[도서] 1일 1로그 100일 완성 IT지식 #통신

✅ 통신 79번 : 곳곳에 도사리는 위험

 

👌 웹의 보안 위협 문제

 

1. 클라이언트(여러분) 공격

2. 서버(가령 온라인 매장 또는 은행) 공격

3. 전송 중인 정보 공격(무선 통신을 스누핑하거나 NSA가 광케이블상의 모든 트래픽을 탈취하는 행위 등)

 

 

1️⃣ 클라이언트 공격

 

스팸이나 추적같은 단순히 골칫거리를 만드는 공격뿐만 아니라 더 심각한 문제를 야기하는 공격, 특히 다른 사람이 여러분으로 가장할 수 있게 하는 신용카드 번호, 은행 계좌 번호 또는 비밀번호 같은 개인정보 유출이 포함된다.

 

 

🟡 추적을 줄이려면?

 

🔹 제 3자 쿠키(third-party cookie)(여러분이 방문한 웹사이트가 아닌 다른 웹사이트에서 온 쿠키)를 금지한다.

 

🔹 트래커를 비활성화하는 브라우저 애드온을 사용한다.

 

🔹 자바스크립트를 차단한다

 

 

👌 스팸

 

👌 피싱 공격

 

도용에 사용할 수 있는 정보를 수신자가 자발적으로 넘겨주도록 설득하는 방법

 

▶️ 스피어 피싱 : 정확한 표적 공격, 일종의 소셜 엔지니어링, 함께 아는 친구가 있다는 등 개인적인 관계가 있는 척 하거나 같은 회사에서 일하는 척함으로써 피해자가 어리석은 일을 하도록 유도하는 것

 

 

👌 스파이웨어

 

컴퓨터에서 실행되면서 사용자에 대한 정보를 다른곳으로 보내는 프로그램

 

 

👌 좀비

 

인터넷에 연결되어 잠에서 깨어나 스팸 메일 전송 같은 적대적 행위를 수행하라는 명령을 받을 때까지 기다리는 프로그램

// 이러한 프로그램은 봇bot 이라 불리며, 공통으로 제어되는 봇의 네트워크를 봇넷bonet 이라 한다.

 

 

👌 키 로거

 

클라이언트에서 일어나는 모든 키 입력을 모니터링하는 프로그램으로, 키가 입력될 때 비밀번호를 캡처한다.

 

 

👌 랜섬웨어

 

악성코드가 컴퓨터에 있는 콘텐츠를 암호화하여 복호화 비밀번호에 대한 금액을 지급하기 전까지 사용할 수 없게 하는 것

 

 

👌 스케어웨어 

 

컴퓨터가 악성코드에 감염됐다고 주장하면서 협박하는 화면을 띄울 때, 아무것도 건드리지 말고 거기에 있는 수신자 부담 번호로 전화를 걸어 적당한 돈을 주면 구출된다.

 

 

2️⃣ 서버 공격

 

👌 SQL 주입(SQL injection) 공격

 

사용자 접근을 신중하게 제한하지 않으면 영리한 공격자가 데이터베이스 구조를 드러내고 인가되지 않은 정보를 추출하며 심지어 공격자의 코드를 서버에서 실행하기 위한 쿼리를 제출한다. 공격자의 코드가 전체 시스템에 대한 통제권을 획득할 가능성도 있다.

 

 

👌 DOS(Denial of Service, 서비스 거부) 공격

 

순전히 트래픽 용량만으로 사이트를 마비시키기 위해 대량의 트래픽이 사이트로 향하게 만들며 흔히 봇넷으로 조정된다.

 

 

👌 DDOS(Distributed Denial of Service, 분산 서비스 공격)

 

많은 출처에서 동시에 오는 DOS 공격

 

 

3️⃣ 전송 중인 정보 공격

 

👌 중간자 공격

 

공격자가 메시지를 가로채서 바꾼 다음, 마치 원래 출처에서 바로 온 것처럼 수신자에게 보내는 공격, 적절한 암호화를 통해 이러한 종류의 공격을 막을 수 있다.

 

 

👌 국가 방화벽

 

또 다른 종류의 중간자 공격으로 트래픽을 느리게 하거나 검색 결과를 변경한다.

 

 

🔹 VPN(Virtual Private Network, 가상 사설망)

 

두 컴퓨터 간에 암호화된 통신 경로를 설정하여 일반적으로는 정보 흐름을 양방향으로 안전하게 보호한다.