리팩토링

악성코드 분석서론사람들과 기업이 점점 더 기술에 의존함에 따라, 악성코드 또한 점점 기업과 개인들에게 심각한 위해를 끼치는 수준이 되고 있다. 특히, AI 등 신기술의 발전은 범죄자들이 새로운 유형의 악성코드를 만드는 것을 더욱 쉽게 만들고 있다. AV Tech사는 매일 450,000 건의 새로운 유형의 악성코드들이 탐지되었다고 밝혔다. (2023.08)  이렇듯 성장하는 위협에 대처하기 위해 사이버보안 전문가들은 악성코드의 행동과 특징, 그리고 역량을 탐지하고 분석하기 위해 악성코드 분석 기술을 사용한다. 악성 코드 분석 기술에는 정적 분석과 동적 분석의 두 가지 유형이 존재한다.정적 분석코드를 실행하지 않고 악성코드를 분석하는 방법으로, 악성코드의 메타데이터, 구조 등 속성을 파악할 수 있다.(코드를..

VirusTotalVirusTotal은 인터넷 보안회사인 Chronicle (舊 Google)에서 운영하는 무료 온라인 서비스로, 파일이나 URL을 여러 Anti-Virus 엔진과 웹사이트 스캔 도구를 사용하여 분석하는 웹사이트다. 기본적으로 사용자가 업로드한 파일이나 URL을 70개 이상의 Anti-Virus 엔진과 URL 블랙리스트 서비스를 통해 스캔하고, 그 결과를 공유함으로써 악성코드 (malware) 탐지 및 분석에 큰 도움을 준다. 주요 기능1. 파일 스캔사용자가 업로드한 파일을 여러 Anti-Virus 엔진이 동시에 검사하여 악성코드를 탐지한다. 2. URL 스캔의심 URL을 입력하면 여러 보안 서비스가 해당 URL이 악성인지 확인한다. 3. 도메인/IPv4 조회특정 도메인이나 IP 주소의 ..

보안관제(SOC)란?보안관제 직무란?보안 관제(SOC) 는 Security Operations Center의 약자로, 고객의 정보 기술 자원 및 보안 시스템에 대한 운영 및 관리를 전문적으로 아웃소싱하여 각종 침입에 대해 중앙 관제 센터에서 실시간으로 감시, 분석, 대응하는 서비스이다. 보안관제 수행 3원칙무중단의 원칙사이버 공격은 시간 장소와 상관없이 수시로 발생하므로 보안관제 업무는 중단 없이 수행되어야 한다.전문성의 원칙정보 보안과 관련된 지식과 경험을 갖춘 전문 인력과 첨단 시설을 갖추어야 한다.정보 공유의 원칙사이버 공격으로 인한 타 기관으로부 확산되는 것을 방지하기 위해 관계 법령에 위배되지 않는 범위 내에서 보안 관제 관련 사항을 공유해야 한다. 더보기보안관제(SOC) vs. 침해사고대응(C..

정탐, 오탐, 그리고 미탐정탐, 오탐, 미탐은 보안 모니터링 및 탐지 시스템의 중요한 개념이다.True-False는 바람직한 결과(= 정상) 여부를, Positive-Negative는 탐지(= 보고) 여부를 의미한다.  1. 정탐(True Positive) : "제대로 찾았다!"정탐은 보안 시스템이 실제로 존재하는 위협을 정확하게 탐지한 경우를 의미한다.예를 들어, 실제로 악성 코드가 네트워크를 통해 유입되었을 때, 보안 시스템이 이를 탐지하고 경고를 발령한 경우이다. 정탐은 보안 시스템의 성능을 평가하는 데 중요한 지표로, 정탐률이 높을수록 시스템이 신뢰할 만한 것으로 간주된다.2. 오탐(False Positive) : "잘못 찾았다!"오탐은 보안 시스템이 위협이 아닌 정상적인 활동을 위협으로 잘못 탐..

Firewall방화벽은 미리 정의된 보안 규칙에 의거하여, 출입하는 네트워크 트래픽을 감시/제어하는 네트워크 보안 시스템이다. 주로, 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 사이의 장벽을 구성하며, 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열, 수정하는 소프트웨어/하드웨어 장치를 의미한다. 주요 기능1. 접근 통제허용된 서비스나 공개 정보 서버 같은 특정 호스트를 제외한 외부 네트워크의 접근 시도를 패킷 필터링, 프록시 방식으로 제어한다.2. 인증메시지 인증 : VPN 같이 신뢰할 수 있는 통신선을 통해 전송된 메시지의 신뢰성을 보장사용자 인증 : OTP, 패스워드 인증 등 방화벽을 지나는 트래픽에 대한 사용자가 누구인지 증명클라이언트 인증 : 모바일 사용자처럼 특수..

1. 원격 터미널 프로토콜Telnet과 SSH는 원격으로 서버에 접속하기 위한 프로토콜이다.Telnet Telnet은 Telecommunications and Networks의 약자로, TCP/IP 프로토콜을 사용하는 원격 터미널 접속 프로토콜이다. 1969년에 개발되어 네트워크 상에서 다른 컴퓨터에 로그인하여 작업을 수행할 수 있도록 설계되었다. 기본 포트 번호로 23번을 사용한다. 동작 방식연결 형성Telnet client가 server에 TCP 연결을 요청한다.이를 server가 수락하면 양방향 text 기반의 세션이 시작된다.데이터 교환 : 연결이 시작되면, client와 server 사이에 데이터가 평문으로 교환된다.협상 NegotiationTelnet session이 시작되면, client와 ..

파일 전송 프로토콜 (FTP)FTP는 File Transfer Protocol의 약자로, 네트워크를 통한 클라이언트와 서버 간 파일 전송을 위해 설계된 프로토콜이다. FTP의 가장 큰 특징은 데이터 전송을 관리하기 위해 control channel과 data channel의 두 가지 채널을 사용한다는 것이다. Control ChannelControl channel은 클라이언트와 서버 간의 지속적인 연결을 유지하는 데 사용된다. 해당 채널을 통해 모든 FTP 명령과 응답이 전송된다. 이는 client가 server에 로그인하고, 파일 리스트를 요청하고, 다양한 명령을 실행하는 데 사용된다.특징TCP port 21번 사용FTP 명령과 응답 모두 평문 형태로 보내지기 때문에 debugging과 logging ..

1계층 장비물리(1) 계층은 물리적/기계적/기능적 특징을 이용하여 데이터를 전송하는 모델로, 대표적인 네트워크 기기로는 서로 다른 네트워크 기기를 연결하는 통신 케이블, 신호를 증폭하는 리피터와 리피터에 멀티 포트를 지원하는 허브가 존재한다.종류리피터 (Repeater)전송 중 약해진 신호를 재생/증폭하여 전송 거리를 연장한다.허브 (Hub)한 장치에서 받은 신호를 네트워크에 연결된 모든 장치로 전송한다.CSMA/CD 방식을 사용하기 때문에 데이터 전송 중 충돌이 발생할 수 있다.네트워크 케이블 (Network Cable)데이터를 실제로 전송하는 역할을 수행한다.동축 케이블, 광섬유 케이블, TP 케이블 등 여러 종류의 케이블이 해당한다.모뎀 (Modem)디지털 신호를 아날로그 신호로 변환하거나 그 반대..

빠르게 발전하는 기술로 인해 더욱 광대하고 복잡해진 네트워크 통신에서 변함 없이 중요한 두 가지 프로토콜이 있다. TCP와 UDP이다.두 핵심 인터넷 프로토콜은 네트워크 장치 간 데이터 전송에 필수적이지만, 그 목적과 설계 특성은 매우 다르다. 이 글에서는 TCP와 UDP, 각 프로토콜의 헤더 구조와 통신 방식, 그리고 전송 중 데이터 무결성을 유지하는 체크섬의 역할에 집중했다. 네트워킹 분야의 숙련된 엔지니어든 이 분야에 새로 관심을 가진 사람이든, 두 프로토콜을 이해하는 것은 인터넷을 통해 데이터가 어떻게 효율적이고 신뢰성 있게 이동하는지 파악하는 데 있어 기초가 될 것이다. TCP 헤더구조TCP는 전송의 신뢰성과 흐름 제어, 혼잡 제어 를 담당하는 프로토콜로, TCP 헤더에는 이 기능들을 위한 여러..

OSI 7 계층OSI는 ' 개방 시스템 상호 연결 (Open Systems Inter-connection)'의 약자이다이는 통신 기기 간 혹은 기기 내부 등 각종 네트워크 영역에서 이루어지는 통신 절차를 7 계층화한 것으로, 네트워크 문제를 쉽게 표준화하여 네트워크 흐름을 쉽게 이해할 수 있다는 장점이 존재한다. 분류는 1~7 계층 순으로, 물리 - 데이터 링크 - 네트워크 - 전송 - 세션 - 표현 - 애플리케이션(응용)으로 나뉜다.응용 계층에서 물리 계층의 Top-down 순으로 메시지가 생성 / 전송되며, 메시지 수신은 그 역순으로 진행된다.데이터 전송 : 응용 ~> 물리 데이터 수신 : 물리 ~> 응용OSI 계층 별 특징응용 (Application)응용 계층은 OSI 모델의 최상위 계층으로, 사용..