증이 필요하다.
2. 업로드 경로 제한: 업로드된 파일이 실행되지 않도록 서버 측에서 파일 저장 위치를 제한하고, 업로드된 파일에 대한 실행 권한을 제거한다.
3. 파일 크기 제한: 업로드할 수 있는 파일의 크기를 제한하여 서비스 거부 공격(DoS)을 방지한다.
4. 파일 이름 변경: 파일 이름에 특수문자나 경로 조작을 방지하기 위해 파일 이름을 변경하여 저장한다.

3. 소스코드 내 중요정보 노출 취약점

설명

소스코드 내 중요정보 노출 취약점은 소스 코드 파일에 중요한 정보(예: DB 비밀번호, API 키 등)가 포함되어 있어 공격자가 이를 쉽게 접근하거나 추출할 수 있는 취약점이다. 개발자 실수로 코드나 설정 파일에 민감한 정보를 포함시킨 경우 발생한다.

취약점 캡처

• 예를 들어, GitHub와 같은 저장소에 비밀번호가 포함된 코드를 푸시한 경우 공격자는 해당 코드를 쉽게 검색하여 비밀번호를 얻을 수 있다.
• 코드 내에 API 키나 데이터베이스 자격 증명이 노출된 경우 이를 추출할 수 있다.
• 브라우저의 개발자 도구를 활용해서 html 내용을 본 결과 주석으로 활성화 되지 않은 경로를 추출했고 주소창에 url을 쳐 보니 숨겨진 페이지 창을 볼 수 있었다.

대응 방안

1. 민감 정보 외부 저장: 비밀번호와 같은 민감한 정보는 코드에 하드코딩하지 않고, 환경 변수나 안전한 설정 파일에 저장한다.
2. Gitignore 파일 사용: Git과 같은 버전 관리 시스템을 사용할 때 민감한 정보를 포함한 파일을 .gitignore에 추가하여 공개되지 않도록 한다.
3. 암호화: 민감 정보를 저장할 때 반드시 암호화를 적용하여, 만약 정보가 유출되더라도 안전하게 보호한다.

4. 공개용 웹 게시판 취약점

설명

공개용 웹 게시판 취약점은 유지보수 부족으로 인해 발생하며, 공격자는 알려진 보안 취약점을 악용하여 웹사이트를 변조하거나, 민감한 정보를 유출할 수 있다. 대표적인 취약점으로는 파일 업로드 취약점, SQL 인젝션, XSS(크로스 사이트 스크립팅), 권한 관리 취약점 등이 있다.
 

취약점 캡처

• 그누보드가 사용된 웹사이트를 확인할 수 있었다.
• inurl:board intitle:게시판, inurl:bbs intitle:게시판 등을 활용하여 특정 게시판이 사용된 웹사이트를 찾을 수 있다.
• 파일 업로드 취약점: 공격자가 악성 PHP 파일을 업로드하여 원격 명령을 실행할 수 있음.
• SQL 인젝션: 데이터베이스 질의문을 변조하여 관리자 계정을 탈취하거나 정보를 유출할 수 있음.
• XSS(크로스 사이트 스크립팅): 악성 스크립트를 삽입하여 사용자 세션을 가로채거나 피싱 공격을 수행할 수 있음.
• 권한 관리 취약점: 게시판 관리자 페이지가 보호되지 않아 비인가 사용자가 접근할 수 있음.

대응 방안

1. 최신 버전 유지: 보안 패치 및 업데이트를 정기적으로 수행한다.
2. 보안 설정 강화: 업로드 파일 확장자 제한, SQL 인젝션 필터링 적용, 관리자 페이지 접근 제한 설정을 적용한다.
3. 정기 점검 및 모니터링: 취약점 스캐닝을 수행하고, 웹 방화벽(WAF)을 적용하여 실시간 탐지 및 대응을 강화한다.

1. 취약한 파일 존재 취약점

설명

웹 서버에 의도하지 않은 파일(내부 문서, 백업 파일, 로그 파일, 압축 파일 등)이 존재할 경우, 공격자가 파일명을 유추하여 직접 접근함으로써 민감한 정보를 획득할 수 있는 취약점이다.

취약점 실습

• 검색창에 filetype:sql backup 입력

  

• 공개된 SQL 덤프 파일을 찾아 개인정보가 포함되어 있는지 확인

대응 방안

• 웹 서버는 개발과 운영 환경을 분리하여 운영 환경에서 소스 코드 수정 또는 테스트 목적의 임시 파일을 생성하지 않도록 한다.
• 웹 서버의 디렉터리에 존재하는 기본 설치 파일, 임시 및 백업 파일을 조사하여 웹 사용자가 접근하지 못하도록 조치한다.
• 정기적으로 웹 서버의 불필요한 파일을 검색하여 제거한다.

2. 계정 관리 취약점

설명

회원가입 시 안전한 패스워드 규칙이 적용되지 않아, 취약한 패스워드로 회원 가입이 가능할 경우, 무차별 대입 공격(Brute Force)을 통해 패스워드가 누출될 수 있는 취약점을 의미한다.

취약점 실습

• 보안이 강한 사이트를 찾아보았다
• 국내 유명 게임 사이트의 회원가입 창을 확인
• 보안이 엄격한 사이트는 비밀번호에 특수문자+숫자 조합을 요구하는 창을 볼 수 있다

대응 방안

• 사용자가 취약한 패스워드를 사용할 수 없도록 패스워드 생성 규칙을 강제할 수 있는 로직을 적용한다.

3. 실명 인증 취약점

설명

사용자 본인 확인 과정에서 취약한 프로그램을 악용하여 사용자 정보를 변조할 수 있는 취약점을 의미한다. 이를 통해 관리자로 위장하여 개인정보를 수집하거나, 홈페이지 가입 시 제공하는 포인트 등을 악용하는 등의 공격이 발생할 수 있다.

취약점 실습

1. 실명인증 창 접근
   • 공격자는 웹사이트의 실명인증 페이지에 접속하여 타인의 개인정보(이름, 주민등록번호 등)를 입력 

     

2. 웹사이트 → (실명인증 요청) → 인증기관
   • 입력한 정보를 인증기관에 전달하여 실명 인증을 요청
3. 인증기관 → (실명인증 응답) → 웹사이트
   • 인증기관이 실명 인증 결과를 반환(나이, 성별, 연락처 등 포함)
4. 웹사이트 → (인증 성공) → 공격자
   • 웹사이트에서 인증 성공 메시지를 표시
5. 웹 프록시로 정보 변조
   • 공격자는 웹 프록시(Burp Suite 등)를 사용하여 요청을 변조
   • 실명 인증에서 받은 고정된 개인정보를 수정하여 웹사이트로 전송
6. 변조된 정보로 회원가입
   • 웹사이트가 변조된 정보를 검증 없이 신뢰하여 회원가입 허용

     

     

핵심

• 프록시가 웹사이트와 인증기관 간의 응답을 가로채고 변조하여 사용자가 인증받은 정보가 아닌 가상의 인물로 회원가입을 하도록 한다.
• 웹사이트는 변조된 정보에 대해 검증 없이 신뢰하고, 공격자는 원하는 이름과 정보로 회원가입을 완료하게 된다.

대응 방안

• 중요한 정보가 있는 홈페이지(실명 등)는 재인증을 적용하고,
• 안전하다고 확인된 라이브러리나 프레임워크(OpenSSL이나 ESAPI의 보안 기능 등)를 사용하여 홈페이지 개발 보안 조치를 수행한다.

4. 전송 시 주요 정보 노출 취약점

설명

웹 서버가 보안과 관련된 민감한 데이터를 평문(엄호화 되지 않은 ex: http)으로 통신 채널을 통해 송수신할 경우, 통신 채널 스니핑을 통해 인가되지 않은 사용자에게 민감한 데이터가 노출될 수 있는 취약점을 의미한다.

취약점 실습

1. HTTP 로그인 페이지 찾기
   • 보안이 취약한 사이트에서 http:// 접속 후 로그인 시도

     

     

     
     
     
2. Wireshark를 활용한 패킷 분석
   • Wireshark 실행 후 http 필터 적용
   • 로그인 요청 시 캡처된 패킷에서 아이디와 비밀번호가 평문으로 전송되는지 확인

대응 방안

• 웹 서버와 클라이언트 간의 통신에 SSL/TLS와 같은 암호화 프로토콜을 적용하여 데이터를 암호화한다.
• 민감한 데이터는 전송 전에 추가적인 암호화 과정을 거쳐 안전성을 높인다.

참고

https://itcase.tistory.com/entry/29-%EC%B9%A8%ED%95%B4%EB%8C%80%EC%9D%91CERT-7-%EC%9B%B9-%EC%B7%A8%EC%95%BD%EC%A0%90-%EC%8B%A4%EC%8A%B52

https://maker5587.tistory.com/34

https://skynarciss.tistory.com/35

1. 관리자 페이지 노출 취약점

🔹 왜 위험한가?
공격자가 관리자 페이지에 접근하면 무차별 대입 공격(Brute-force Attack)이나 SQL 인젝션을 통해 관리자 계정을 탈취할 수 있음. 이를 통해 웹사이트 변조, 데이터베이스 접근, 사용자 정보 탈취 등의 피해가 발생할 수 있음.
 
🔹 실제 사례
공격자가 노출된 관리자 페이지를 통해 로그인 시도를 반복하여 관리자 계정을 탈취하고 개인정보 데이터를 유출한 사례가 있음.
📌 출처: https://www.kinternet.org/_n_2007/0629/kisa.pdf?utm_source
 
🔹 실습
inurl:admin site:.kr 구글링으로 관리자 페이지 접속

• 기본 로그인 정보로 접근 가능한 취약점이 있음

  

• 로그인 화면 없이 관리자 페이지가 노출되는 경우도 있음

 
 
🔹 대응 방안

• 비밀번호 강도 강화: 관리자의 계정에 강력한 비밀번호를 설정하여 brute-force 공격을 방지한다. 비밀번호는 대소문자, 숫자, 특수문자를 포함해야 한다.
• 로그인 시도 제한: 일정 횟수 이상 로그인 시도를 실패하면, 계정을 잠그거나 CAPTCHA를 적용하여 자동화된 공격을 차단한다.
• 관리자 페이지 숨기기: 관리자 페이지 URL을 변경하거나, 관리자 접근을 제한할 수 있는 IP 화이트리스트를 설정한다.

2. 디렉터리 나열 취약점

🔹 왜 위험한가?
웹 서버에서 디렉터리 목록이 보이도록 설정되면, 공격자가 민감한 파일 목록을 확인하고 직접 접근할 수 있음. 이를 통해 소스 코드, 환경 설정 파일, 백업 파일 등이 유출될 수 있음.
 
🔹 실제 사례
디렉터리 목록화로 인해 내부 문서 및 개인정보가 쉽게 접근 가능한 상태였으며, 이를 통해 대량의 개인정보 유출 사고가 발생한 사례가 있음.
📌 출처: https://www.boannews.com/media/view.asp?idx=98929&utm_source
 
🔹 실습
intitle: "index of" "password" 구글링으로 디렉터리 목록 접근

• passwords.txt 파일을 통해 ZIP 파일 비밀번호를 추출할 수 있었음

 
🔹 대응 방안
 

• 디렉터리 나열 비활성화: 서버 설정에서 Options -Indexes를 추가하여 디렉터리 목록이 노출되지 않도록 설정한다.
• 파일 접근 제한: 중요한 파일(예: 백업, 설정 파일 등)을 보호하기 위해 파일 접근 권한을 제한한다.
• .htaccess 사용: .htaccess 파일을 사용하여 웹 서버의 접근을 제어하고, 특정 디렉터리에 대한 접근을 제한한다.

3. 시스템 관리 취약점

🔹 왜 위험한가?
phpMyAdmin, cPanel, RDP(Remote Desktop Protocol), SSH 등 서버 관리 도구가 외부에 노출되면 공격자가 직접 서버에 접근할 수 있음. 무차별 대입 공격(Brute-force Attack)을 통해 관리자 계정을 탈취하거나, 알려진 취약점을 이용해 서버를 장악할 수 있음. 서버에 악성코드를 심거나, 랜섬웨어를 감염시켜 데이터를 인질로 잡을 수도 있음.
 
🔹 실제 사례
RDP(Remote Desktop Protocol) 노출로 인한 랜섬웨어 감염 사례: 공격자가 인터넷에 노출된 RDP 포트를 스캔하여 관리자 계정의 패스워드를 무차별 대입 공격(Brute-force Attack)으로 탈취한 후, 랜섬웨어를 배포하여 피해 시스템을 감염시킨 사례가 있음.
📌 출처: https://asec.ahnlab.com/ko/39804/?utm_source
 
🔹 실습

• intitle:"index of" password 구글링을 통해 php 노출된 시스템 관리 인터페이스를 탐색. 공격자가 이를 이용하여 시스템의 취약점을 찾거나 공격을 시도할 수 있음.

  

• allow_url_fopen이 활성화되어 있는 경우 원격 파일 포함(RFI) 공격이 가능해져 외부 URL에서 악성 파일을 포함하거나 실행할 수 있음. 이를 통해 웹 쉘을 업로드하거나 서버 명령어를 실행할 수 있음.

  

• intitle:"index of" intext:"web.config.txt"를 통해 API 관련 키가 노출된 파일을 발견할 수 있었음.

 
 
 
🔹 대응 방안

• 원격 관리 도구 보호: phpMyAdmin, cPanel 등의 관리 도구는 외부 접근을 차단하거나 VPN을 통해 접근하도록 제한한다.
• 강력한 인증 적용: 관리자 계정에는 강력한 비밀번호를 설정하고, 2단계 인증을 활성화하여 보안을 강화한다.
• 포트 차단 및 모니터링: 불필요한 포트를 차단하고, RDP, SSH 등의 포트는 방화벽을 통해 외부 접근을 제한한다.
• 소프트웨어 최신화: 관리 도구와 서버 소프트웨어를 최신 버전으로 유지하여 알려진 취약점으로 인한 공격을 차단한다.

4. 불필요한 Method 허용 취약점

🔹 왜 위험한가?
HTTP 메서드(예: PUT, DELETE, TRACE 등)가 불필요하게 활성화되어 있으면 공격자가 악성 파일을 업로드하거나 중요한 파일을 삭제할 수 있음. TRACE 메서드가 허용된 경우, XST(Cross-Site Tracing) 공격을 통해 쿠키 탈취 및 세션 하이재킹이 가능함.
 
🔹 실제 사례
서버에서 필요하지 않은 HTTP 메서드가 활성화된 상태로 운영되었고, 공격자가 이를 악용하여 서버 내 파일을 변경하거나 삭제한 사례가 있음.
📌 출처: https://m.boannews.com/html/detail.html?idx=9791&utm_source
 
🔹 실습
inurl:"httpd.conf" "LimitExcept" "PUT DELETE" 구글링을 통해 PUT과 DELETE 메서드를 허용한 서버 설정을 찾음.

 
🔹 대응 방안

• 불필요한 HTTP 메서드 비활성화: PUT, DELETE, OPTIONS와 같은 불필요한 HTTP 메서드를 서버 설정에서 비활성화한다.
• HTTP 헤더 설정 강화: Access-Control-Allow-Methods와 같은 HTTP 헤더를 통해 허용할 메서드를 제한한다.
• 웹 방화벽(WAF) 사용: WAF를 사용하여 비정상적인 HTTP 메서드를 차단하고, 공격을 미리 방어할 수 있다.

 
참고
https://mpit.tistory.com/entry/%EC%B9%A8%ED%95%B4-%EB%8C%80%EC%9D%91-CERT-%EA%B3%BC%EC%A0%956%EC%A3%BC%EC%B0%A8
https://ogig0818.tistory.com/304
https://www.igloo.co.kr/security-information/%EB%B6%88%ED%95%84%EC%9A%94%ED%95%9C-%EC%9B%B9-method-%EC%A7%84%EB%8B%A8-%EC%8B%9C-%EB%B0%9C%EC%83%9D%ED%95%98%EB%8A%94-%EB%AC%B8%EC%A0%9C%EC%A0%90-%EB%B0%8F-%EB%8C%80%EC%9D%91%EB%B0%A9%EC%95%88/
https://itcase.tistory.com/entry/28-%EC%B9%A8%ED%95%B4%EB%8C%80%EC%9D%91CERT-5-%EC%9B%B9-%EC%B7%A8%EC%95%BD%EC%A0%90-%EC%8B%A4%EC%8A%B51
 
https://rybbit-life-debugging.tistory.com/50

Shodan은 인터넷에 연결된 다양한 IoT 기기들을 검색하고 분석할 수 있는 도구이다. 이를 통해 웹캠, CCTV, 네트워크 프린터, 산업제어시스템 등 다양한 기기들의 보안 취약점을 파악하고, 실시간으로 접근할 수 있는 정보들을 열람할 수 있다. 이번 시간에는 Shodan을 통해 검색할 수 있는 주요 IoT 기기들과 각 기기의 특징을 살펴보겠다.

1. CCTV

• 특징: 감시용 카메라. 아날로그 CCTV가 아닌 네트워크 연결형 카메라.
• 보안 위험: CCTV 영상 유출, 관리 부실로 인한 해킹 위험. 개인정보 유출 가능성 있음.
• 대표적 피해 사례: 영상 정보 유출 및 해킹 사례 발생.

 
 
검색 키워드: port:80 has_screenshot:true  (해당 ip를 웹브라우저 주소 창에 검색하면 이동한다)

• 포트 554는 **RTSP (Real-Time Streaming Protocol)**로, 웹 브라우저로 직접 접속할 수 없다.
• has_screenshot:true는 Shodan이 캡처한 화면이 있는 결과만 표시한다.
• RTSP 포트로 접속이 불가능하므로, HTTP 80 포트로 변경하여 접근할 수 있다. 이를 통해 CCTV 영상에 접근할 수 있다.

2. WebCam, IP Cam

• 특징: 화상 채팅이나 인터넷 방송 등으로 사용되는 카메라. 네트워크를 통해 직접 연결되는 웹캠에 대한 검색어는 다양한 종류가 존재함.
• 보안 위험: 사생활 침해 우려가 큼. 불법적으로 웹캠 화면을 엿보거나 유출될 수 있음.
• 대표적 피해 사례: 가정집에서 설치된 IP 카메라 해킹 사례가 보도된 바 있음.

IP 카메라

• 검색 키워드: title:"IPCam Client" port:80

  

  
  
  
  • 예를 들어, Foscam과 같은 브랜드에서 기본 비밀번호를 사용하는 웹캠은 쉽게 접근할 수 있을 수 있다.(사용자가 비밀번호를 안 바꿨다면)

WebCam

• 검색 키워드: title:"webcam" has_screenshot:true

  

  

  
  
  

  

  
  
  • 이 검색어를 통해 웹캠의 라이브 영상을 확인할 수 있다. Shodan은 각 기기의 화면을 캡처하여 결과로 표시하므로, 이를 통해 라이브 영상을 확인할 수 있다.

3. Network Printer

• 특징: 네트워크에 연결되어 모든 사용자들이 함께 사용할 수 있는 프린터.
• 보안 위험: 프린터 해킹으로 문서 엿보기, 인쇄 기록 훔쳐보기 등. 프린터 하드디스크에서 이전 인쇄 기록을 볼 수 있는 경우도 있음.
• 대표적 피해 사례: 프린터 해킹 사건으로 인해 문서 정보가 유출된 사례 있음.

• HP 프린터 검색 키워드: "HP-ChaiSOE" port:80

  

  

• Xerox 프린터 검색 키워드: ssl:"Xerox Generic Root"

 
일부 프린터는 기본 비밀번호가 걸려 있지 않거나, 취약한 비밀번호를 사용하여 보안에 취약할 수 있다. 예를 들어, 엡손과 캐논은 비밀번호가 걸려 있지만, 다른 프린터는 보안에 취약한 경우가 있다. Server: printer 포트 80을 통해 확인할 수 있다.

4. 산업 제어 시스템 (ICS)

• 특징: 산업 시설을 제어하는 시스템으로, 네트워크 기술을 통해 외부와 연결되며 생산성 향상에 기여함.
• 보안 위험: 해킹 시 산업 기밀 유출, 시설 셧다운, 재정적 피해, 국가 시설을 대상으로 한 테러 가능성.
• 사례: 과거 산업 제어 시스템이 해킹되어 큰 피해를 본 사례가 있음.

1. Nordex 관련 검색

• Nordex는 독일에 본사를 둔 풍력 발전기 제조업체.
• 검색한 결과, ICS(산업제어시스템) 관련 장비에서 실행 중인 시스템이 나타남.
• 이 시스템은 로그인으로 컨트롤 가능한 상태

2. ICS 검색

• ICS(산업제어시스템)와 관련된 장비를 검색하는 과정에서 특정 제품이나 시스템에 대한 정보를 찾음.
• ICS 관련 시스템은 보통 특정 산업 장비에 대한 제어를 담당하는 시스템으로, 해당 시스템은 리눅스 기반의 모니터링 대시보드를 활용하는 것으로 추측됨.

3. 제품 가이드북을 활용한 로그인 UI 우회 방법

• 목적: 로그인 UI 우회 방법 탐색
• 방법:
  1. ICS(산업제어시스템) 회사 이름을 Shodan에서 검색
  2. 검색 결과에서 제품(프로덕트) 이름을 확인
  3. 해당 제품 이름을 구글에서 검색하여 가이드북을 찾음
  4. 가이드북을 분석하여 로그인 UI를 우회할 수 있는 방법을 탐색

4. Siemens 제품의 VNC 서버 취약점 분석(raw data 분석)

• top automation vendors를 검색하면 Siemens가 나타났으며, Siemens 제품과 관련된 ICS 정보를 검색해봤다.

  

• Siemens 제품과 관련된 데이터를 추가 검색
  

  

• 

  

• Siemens의 제품과 관련된 데이터를 쇼단에서 이미지 탭에서 검색하고, 그 내부의 raw data를 분석한 결과 VNC 서버와 관련된 정보가 나타남.

• 발견된 취약점:
  • 인증이 비활성화된 VNC 서버가 존재하여 외부 공격자가 쉽게 접근할 수 있음
  • VNC 서버의 보안이 취약할 경우 공격자가 시스템에 접근할 가능성이 높음
• 기술적 제한:
  • 웹브라우저는 VNC 프로토콜(RFB)을 지원하지 않음
  • VNC 서버에 접속하려면 전용 VNC 클라이언트가 필요함

5. POS 시스템

• 특징: 상점에서 판매 거래를 처리하는 시스템으로, 결제 카드 정보와 고객 데이터를 처리하는 중요한 역할을 한다. POS 시스템은 카드 결제뿐만 아니라, 재고 관리, 매출 기록 등의 기능을 수행한다.
• 보안 위험: 카드 정보 및 고객 데이터를 처리하기 때문에 해킹 시 중요한 개인 정보가 유출될 수 있다. POS 시스템 해킹을 통해 신용카드 정보, 결제 내역, 고객 정보 등이 유출될 수 있으며, 이를 통해 금융 사기 및 데이터 도용이 발생할 수 있다.
• 대표적 피해 사례: POS 시스템이 해킹되어 카드 정보가 유출된 사건이 발생한 바 있으며, 특히 대형 상점 체인에서 발생한 사례가 보도된 적 있음. 해커는 POS 단말기를 통해 결제 정보를 훔쳐 불법적인 거래를 시도하기도 한다.

• pos 검색 키워드: pos

• Shodan을 통해 POS 시스템의 로그인 화면을 확인할 수 있다. 일부 취약한 POS 시스템은 보안에 취약하여 개인정보 유출의 위험이 있다.

개인정보 유출 원인

1. 취약한 기본 설정: 많은 IoT 기기가 기본 비밀번호나 설정을 그대로 사용하여 보안에 취약하게 노출된다.
2. 소프트웨어 취약점: 오래된 소프트웨어를 사용하거나 보안 패치가 적용되지 않은 경우 해킹에 취약할 수 있다.
3. 인증 및 암호화 부재: 일부 IoT 기기는 인증 기능이 없거나 암호화되지 않은 통신을 사용하여 개인정보 유출 위험이 있다.
4. 네트워크 보안 취약점: 공유기나 방화벽 설정이 취약한 경우, 외부 공격자가 내부 네트워크에 접근하여 IoT 기기를 공격할 수 있다.

보안 강화 방안

1. 기본 비밀번호 변경: 모든 IoT 기기의 기본 비밀번호를 강력한 비밀번호로 변경해야 한다.
2. 최신 소프트웨어 유지: IoT 기기의 소프트웨어를 최신 버전으로 유지하고 보안 패치를 정기적으로 적용해야 한다.
3. 강력한 인증 및 암호화: 인증 기능을 활성화하고 암호화된 통신을 사용하여 개인정보를 보호해야 한다.
4. 네트워크 보안 강화: 공유기와 방화벽 설정을 강화하여 외부 공격으로부터 네트워크를 보호해야 한다.

결론

Shodan을 활용하여 IoT 기기의 보안 취약점을 미리 파악하고 적절한 보안 조치를 취하는 것이 중요하다. Shodan에서 검색할 수 있는 IoT 기기들은 CCTV, 웹캠, IP 카메라, 네트워크 프린터, 산업 제어 시스템(ICS) 등이 있다. 각 기기는 기본 설정, 소프트웨어 취약점, 인증 및 암호화 부재 등의 이유로 보안에 취약할 수 있으며, 이를 해결하기 위한 보안 강화 방안을 적용하는 것이 중요하다.
 
참고
https://itstudycube.tistory.com/29

https://youtu.be/bZUnQR4bdT8?si=6oqM7OKZ2FS5zcHP

https://www.youtube.com/watch?v=Stxrz0timCg
 

사물인터넷(IoT)과 Shodan 개요

1. 사물인터넷(IoT) 개념 및 특징

• 정의: 네트워크에 연결된 다양한 디바이스들이 서로 통신하고 데이터를 교환하는 기술
• 예시: 진공청소기, 자동차, 전구 등 센서를 통해 데이터 수집 및 반응 가능
• 작동 방식:
  1. 센서가 데이터 수집
  2. 네트워크(Wi-Fi, 블루투스 등)로 데이터 전송
  3. 클라우드 서버 또는 스마트 허브에서 분석
  4. 명령이 디바이스로 전달 및 실행

2. IoT 보안 문제점

• 펌웨어 취약점: 보안 업데이트 미흡, 패치 불가능한 취약점 존재 (*펌웨어: 하드웨어를 제어하는 소프트웨어로, 기기의 내장 메모리에 저장되어 동작을 관리하는 프로그램이다. )
• 네트워크 보안: 취약한 네트워크 연결 시 공격자가 다른 장치로 침투 가능
• 암호화 부족: 기본적으로 암호화 없이 통신하여 데이터 유출 위험
• 물리적 접근 취약: 외부에 배치된 디바이스는 직접적인 해킹 가능  ( *논리적 해킹은 온라인을 통한 원격 공격, 물리적 해킹은 기기 자체를 조작하는 오프라인 공격이다. )
• 기본 설정 문제: 제조사 기본 ID/PW 미변경 시 공격 가능 (예: iptime 공유기)

3. Shodan 개요

• 정의: 인터넷에 연결된 장치 및 서비스를 검색하는 특수 검색 엔진
• 기능:
  • 웹 서버, 라우터, 웹캠 등 인터넷 연결 장치 검색
  • 네트워크 내 취약한 장치 식별 및 보안 점검
  • 특정 운영체제(OS), 소프트웨어, 포트 등이 열린 장비 확인 가능

4. Shodan 검색 필터 및 사용 예시

• 복합 검색 예시: city:"Seoul" port:22 (서울에 있는 SSH(22번 포트) 실행 장치 검색)

사물인터넷(IoT)과 Shodan의 연관성

Shodan은 IoT 기기와 밀접한 관련이 있는 검색 엔진이다. IoT 기기는 인터넷에 연결되어 데이터를 주고받으며, 보안이 취약한 경우 외부에서 쉽게 접근할 수 있다. Shodan은 이러한 인터넷에 연결된 IoT 기기들을 검색하여 노출된 장치를 식별하는 데 활용된다.

1. IoT 기기의 보안 취약점과 Shodan

• 많은 IoT 기기는 기본 비밀번호(예: admin/admin)로 설정되어 있어 해킹에 취약함.
• 취약한 펌웨어(보안 패치가 적용되지 않은 구형 버전) 사용 시 공격에 노출될 가능성이 높음.
• 보안 설정 없이 인터넷에 직접 연결된 기기(CCTV, 공유기, 스마트 TV 등)는 외부에서 쉽게 접근 가능함.

Shodan을 활용하면 이러한 취약한 IoT 기기를 검색하여 확인할 수 있음. 예를 들어, 아래와 같은 검색어를 사용하면 특정 IoT 기기의 정보를 찾을 수 있다.

product:"webcam" country:"KR"
→ 한국에서 인터넷에 연결된 웹캠 검색

 

port:23 os:"Linux"
→ Telnet(23번 포트)이 열린 리눅스 IoT 기기 검색

2. Shodan을 통한 IoT 기기 검색 예시

이처럼 Shodan을 활용하면 특정 IoT 장비가 인터넷에 노출되어 있는지 확인할 수 있다.

3. Shodan이 IoT 보안에 미치는 영향

✅ 긍정적인 측면

• 보안 전문가 및 기업이 취약한 IoT 장비를 검색하고 보호 조치를 할 수 있음.
• 제조업체는 자사 IoT 기기의 보안 취약점을 파악하고 개선 가능.
• 기업 및 일반 사용자도 자신의 IoT 기기가 외부에 노출되었는지 확인 가능.

❌ 부정적인 측면

• 해커가 Shodan을 악용하여 보안이 취약한 IoT 기기를 공격하는 데 사용할 수 있음.
• 실제로 공개된 CCTV, 스마트 도어락, 공장 자동화 시스템(SCADA) 등이 Shodan에서 검색된 사례가 있음.
• 기본 로그인 설정을 변경하지 않은 IoT 기기는 누구나 쉽게 접근할 수 있어 해킹 위험이 존재함.

4. IoT 기기의 보안을 강화하는 방법

Shodan을 통해 보안이 취약한 IoT 기기가 검색되는 것을 막기 위해 다음과 같은 보안 조치를 취해야 한다.

✅ 기본 비밀번호 변경 (admin/admin 사용 금지)
✅ 불필요한 포트 차단 (특히 Telnet, FTP, HTTP 기본 포트)
✅ 펌웨어 업데이트 (최신 보안 패치 적용)
✅ VPN 사용 및 방화벽 설정 (공개 네트워크에서 보호)
✅ Shodan을 활용한 자체 보안 점검 (자사 기기가 외부에 노출되었는지 확인)

결론

IoT 기기의 보안 취약점은 해커에게 악용될 위험이 있으며, Shodan은 이러한 기기를 검색하는 데 사용될 수 있다.
하지만 이를 역이용하여 보안 점검 및 취약점 보호 조치를 취하면 Shodan은 오히려 IoT 보안 강화를 위한 유용한 도구가 될 수 있다.
따라서 기업 및 개인은 Shodan을 활용해 자사 IoT 장비의 보안 상태를 주기적으로 점검하고 강화해야 한다.

참고자료

https://itcase.tistory.com/entry/26-%EC%B9%A8%ED%95%B4%EB%8C%80%EC%9D%91CERT-4-%EC%82%AC%EB%AC%BC%EC%9D%B8%ED%84%B0%EB%84%B7IoT-%E2%80%A2-Shodan

Google Hacking과 보안 취약점

구글은 단순한 정보 검색을 넘어 보안 취약점과 민감한 정보까지 노출할 수 있는 강력한 도구이다. 이러한 검색 기법을 체계적으로 정리한 것이 Google Hacking Database(GHDB)이며, 특정 키워드 조합을 활용해 보안이 미흡한 시스템의 정보를 찾아내는 데 사용된다.
이 글에서는 GHDB를 활용한 검색 기법과 함께 주요 보안 취약점의 예시를 살펴본다.

1. 무선 공유기 정보 노출

검색 키워드: inurl:home.htm intitle:1766

GHDB에서 제시한 취약점을 검색하여 장비 이름, MAC 주소, IP 주소가 그대로 노출되는 모습을 확인할 수 있었다.    

2. 개인정보 노출

검색 키워드: inurl:"wp-content/uploads" "passport"

페루 국적의 사람 여권 정보가 유출되었다.                                                                                                                              

3.데이터 베이스 정보 노출

검색 키워드: intitle:"Index of /" intext:".db"

데이터베이스 내부 구조와 SQL 작성 코드가 노출되어 중요한 내부 정보들이 보였다.

4.교육기관 및 학생 정보 유출

검색 키워드: intitle:"index of" "/students"

대학생들의 이름과 프로필 사진이 노출되었다.                                                                                                                        

5. 금융정보 유출

검색 키워드: inurl:pastebin "VISA"

카드 정보가 유출된 사례가 발견되었다.

6.고객 정보 노출

검색 키워드: intitle:"index of" "invoices"

무역에 사용되는 송장 정보들이 공개되었다.

7. 감시 카메라 및 CCTV 피드 노출

검색 키워드: inurl:"view/view.shtml" "webcam"

특정 CCTV 영상이 라이브로 스트리밍되어 누구나 실시간으로 확인할 수 있는 상태였다.

결론

Google Hacking 기법을 통해 단순한 검색만으로도 개인정보, 금융 정보, 시스템 설정 파일 등 다양한 민감한 데이터가 노출될 수 있다. 이를 방지하기 위해서는 디렉터리 접근 통제, 보안 설정 강화, 암호화 적용 등의 조치가 필수적이다.
검색 기술을 윤리적이고 보안적으로 활용하는 것은 사용자들의 책임이며, 조직에서도 정기적인 보안 점검을 통해 데이터 유출을 예방해야 한다.

구글 해킹 정의

• 구글 해킹(Google Hacking, Dorking)은 구글 검색 엔진을 사용하여 인터넷 상에 노출된 민감한 정보나 보안 취약점을 탐지하는 해킹 기술이다. 구글 해킹은 구글 검색의 고급 명령어(검색 연산자)를 활용해 웹에서 손쉽게 정보에 접근할 수 있게 해준다.
• 이 기법은 Johnny Long이 창시한 Google Hacking Database (GHDB)에 의해 대중화되었으며, 주로 보안 전문가들이 취약점을 테스트하거나 보안을 점검하는 용도로 사용된다. 그 외에도 사이버 공격자들이 이 기술을 악용할 수 있다.

구글 해킹 키워드 종류 및 사용 방법

1. filetype:
   • 특정 파일 형식을 검색하는 데 사용된다. 이를 통해 보안에 취약한 파일을 쉽게 찾을 수 있다.
   • 예시:
     • filetype:sql "password" → "password"라는 단어가 포함된 .sql 파일을 찾는다. 이는 일반적으로 데이터베이스 파일로, 보통 중요한 로그인 정보나 암호가 포함된 경우가 많다.
     • filetype:xls "confidential" → "confidential"이라는 단어가 포함된 .xls(엑셀 파일) 파일을 찾는다. 보안 민감한 자료가 담겨 있을 수 있다.
     • filetype:pdf "치킨" → "치킨"이라는 단어가 포함된 .pdf 파일을 찾는다. 음식 메뉴, 레시피, 마케팅 자료 등이 포함될 가능성이 있다.

       

2. site:
   • 특정 사이트나 도메인 내의 콘텐츠를 검색한다. 이 명령어는 사이트 전체 또는 특정 하위 도메인의 페이지를 대상으로 검색을 할 때 유용하다.
   • 예시:
     • site:example.com → example.com 도메인 내 모든 문서를 탐색한다.
     • site:edu → 교육기관에 해당하는 .edu 도메인 내에서 정보를 검색한다. 이 명령어는 학교와 같은 신뢰할 수 있는 도메인 내의 민감한 데이터를 찾는 데 유용할 수 있다.
     • site:naver.com → naver.com 도메인 내 모든 문서를 탐색한다. 블로그, 카페, 뉴스 등의 콘텐츠를 검색하는 데 유용하다.

       

3. intitle:
   • 페이지의 제목(title tag)에 특정 키워드가 포함된 페이지를 검색한다.
   • 예시:
     • intitle:"admin login" → "admin login"이라는 키워드가 페이지 제목에 포함된 페이지를 찾는다. 이 페이지는 관리자가 로그인하는 페이지로, 공격자에게는 매우 유용한 정보가 될 수 있다.
     • intitle:"index of" → 서버의 디렉토리 목록을 노출하는 페이지를 찾을 수 있다. 이 페이지는 일반적으로 보안상 취약하다.
     • intitle:"정보처리기사" → "정보처리기사"라는 키워드가 제목에 포함된 페이지를 찾는다. 정보처리기사 시험 정보, 기출문제, 학습 자료 등이 포함될 수 있다.

       

4. inurl:
   • URL에 특정 키워드가 포함된 페이지를 검색한다. 웹 애플리케이션에서 자주 사용하는 파라미터나 페이지의 URL 구조에서 취약점을 찾을 수 있다.(inurl을 사용하면 단순한 도메인 검색(site)을 넘어서 특정 경로, 관리자 페이지, 입력 파라미터가 포함된 취약한 URL을 직접 찾아낼 수 있다. )
   • 예시:
     • inurl:index.php?id= → index.php?id=라는 URL 파라미터를 포함한 페이지를 찾는다. 이는 SQL Injection 공격에 취약할 수 있다.
     • inurl:admin → URL에 "admin"이라는 단어가 포함된 페이지를 찾는다. 관리 페이지가 노출되었을 가능성이 있다.
     • inurl:admin login.php id=1 → URL에 "admin login.php id=1"이 포함된 페이지를 찾는다. 이는 로그인 페이지 및 특정 파라미터를 가진 관리자 페이지를 탐색하는 데 사용될 수 있다.

       

5. intext:
   • 페이지 본문에 특정 단어가 포함된 페이지를 검색한다.
   • 예시:
     • intext:"password" → 페이지 본문에 "password"라는 단어가 포함된 페이지를 찾는다. 이러한 페이지는 중요한 비밀번호나 인증 정보를 포함할 수 있다.
     • intext:"confidential information" → "confidential information"이라는 단어가 포함된 페이지를 찾는다. 민감한 정보가 포함된 페이지를 쉽게 찾을 수 있다.
     • intext:"갈비찜 재료" → 페이지 본문에 "갈비찜 재료"라는 단어가 포함된 페이지를 찾는다. 요리 레시피, 장보기 목록, 식자재 관련 문서 등이 검색될 가능성이 있다.

       

6. 명령어 조합
   • 여러 명령어를 조합하여 더 효과적인 검색을 할 수 있다.
   • 예시:
     • site:example.com filetype:pdf "confidential" → example.com 도메인 내에서 "confidential"이라는 단어를 포함한 PDF 파일을 찾는다. 이 파일은 중요한 문서일 수 있다.
     • site:gov filetype:xls "sensitive data" → 정부 웹사이트에서 중요한 민감 데이터가 담긴 엑셀 파일을 찾는다.

구글 해킹으로 찾을 수 있는 주요 취약점

1. 디렉토리 리스팅 (Directory Listing)
   • 웹 서버에서 디렉토리 목록이 노출되면, 웹사이트의 파일 및 폴더 구조를 쉽게 파악할 수 있다. 이로 인해 중요한 파일이나 데이터가 유출될 위험이 크다.

   • 예시: intitle:"index of" "passwords.txt"
     → 디렉토리 목록(Directory Listing)이 활성화된 웹 서버에서 "passwords.txt" 파일이 포함된 페이지를 찾는다.

     💡 설명:

     • intitle:"index of" → 웹 서버가 디렉토리 목록을 노출할 때 자동으로 생성하는 "Index of /" 제목이 포함된 페이지를 찾음.
     • "passwords.txt" → 해당 디렉토리에 "passwords.txt" 파일이 존재하는 경우 검색 결과에 노출됨.
     • 결과적으로, 보안 설정이 제대로 되어 있지 않아 디렉토리 리스팅이 활성화된 서버에서 비밀번호 관련 파일을 찾을 가능성이 높음.

     

2. 민감한 정보 노출
   • 클라우드 스토리지나 서버에 저장된 민감한 정보가 외부에 노출되는 경우, 해커가 이를 악용할 수 있다.
   • 예시:
     • site:s3.amazonaws.com "confidential" → Amazon S3 클라우드 스토리지 내의 민감한 파일을 검색한다.
     • inurl:/.git/ → Git 저장소가 웹에 노출되면 소스 코드와 인증 정보가 유출될 수 있다.
3. 관리자 페이지 노출
   • 관리자 페이지가 외부에 노출되면 악성 공격자가 무차별 대입 공격(Brute Force) 등을 통해 시스템에 접근할 수 있다.
   • 예시:
     • intitle:"admin login" → 관리자 로그인 페이지를 찾아낸다.
     • inurl:admin → "admin"이라는 단어가 URL에 포함된 페이지를 찾는다.
     • 이와 같은 페이지는 권한 상승을 시도하는 공격자에게 매우 유용한 타겟이 된다.
4. 취약점 파라미터
   • SQL Injection, Cross-Site Scripting(XSS), 백업 파일 노출 등의 취약점이 있는 페이지를 쉽게 찾을 수 있다.
   • 예시:
     • SQL Injection: inurl:index.php?id= → SQL Injection 공격에 취약할 수 있는 페이지를 찾는다.
     • XSS: inurl:search?q=<script> → XSS 취약점이 있을 수 있는 페이지를 찾는다.
     • 백업 파일: filetype:bak → 웹 서버에 백업 파일이 존재하는지 찾는다.
     • 더보기

       1. SQL Injection

       inurl:index.php?id= → 데이터베이스 공격이 가능한 웹 페이지를 찾음

       💡 설명:

       • 일부 웹사이트는 index.php?id=1처럼 URL을 이용해 데이터베이스에서 정보를 불러옴.
       • 보안이 취약하면 공격자가 id=1 대신 "id=1 OR 1=1" 같은 코드를 넣어 데이터를 무단으로 빼내거나 조작할 수 있음.
       • inurl:index.php?id=는 이런 취약점이 있을 가능성이 높은 웹사이트를 찾는 검색어임.

       ---

       2. XSS (Cross-Site Scripting)

       inurl:search?q=<script> → 웹사이트에서 악성 스크립트가 실행될 수 있는지 찾음

       💡 설명:

       • 일부 웹사이트는 검색창 등에 입력한 값을 그대로 출력하는데, 보안이 허술하면 공격자가 검색창으로 심어둔 악성코드 (예시: <script>alert('해킹!')</script> ) 같은 악성 코드가 그대로 출력되어 사용자에게 실행될 수도 있음.
       • inurl:search?q=<script>는 검색 기능이 있는 페이지에서 이런 취약점이 있는 사이트를 찾는 데 사용됨.

       ---

       3. 백업 파일 노출

       filetype:bak → 백업 파일이 노출된 웹 서버를 찾음

       💡 설명:

       • 개발자가 중요한 설정 파일을 백업할 때 .bak 확장자를 붙이는 경우가 있음.
       • 파일이 웹 서버에 그대로 남아 있으면, 공격자가 이를 다운로드해 데이터베이스 비밀번호 같은 민감한 정보를 알아낼 수 있음.
       • filetype:bak을 검색하면 이런 백업 파일이 인터넷에 노출된 사이트를 찾을 수 있음.
5. IoT 및 장치 취약점
   • 기본 사용자명과 비밀번호로 로그인할 수 있는 IoT 장치나 CCTV, DVR 장치들을 쉽게 찾을 수 있다.
   • 예시:
     • intitle:"DVR Login" inurl:login → DVR 장치의 로그인 페이지를 찾는다. 이러한 장치는 보통 기본 사용자명과 비밀번호를 그대로 사용하여 보안에 취약하다.

대처 방안

1. 디렉토리 리스팅 비활성화: 웹 서버에서 디렉토리 목록을 표시하지 않도록 설정하여 보안 강화.
2. 민감한 파일 비공개: 로그 파일, 설정 파일 등 중요한 파일을 외부에 공개되지 않도록 경로를 변경하거나 접근을 제한한다.
3. Robots.txt 사용: 검색 엔진 크롤러가 민감한 정보를 탐색하지 못하도록 robots.txt 파일을 활용하여 제한한다.
4. 관리자 페이지 보호: 관리자 페이지에 IP 제한을 두고, 2단계 인증을 도입하여 외부에서의 접근을 차단한다.
5. 에러 메시지 마스킹: 서버 오류 메시지를 일반적인 메시지로 변경하여 상세한 시스템 정보를 외부에 노출하지 않도록 한다.
6. 정기적인 보안 감사: 웹 애플리케이션 및 서버에 대한 취약점 스캔을 정기적으로 진행하여 잠재적인 보안 위험을 사전에 차단한다.

침해사고대응(CERT)의 업무 및 특징

1. CERT의 정의와 역할

• CERT(Computer Emergency Response Team)는 조직 내 침해사고에 대응하기 위해 설립된 전문 팀이다.
• 사이버 보안 사고 발생 시 원인 분석, 피해 평가, 대응 방안 수립 및 복구 업무를 수행하며, 사고 재발 방지를 위해 보안 정책 개선에 기여한다.
• KISA, 기업, 정부 기관 등 다양한 환경에서 운영되며, 국제적으로 협력 네트워크를 통해 위협 정보를 공유한다.

2. CERT의 주요 업무

1. 침해사고 예방:
   • 보안 정책 수립 및 모의훈련, 보안 교육 수행.
   • 최신 위협 동향 파악 및 취약점 점검.
2. 사고 발생 시 대응:
   • 사고 원인과 피해 규모 분석.
   • 사고 대응 및 복구 조치 수행.
3. 보고서 작성:
   • 사고 분석 데이터를 정리해 관리 및 공유.
   • 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에 기반한 보고서 작성.
4. 유사 사고 방지:
   • 사고 재발 방지를 위한 보안 절차 개선 및 기술 적용.
5. 기타 기술 업무:
   • 악성코드 분석, 디지털 포렌식, 모의해킹 수행(조직별 상이).

3. CERT 업무 절차

CERT의 업무 절차는 7단계로 구성되며, 이는 사고 예방부터 복구까지 이어지는 반복 사이클이다​.

1. 사고 전 준비:
   • 침해사고 발생 시 대응 체계 및 조직 준비.
   • 시스템 관리자와 협력 관계 구축 및 비상 연락망 확보.
   • 침입탐지 시스템(IDS) 설치 및 사전 예방 조치 수행.
2. 사고 탐지:
   • IDS, 방화벽 등의 보안 장비 및 로그를 통해 이상 징후를 탐지.
   • 관리자 또는 시스템 경고로 침해사고 발생 여부 식별.
3. 초기 대응:
   • 사고 정황에 대한 세부사항 기록.
   • 침해사고 발생 시 관련 부서 및 외부 기관에 통지.
   • 네트워크와 시스템 정보 수집.
4. 대응 전략 체계화:
   • 사고에 따른 최적의 대응 전략 설계.
   • 조직 업무 및 법적 요건을 고려해 관리자의 승인 필요.
   • 공격 환경과 피해 규모를 바탕으로 대응 방안 수립.
5. 사고 조사:
   • 호스트 기반, 네트워크 기반 증거 수집 및 분석.
   • 공격 시작부터 종료까지의 과정을 재구성하여 피해 확산 방지.
6. 보고서 작성:
   • 사고 대응 전 과정을 기록하여 의사결정자 및 법적 대응에 활용 가능하게 문서화.
   • 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에 따라 작성.
7. 복구 및 해결:
   • 침해된 시스템 복구 및 취약점 보완.
   • 유사 사고 방지를 위한 보안 정책 개선 및 절차 변경.

4. CERT의 특징

• 침해사고 대응의 중심 역할:
  • 사고 발생 시 신속하고 체계적으로 대응하여 조직 피해를 최소화.
• 다양한 기술 활용:
  • 디지털 포렌식, 악성코드 분석, 네트워크 트래픽 모니터링 등 전문 기술 필요.
• 보안 환경의 변화에 대응:
  • 새로운 보안 위협(DDoS, APT, 랜섬웨어 등)에 대한 최신 기술 학습 필수.
• 다학제적 접근:
  • 법률, 정책, 기술적 분석 등 다양한 분야의 협력 필요.

5. KISA에서 수행하는 CERT 업무

한국인터넷진흥원(KISA)은 국가 차원의 CERT 역할을 수행하며, CERT-KR로 알려져 있다:

1. 침해사고 대응:
   • 국내외 사이버 위협에 대한 실시간 대응.
   • 악성코드 유포 사이트 탐지 및 차단.
2. 취약점 분석 및 보완:
   • 공공기관과 기업을 대상으로 취약점 진단 및 개선 방안 제공.
3. 보안 교육 및 훈련:
   • 보안 담당자를 대상으로 사고 대응 훈련 제공.
   • 디지털 포렌식, 악성코드 분석 기술 지원.
4. 국제 협력:
   • 글로벌 CERT 네트워크와 협력하여 위협 정보를 공유.
5. 보고 및 자료 제공:
   • 침해사고 통계와 대응 사례를 바탕으로 보고서를 발간.
   • 보안 컨퍼런스와 세미나를 통해 정보를 확산.

참고자료

https://maker5587.tistory.com/26

https://zerotrust.tistory.com/31

https://www.kisa.or.kr/2060204/form?postSeq=11&page=2