정탐, 오탐, 그리고 미탐
정탐, 오탐, 미탐은 보안 모니터링 및 탐지 시스템의 중요한 개념이다.
이를 구분하는 기준 중, True-False는 바람직한 결과(= 정상) 여부를, Positive-Negative는 탐지(= 보고) 여부를 의미한다.
1. 정탐(True Positive)
정탐은 보안 시스템이 실제로 존재하는 위협을 정확하게 탐지한 경우를 의미한다.
예를 들어, 실제로 악성 코드가 네트워크를 통해 유입되었을 때, 보안 시스템이 이를 탐지하고 경고를 발령한 경우이다.
정탐은 보안 시스템의 성능을 평가하는 데 중요한 지표로, 정탐률이 높을수록 시스템이 신뢰할 만한 것으로 간주된다.
2. 오탐(False Positive)
오탐은 보안 시스템이 위협이 아닌 정상적인 활동을 위협으로 잘못 탐지한 경우를 의미한다.
예를 들어, 정상적인 네트워크 트래픽을 악성 트래픽으로 오인하여 경고를 발령한 경우이다.
오탐이 많을 경우, 보안 팀의 Alert Fatigue를 초래할 수 있으며, 시스템의 신뢰성이 떨어질 수 있고, 실제 위협에 대한 대응이 지연될 수 있다.
3. 미탐(False Negative)
미탐은 보안 시스템이 실제로 존재하는 위협을 탐지하지 못한 경우를 의미한다.
예를 들어, 악성 코드가 네트워크를 통해 유입되었지만 보안 시스템이 이를 전혀 감지하지 못한 경우이다.
미탐은 가장 위험한 상황을 초래할 수 있다. 실제 위협이 탐지되지 않았기 때문에 시스템 및 데이터의 손상 가능성이 높아진다. 결국, 보안 사고가 발생한 후에야 이를 인지하게 되는 경우가 많아 대응이 늦어질 수 있다.
4. 높은 정탐률과 낮은 오답률
- 정탐률과 오탐률
- 높은 정탐률을 유지하면서 오탐률을 낮추는 것이 가장 중요하다.
- 너무 민감한 탐지 규칙을 설정하면 오탐이 많아질 수 있고, 너무 둔감하게 설정하면 미탐이 발생할 수 있다.
- 미탐 방지
- 미탐을 방지하기 위해서는 지속적인 시스템 튜닝과 위협 정보의 업데이트가 필요하다.
5. 그럼 True Negative는?
True Negative (TN, 진음)는 보안 시스템이 실제로 위협이 없는 정상적인 활동을 정확하게 위협이 아니라고 판단한 경우를 의미한다. 예를 들어, 정상적인 네트워크 트래픽이 발생했을 때, 보안 시스템이 이를 정상으로 인식하고 경고를 발령하지 않은 경우다.
TN은 보안 시스템의 정확성을 평가하는 데 중요하며, TN이 많다는 것은 시스템이 정상적인 활동을 잘 인식하고 있다는 것으로, 시스템의 신뢰도를 높인다.
요약
- 정탐 (True Positive) : 위협을 제대로 탐지한 경우
- 오탐 (False Positive) : 위협이 아닌 것을 잘못 탐지한 경우
- 미탐 (False Negative) : 실제 위협을 탐지하지 못한 경우
- 진음 (True Negative) : 위협이 아닌 정상적인 활동을 올바로 무시한 경우
| 보고 | 보고 안함 | |
| 오류 | True Positive | False Negative |
| 정상 활동 | False Positive | True Negative |
따라서, 보안 시스템의 목표는 정탐(TP)과 진음(TN)의 비율을 높이고, 오탐(FP)과 미탐(FN)을 최소화하는 것이다.
악성코드의 유형과 유형별 특징 - 대표적인 사례
1. 바이러스 (Virus)
바이러스는 숙주 프로그램에 스스로를 복제하여 삽입하는 악성 코드로, 사용자가 감염된 프로그램을 실행할 때 활성화되며, 다른 파일이나 시스템으로 전파된다.
- 특징
- 감염된 파일을 통해 확산된다.
- 사용자 개입이 있어야만 실행과 전파가 가능하다.
- 종종 시스템 파일을 손상시키거나 데이터를 파괴한다.
- 대표 사례 - ILOVEYOU 바이러스 (2000)
- ILOVEYOU는 'I love you'라는 메일로 'LOVE-LETTER-FOR-YOU.TXT.vbs'란 vbs 파일을 첨부한다. 메일을 수신받은 사용자가 이 파일을 여는 순간 감염된다. 감염된 파일을 실행하게 되면 Window가 시작될 때마다 실행되도록 시스템 등록정보(registry)를 변경한다.
- 전 세계적으로 약 1천만 대의 컴퓨터가 감염됐으며, 주로 텍스트 파일을 손상시켰고, 감염된 시스템의 파일을 삭제했다.
2. 웜 (Worm)
웜은 독립적으로 실행되며 네트워크를 통해 스스로 복제하여 전파되는 악성 코드이다. 바이러스와 달리 특정 파일에 자신을 삽입하지 않으며, 주로 네트워크의 취약점을 이용하여 확산된다.
- 특징
- 네트워크를 통해 빠르게 확산된다.
- 사용자 개입 없이도 복제 및 전파 가능
- 네트워크 트래픽을 증가시키고, 시스템 리소스를 소모시킨다.
- 대표 사례 - MyDoom 웜 (2004)
- Microsoft Windows 컴퓨터를 대상으로 한 웜 공격으로, 이전의 Sobig 웜이나 ILOVEYOU 바이러스 보다 훨씬 빠른 email 웜으로 기록되었다. 이메일 첨부 파일을 통해 전파되며, 감염된 컴퓨터에서 네트워크를 통해 다른 시스템으로 확산했고, 이 감염된 시스템을 이용해 DDoS 공격을 수행했다.
- 약 100만 대가량의 PC를 감염시키고 약 261억 달러 규모의 피해를 입혔다.
3. 트로이 목마 (Trojan Horse)
트로이 목마는 유용한 프로그램으로 위장한 악성 코드로, 실행되면 악성 행위를 수행한다. 사용자가 악성 프로그램임을 인식하지 못한 채 설치하게 만드는 것이 특징이다.
- 특징
- 사용자를 속여 설치 및 실행하게 한다.
- 주로 백도어를 설치하거나 데이터를 탈취한다.
- 바이러스나 웜과 달리 스스로 복제하지 않는다.
- 대표 사례 - Zeus 트로이 목마 (2007)
- 주로 금융 정보 탈취 및 봇넷 machine 추가를 목적으로 개발된 악성 코드로, 감염된 시스템의 웹 브라우저를 통해 입력된 정보를 수집한다. 전 세계적으로 수백만 대의 컴퓨터가 감염되어 큰 피해를 입혔다.
- 백도어 트로이 목마 코드를 가진 웹 사이트에 방문하여 Drive-by Download를 유도했다. InternetExplorer 같은 구식 웹 브라우저는 이러한 접근 방식에 취약했다.
- 피싱 메일이나 SNS의 게시글에 있는 링크를 통해 악성 소프트웨어를 다운로드했다.
- 주로 금융 정보 탈취 및 봇넷 machine 추가를 목적으로 개발된 악성 코드로, 감염된 시스템의 웹 브라우저를 통해 입력된 정보를 수집한다. 전 세계적으로 수백만 대의 컴퓨터가 감염되어 큰 피해를 입혔다.
4. 랜섬웨어 (Ransomware)
랜섬웨어는 사용자의 파일을 암호화하여 접근을 차단하고, 이를 해제하기 위해 금전적인 대가를 요구하는 악성 코드다.
- 특징
- 타깃 파일을 암호화한 뒤, 해제를 위한 비용 요구
- 기업 및 개인을 가리지 않음
- 주로 이메일 피싱이나 취약한 소프트웨어를 통해 전파된다.
- 대표 사례 - WannaCry 랜섬웨어 (2017)
- Window 운영체제의 취약점을 노려 데이터를 암호화하고 이를 해제하기 위한 금액으로 Bit coin 가상화폐를 요구한 사건으로, 약 150 개국에서 수십만 대의 컴퓨터가 감염됐다.
5. 스파이웨어 (Spyware)
스파이웨어는 사용자의 동의 없이 시스템에 설치되어 개인 정보를 수집하는 악성 코드다. 주로 광고 목적으로 사용되지만, 심각한 개인정보 침해를 야기할 수 있다.
- 특징
- 사용자 모르게 설치 및 동작
- 주로 브라우징 기록, 키 입력, 계정 정보 등을 수집한다.
- 시스템 성능 저하를 유발할 수 있다.
- 대표 사례 - CoolWebSearch 스파이웨어 (2003)
- 사용자의 웹 브라우저 설정을 변경하고, 광고를 표시하며, 검색 결과를 가로채는 방식으로 작동했다.
6. 애드웨어 (Adware)
애드웨어는 광고를 표시하거나 사용자의 동의 없이 수익을 창출하기 위해 설치되는 악성 코드다. 종종 스파이웨어와 결합되어 개인 정보를 수집하기도 한다.
- 특징
- 광고를 표시하고 클릭을 유도한다.
- 사용자 경험을 저해한다.
- 일부 애드웨어는 시스템 성능에 영향을 미칠 수 있다.
- 대표 사례 - Fireball 애드웨어 (2017)
- 웹 브라우저의 홈 페이지와 검색 엔진을 변경하고, 광고를 무작위로 표시하며, 트래픽을 가로채는 방식으로 수익을 창출했다. 전 세계 약 2억 5천만 대의 컴퓨터에 영향을 미쳤다.
7. 루트킷 (Rootkit)
루트킷은 시스템에 깊숙이 숨겨져 악성 코드를 은닉하거나 공격자가 시스템에 대한 지속적인 접근 권한을 확보할 수 있도록 돕는 악성 코드다.
- 특징
- 깊이 숨겨져 탐지가 어렵다.
- 시스템 권한을 확보하여 자신을 보호한다.
- 종종 다른 악성 코드와 결합하여 사용된다.
- 대표 사례 - Stuxnet 루트킷 (2010)
- 산업용 제어 시스템을 목표로 한 매우 정교한 악성 코드로, 루트킷을 사용해 자신을 숨기고, 원심 분리기 장비를 파괴하는 데 사용됐다. 이란의 핵 프로그램을 목표로 한 것으로 알려졌다.
'리팩토링 > 2. 보안관제' 카테고리의 다른 글
| 리팩토링 12주차. 악성코드 분석 환경 구성 & 악성코드 샘플링 웹사이트 (1) | 2024.09.24 |
|---|---|
| 리팩토링 11주차. 악성 코드 분석 방법 (1) | 2024.09.10 |
| 리팩토링 10주차. VirusTotal (2) | 2024.09.02 |
| 리팩토링 9주차. 보안관제 (1) | 2024.08.22 |
| 리팩토링 7주차. Firewall, IDS, IPS, DDoS (1) | 2024.07.29 |
