접근통제 보안위협 및 대응책

패스워드 크래커

  • 사전 공격(Dictionary Attack)
    • 패스워드 사전 파일을 이용하여 접속 계정을 알아내는 해킹 방법
    • 공격 대상의 개인 정보를 알고 있다면 효율적
  • 무차별 공격(Brute-force Attack)
    • 성공할 때까지 가능한 모든 조합의 경우의 수를 시도해 공격
  • 하이브리드 공격
    • 사전 공격 + 무차별 공격
  • 레인보우 테이블 공격
    • 패스워드를 해시 처리하여 패스워드와 해시로 이루어진 체인을 무수히 만든 테이블을 대입하여 공격
    • 사전 공격, 무차별 공격보다 적은 시간 소요
    • 패스워드에 솔팅 처리를 하여 예방

사회공학 공격

신뢰할 수 있는 개인이나 조직을 사칭하여 공격대상의 민감한 정보를 빼내는 공격 기법

  • 피싱(Phishing)
    • 공격 대상에게 E-mail 을 발송하여 위조된 사이트로 이동시킨 후, 개인 정보를 요구
  • 파밍(Pharming)
    • 정상적인 사이트로의 접속 요청을 위조 사이트로 바꾸어 개인정보 탈취
  • 스미싱(SMishing)
    • SMS+Phishing
    • SMS을 통해 사용자를 속여 악성 소프트웨어 설치를 유도
    • 해당 소프트웨어를 통해 개인정보를 탈취하거나 금전을 요구

은닉채널

엔티티가 허가되지 않은 방식으로 정보를 얻는 방법

  • 보안 메커니즘에 의해 통제되지 않는 정보흐름
  • 정보흐름은 은닉채널이 존재하지 않게 설정해야 함
  • 은닉채널의 위험은 대역폭에 따라 변경되기 때문에 대역폭을 제한

대응책

  • 로그분석
  • HIDS(호스트 기반 IDS)탐지
  • 시스템 자원분석

방사

  • 컴퓨터와 장치로부터 방출되는 전기적 신호를 가로채는 방법

대응책

  • 탬페스트
    • 차폐물질을 통해 방사되는 신호를 억제하는 기술의 표준
    • 차폐물질을 생산하는 업체는 반드시 표준에 대해 인증
  • 백색소음
    • 일정한 범위의 무작위적인 전기 신호를 의도적으로 방출
  • 통제구역
    • 전기적 신호가 새어나지 않게 하기 위해 벽면에 물질을 사용