나경아빠의 스케치북 - 고통은 희망의 씨앗이다

- 전자금융거래법령, 전자금융감독규정 내 보안업무의 CISO, CEO, 상위감독기관 보고, 제출 업무 정리

전자금융감독규정.pdf

전자금융거래법.pdf

전자금융거래법 시행령.pdf

■ CISO 까지 보고/승인

1. 무선통신망 이용 업무의 승인

① 내용 : 무선통신망을 이용한 업무는 정보보호최고책임자의 승인을 받아 사전에 지정해야한다.

② 근거 : 전자금융감독규정 제15조(해킹 등 방지대책) 6항 1호 <개정 2013.12.3>

■ CEO 까지 보고

1. 정보보안 관련법규 준수 점검결과 보고

① 내용 : 정보보호최고책임자는 임직원이 정보보안 관련법규가 준수되고 있는지 정기적으로 점검하고 그 점검결과를 최고경영자에게 보고할 것

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 4호 <신설 2013.12.3>

2. 정보보안 관련법규 위반자 제재 보고

① 내용 : 최고경영자는 임직원이 정보보안 관련법규를 위반할 경우 그 제제에 대한 기준 및 절차를 운영해야하므로 

             정보보호최고책임자는 정보보안 관련법규 위반자의 제제 기준 및 절차를 수립하여 CEO 에게 보고해서 시행해야 한다. 

   (내 생각. CEO 가 이거 챙기겠어?)

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 5호 <신설 2013.12.3>

3. 정보기술부문/정보보호 인력, 정보보호예산의 감독규정 미준수 시 보고 및 공시

① 내용 : 정보기술부문 인력은 총 임직원수의 100분의 5 이상(5%), 정보보호인력은 정보기술부문 인력의 100분의 5 이상(5%), 

   정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 해야한다.

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 3항 <개정 2013.12.3>

   금융회사 정보기술부문 보호업무 모범규준 II. 5. ⑥

③ 공시방법

- 홈페이지

- 홈페이지를 운영하지 않는 금융회사는 관련 협회를 통해 공시

④ 공시 시기 

- 매사업년도 종료 후 1개월 이내

- 사업연도 반기(반기가 시작되는 월 기준)마다 주기적으로 재공시

 ⑤ 공시 기간

- 공시일로부터 15일 동안 공시

4. 정보보호위원회 심의, 의결사항 보고

① 내용 : 정보보호최고책임자는 정보보호위원회 심의·의결사항을 최고경영자에게 보고하여야 한다.

② 근거 : 전자금융감독규정 제8조의2(정보보호위원회 운영) 4항

■ 상위감독기관 보고

1. 정보기술부문 계획서 제출

① 내용 : 안전한 전자금융거래를 위한 정보기술부문에 대한 현실적이고 실현 가능한 장단기 계획을 매년 수립하여 운영하여야 한다.

② 근거 : 전자금융거래법 제21조(안전성의 확보의무) 4항 <신설 2013.5.22>

             전자금융감독규정 제19조(정보기술부문 계획서 제출 절차 등) 1항 <신설 2013.12.3>

③ 최종 제출처 : 금융위원회

④ 제출 시기 : 매 사업연도 초일부터 3개월 이내

⑤ 보고 내용

- 정보기술부분의 추진목표 및 추진전략

- 정보기술부문의 직전 사업연도 사업실적 및 해당 사업연도 추진계획

- 정보기술부문의 조직 등 운영 현황

- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산

- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑥ 벌칙/과태료

- 정보기술부문 계획을 제출하지 않으면 1천만원 이하 과태료

2. 전자금융기반시설의 취약점 분석, 평가 결과서 제출

① 내용 : 총자산이 2조원이상이고 상시 종업워수가 300명이상인 금융회사는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 

   전자금융기반시설에 대한 분석, 평가해야한다.

② 근거 : 전자금융거래법 제21조3(전자금융기반시설의 취약점 분석, 평가) 1항

             전자금융감독규정 제37조의3(전자금융기반시설의 취약점 분석, 평가 전문기관의 지정 등) 2항

③ 최종 제출처 : 금융위원회

④ 취약점 분석, 평가 시기

- 사업연도마다 1회 이상 취약점 분석, 평가 실시(홈페이지는 6개월에 1회 이상)

- 즉시 취약점 분석, 평가

가. 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우

나. 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 

     경우

⑤ 결과서 제출 시기 : 취약점 분석, 평가 종료 후 30일 이내 제출

⑥ 취약점 분석, 평가 대상

가. 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

나. 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

다. 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

라. 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항

마. 그 밖에 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑦ 벌칙/과태료

- 전자금융기반시설의 취약점을 분석, 평가하지 아니한 자는 2천만원 이하 과태료

- 보완조치의 이행계획을 수립, 시행하지 아니한 자는 2천만원 이하 과태료

- 전자금융기반시설의 취약점 분석, 평가의 결과를 보고하지 아니한 자는 1천만원 이하 과태료

3. 정보기술부문 및 전자금융사고 보고

① 내용 : 금융회사는 전산장애, 금융사고, 해킹 등 중대한 사고가 발생하면 지체 없이 상위기관에 보고하여야 한다.

② 근거 : 전자금융감독규정 제73조(정보기술부문 및 전자금융사고보고) 1항 <신설 2013.12.3>

③ 최종 보고처 : 금융위원회 및 금융감독원장

④ 보고 대상사고

가. 전자적 침해행위로 인해 정보처리시스템에 사고가 발생하거나 이로인해 이용자가 금전적 피해를 입었다고 금융회사 또는 

     전자금융업자에게 통지한 경우

나. 접근매체의 위조나 변조로 발생한 사고

1. 정보기술부문 계획

1) 목적

- 안전한 전자금융거래를 위한 정보기술부문에 필요한 사항을 계획

2) 근거 법령

- 전자금융거래법 제21조(안전성의 확보의무) 4항

3) 시기

- 매년 수립

- 매 사업년도 초일부터 3개월 이내

4) 보고/제출 라인

- 대표자의 확인, 서명

- 금융위원회 제출

5) 보고 내용

- 정보기술부문의 추진목표 및 추진전략

- 정보기술부문의 직전 사업연도 사업실적 및 해당 사업연도 추진계획

- 정보기술부문의 조직 등 운영 현황

- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산

- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

6) 벌칙/과태료

- 정보기술부문 계획을 제출하지 않으면 1천만원 이하 과태료

2. 전자금융기반시설의 취약점 분석, 평가

1) 목적

- 전자금융거래의 안전성과 신뢰성을 확보하기 위해 전자금융기반시설에 대한 분석, 평가

2) 근거 법령

- 전자금융거래법 제21조3(전자금융기반시설의 취약점 분석, 평가)

3) 시기

가) 취약점 분석, 평가 시행 시기

- 사업연도마다 1회 이상 취약점 분석, 평가 실시

- 즉시 취약점 분석, 평가

① 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우

② 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 경우

나) 보고 시기

- 취약점 분석, 평가 종료 후 30일 이내 제출

4) 보고/제출 라인

- 금융위원회 제출

5) 취약점 분석, 평가 대상

- 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

- 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

- 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

- 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항

- 그 밖에 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

6) 취약점 분석, 평가 수행자

- 자체전담반

- 전문성을 갖춘 외부 기관

- 자체전담반의 구성기준과 의뢰할 수 있는 외부 기관의 기준은 금융위원회가 정하여 고시

7) 보고 내용

- 취약점 분석ㆍ평가의 사유, 대상, 기간 등 실시개요

- 취약점 분석ㆍ평가의 세부 수행방법

- 취약점 분석ㆍ평가 결과

- 취약점 분석ㆍ평가 결과에 따른 필요한 보완조치의 이행계획

- 그 밖에 취약점 분석ㆍ평가의 적정성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

8) 벌칙/과태료

① 2천만원 이하 과태료

- 전자금융기반시설의 취약점을 분석·평가하지 아니한 자

- 보완조치의 이행계획을 수립·시행하지 아니한 자

② 1천만원 이하 과태료

- 전자금융기반시설의 취약점 분석·평가의 결과를 보고하지 아니한 자

1. 지연 이체 제도

전자금융사기를 예방하고자 이용자가 원할 경우 30분, 1시간 또는 1일 이후 이체가 되는 "지연 이체" 제도가 생겼다.

본 조항은 부칙에 따라 공포 후 1년이 경과한 날부터 시행된다.(2015.10.16)

따라서 대통령령은 이후 개정될 것으로 보인다.

IT적으로는 이체 시 지연 이체 신청 이용자인지 체크하는 로직이 들어가거나

이상금융거래탐지에 해당 이용자를 고려할지 검토가 필요할거 같다.

2. 공인인증의 강제성

금융위원회가 정하는 전자금융거래의 안전성 조치에 공인인증서까지 적용되는 걸로 보인다.

하지만 개정된 3항처럼 금융위원회가 특정한 공인인증 기술을 강제하지 않도록 했으므로 공인인인증서 외에 사설인증서도 사용할 수 있을거

같다.

이 규정또한 공포 후 1년이 경과한 날부터 시행된다.(2015.10.16) 

3. 정보보호최고책임자 지정

총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사와 전자금융업자는 CISO 는 다른 업무를 겸직할 수 없는 전임 CISO 규정이 생겼다.

이 규정은 이 법 시행 후 선임(재선임 포함)되는 CISO 부터 적용하는데, 이 법은 공포 후 6개월이 경과한 날부터 시행이므로 2015.4.16 부터 적용된다.

4. 상거래 관계가 종료된 전자금융거래기록의 파기

금융거래 등 상거래관계가 종료된 경우에 5년 이내에 전자금융거래기록을 파기해야 한다.

아래 3가지 경우에는 전자금융거래기록을 파기하지 않아도 된다.

1) 신용정보("신용정보의 이용 및 보호에 관한 법률")

- 특정 신용정보주체를 식별할 수 있는 정보

생존하는 개인의 성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적 및 직업 등과 기업

(사업을 경영하는 개인 및 법인과 이들의 단체를 말한다. 이하 같다) 및 법인의 상호, 법인등록번호, 사업자등록번호, 

본점 및 영업소의 소재지, 설립연월일, 목적, 영업실태, 종목, 대표자의 성명 및 임원 등에 관한 사항

(제2호부터 제5호까지의 어느 하나에 해당하는 정보와 결합되는 경우만 해당한다)

- 신용정보주체의 거래내용을 판단할 수 있는 정보

대출, 보증, 담보제공, 당좌거래(가계당좌거래를 포함한다), 신용카드, 할부금융, 시설대여와 금융거래 등 상거래와 

관련하여 그 거래의 종류, 기간, 금액 및 한도 등에 관한 사항

- 신용정보주체의 신용도를 판단할 수 있는 정보

금융거래 등 상거래와 관련하여 발생한 연체, 부도, 대위변제, 대지급과 거짓, 속임수, 그 밖의 부정한 방법에 의한 

신용질서 문란행위와 관련된 금액 및 발생·해소의 시기 등에 관한 사항. 이 경우 신용정보주체가 기업인 경우에는 

다음 각 목의 어느 하나에 해당하는 자를 포함한다.

가. 「국세기본법」 제39조제2항에 따른 과점주주로서 최다출자자인 자

나. 「국세기본법」 제39조제2항에 따른 과점주주인 동시에 해당 기업의 이사 또는 감사로서 그 기업의 채무에 연대보증을 한 자

다. 해당 기업의 의결권 있는 발행주식총수 또는 지분총액의 100분의 30 이상을 소유하고 있는 자로서 최다출자자인 자

라. 해당 기업의 무한책임사원

- 신용정보주체의 신용거래능력을 판단할 수 있는 정보

금융거래 등 상거래에서 신용거래능력을 판단할 수 있는 다음 각 목의 어느 하나에 해당하는 정보

가. 개인의 재산·채무·소득의 총액 및 납세실적

나. 기업의 연혁·주식 또는 지분보유 현황 등 기업의 개황(槪況), 판매명세·수주실적 또는 경영상의 주요 계약 등 사업의 내용, 재무제표(연결재무제표 및 결합재무제표를 포함한다. 이하 같다) 등 재무에 관한 사항과 「주식회사의 외부감사에 관한 법률」에 따른 감사인의 감사의견 및 납세실적

- 다음 각 목의 어느 하나에 해당하는 정보

가. 법원의 금치산선고·한정치산선고·실종선고의 재판, 회생·개인회생과 관련된 결정, 파산선고·면책·복권과 관련된 결정, 채무불이행자명부의 등재·말소 결정 및 경매개시결정·경락허가결정 등 경매와 관련된 결정에 관한 정보

나. 국세·지방세·관세 또는 국가채권의 체납 관련 정보

다. 벌금·과태료·과징금 또는 추징금 등의 체납 관련 정보

라. 사회보험료·공공요금 또는 수수료 등 관련 정보

마. 기업의 영업에 관한 정보로서 정부조달 실적 또는 수출·수입액 등의 관련 정보

바. 개인의 주민등록 관련 정보로서 출생·사망·이민·부재에 관한 정보, 주민등록번호·성명의 변경 등에 관한 정보

사. 기업등록 관련 정보로서 설립, 휴업·폐업, 양도·양수, 분할·합병, 주식 또는 지분 변동 등에 관한 정보

아. 다른 법령에 따라 국가, 지방자치단체 또는 공공기관으로부터 받은 행정처분에 관한 정보 중에서 금융거래 등 상거래와 관련된 정보

자. 그 밖에 신용정보주체의 신용등급, 신용조회회사의 신용정보 제공기록 또는 신용정보주체의 신용회복 등에 관한 사항으로서 금융위원회가 정하여 고시하는 정보

2) 다른 법률에 따른 의무를 이행하기 위한 기록

3) 금융위원회가 정하는 전자금융거래기록

파기하지 않아도 되는 위 3가지 전자금융거래기록을 제외환 기록을 예로 든다면 아래와 같을거 같다. 상당히 제한적일거 같다.

- HTS 에서 보안 솔루션 해지 기록 

- 서버에 보관된 개인별 관심종목 기록

5. 위탁한 정보보호업무의 재위탁 금지

금융회사의 정보보호업무를 위탁받은 전자금융보조업자(ex : 안랩, 인포섹 등)는 그 정보보호업무를 다시 제3의 업체에 재위탁해서는 안 된다.

금융위원회가 인정하는 경우는 제3의 업체에 위탁해도 된다고 하는데 그 인정 기준은 모르겠다. 

6. 과징금

(1항) 금융회사가 정보보호업무를 소홀히 하여 전자금융거래를 유출, 목적 외 사용한 경우에는 50억 이하의 과징금을 부과한다.

(2항) 금융회사가 6개월 이내의 업무정지를 당한 경우 5천만원 이하의 과징금으로 업무정지를 갈음할 수 있다.

제43조 2항 업무정지 사례(보안 관련 사례만)

- 접근매체(공인인증서, 보안카드, OTP 등) 발급 시 고객 본인 확인을 안한 경우

- 전자금융거래 안정성 의무를 소홀히 한 경우

- 침해사고 발생 시 피해확산 방지 노력을 안한 경우

과태료, 과징금, 벌금

1) 과태료

- 행정법상 의무 위반에 대한 제재로서 부과, 징수되는 금전

- 법 위반자에게 아무런 경제적 이득이 없어도 부과하는 금전

2) 과징금

- 위반 사업자를 의무위반을 이유로 사업정지처분을 내릴 때에 그로 인해 현저하게 공익이 침해될 우려가 있을 때 부과하게 되므로

   사업을 계속하게 하되 그 이익을 박탈하기 위한 목적인 금전

- 이득환수를 목적이므로 과태료보다 훨씬 큰 금액이 부과 

3) 벌금

- 형법에 의한 금전을 박탈하는 것

7. 과태료

5천만원 이하 과태료 부과 범위가 많이 늘어났다.(보안관련 항목만 정리)

1) 전자금융거래 안전성 확보 의무를 소홀히 한 경우

2) 전자금융기반시설의 취약점을 분석·평가하지 아니한 경우

3) 전자금융기반시설의 취약점 분석·평가 결과에 따른 필요한 보완조치의 이행계획을 수립·시행을 아니한 경우

4) 정보보호업무를 제3자에게 재위탁한 경우

(주)시소아이티의 이상 금융거래 아키텍처 자료

logcenter0515.pdf

1. 룰 탐지 시나리오

1) 거래 사전 행위 탐지에 의하 시나리오

2) 금융 거래 패턴 데이터 탐지에 의한 시나리오

- IP를 통해 국적을 구분해서 물리적으로 제한된 시간내에 이동 가능한 거리인지 판단하는 것에 대한 유효성은 있다.

- 직전 거래한 IP 지역과 현재 거래한 IP 지역간의 이동시간에 대한 데이터가 중요할 듯 보인다.

- 평상시의 거래 금액, 거래 횟수, 거래 빈도를 통해 이상금융거래 판단은 오탐이 있지만 어느 정도 유효성은 있다.

참고문헌 및 사이트

- 알기쉬운 정보보호개론 2탄 - 흥미로운 암호 기술의 세계(히로시 유키 지음)

- http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=20884

- http://hacksum.net/?p=2070

- http://thehackernews.com/2014/04/heartbleed-bug-explained-10-most.html?m=1

- http://apollo89.com/wordpress/?p=5907

- http://teamcrak.tistory.com/375

- http://www.theregister.co.uk/2014/04/10/many_clientside_vulns_in_heartbleed_says_sans/

- http://www.ricardomartins.cc/2014/04/09/bleeding-hearts-and-sharp-bits/

1. 인터넷 통신 방식

1) 암호화 미적용방식의 인터넷 통신

엘리스가 보낸 카드번호는 암호화가 되어 있지 않아 이브에게 모두 도청당할 수 있다.

2) SSL/TLS 방식의 인터넷 통신

- 통신 내용을 암호화해주는 주는 프로토콜로서 SSL(Secure Socket Layer), TLS(Transport Layer Security)

   를 이용한다.

- SSL/TLS 상에 HTTP를 올리는 것이다.(프로토콜의 이중 구조)

- 이것에 의해 HTTP의 통신(요청과 응답)은 암호화되어 도청을 방지할 수 있다.

- SSL/TLS 로 통신을 수행할 때의 URL은 http://가 아니고 https://로 시작된다.

2. SSL/TLS의 역할

1) 인터넷 통신에서 보장해야할 것들

① (기밀성) 앨리스가 송신하는 신용카드 번호와 주소를 "도청" 당하는 일 없이 밥 서점에 보내고 싶다.

② (무결성) 앨리스가 송신하는 신용카드 번호와 주소를 "조작" 당하는 일 없이 밥 서점에 보내고 싶다.

③ (인증) 통신 상대의 웹 서버가 "진짜 밥 서점" 이라는 것을 확인하고 싶다.

2) 보장해야할 보안요소의 관련 기술

① 기밀성

- "대칭 암호" 방식을 이용

- 대칭 암호 키를 통신 상대에게 배송하기 위해 "공개 키 암호" 방식의 키 교환을 사용한다.

② 무결성

- 조작을 검출하고 데이터 인증을 수행하기 위해 "메시지 인증 코드(MAC)"를 사용

- 메시지 인증 코드는 "일방향 해시 함수"를 사용해서 구성한다.

③ 인증

- 상대를 인증하기 위해 공개 키에 "디지탈 서명"을 붙인 인증서를 사용한다.

3. SSL/TLS 적용 범위

- HTTP

- 메일을 전송하기 위하 SMTP(Simple Mail Transfer Protocol)

- 메일을 수신하기 위한 POP3(Post Office Protocol)

4. SSL과 TLS의 차이

1) SSL

- 1994년 Netscape 사에 의해 만들어진 프로토콜

- 많은 웹 브라우저에 사용되어 사실상 업계의 표준

2) TLS

- IETF가 만든 프로토콜

5. SSL/TLS 핸드쉐이크 프로토콜의 절차

6. HeartBleed 취약점 개요

- OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 

   데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 

   탈취할 수 있는 취약점

   하트비트 : 클라이언트와 서버 간의 연결 상태 체크를 위한 OpenSSL 확장 모듈

7. HeartBleed 취약점 작동 방식

8. HeartBleed 취약점 동영상 설명

9. HeartBleed 취약점을 이용한 공격방법 설명

1)

2)

10. HeartBleed 취약점 소스 이해

1) HeartBeat 전문 구조

- 공격자는 헤더에서 HeartBeat 길이 2 byte 를 조작해서 서버측 메모리의 65535 바이트(65k?) 정보를 가져올

   수 있다.

2) 취약한 소스의 구조

① 첫번째 빨간 박스

- 수신된 ssl 구조체를 포인터 p에 담는다

- ssl 구조체 

② 두번째 빨간 박스

- 레코드 타입과 페이로드 길이를 변수에 담는다

- hbtype 변수에 TLS1_HB_REQUEST 저장

- payload 변수에 p 에서 TLS1_HB_REQUEST 이후 다음 번지의 2 바이트 값을 저장한다.

- 보통은 여기에 heartbeat 할 값을 넣는데 heartbleed 취약점은 여기에 빈값을 넣어 정해진 메모리의

   바깥 영역의 데이터를 가져가려고 한다.

③ 네번째 빨간 박스

- bp 변수 처음에 응답 메시지 타입을 저장하고 bp는 다음 포인터로 이동

- s2n 함수에 의해 bp 변수에 payload 2 바이트 길이를 저장하고 bp는 2바이트 이후 포인트로 이동

- 위에서 pl = p 이므로 pl 은 서버측 메모리값. 거기서 payload 에 올라온 사이즈만큼 복사해서

   bp 에 넣는다. 헤더상 2 바이트이므로 2^16 = 65535만큼의 길이를 셋팅할 수 있고, 

   memcpy 에서는 바이트 만큼 복사할 수 있다.

-> 그런데 왜 64KByte 가져갈 수 있지? 포인터 때문인가? ㅜㅜ 

-> 추가 체크!

[reference doc/site] 

- http://sbpaek.tistory.com/entry/Pumpkin-TCPDUMP-%EC%82%AC%EC%9A%A9%EB%B2%95

47.TCPdump사용법.pdf

1. TCPdump 명령어 옵션 확인

1) -n 스위치

- tcpdump 가 IP 주소를 도메인명으로 포트번호를 서비스 명으로 변환하지 않도록 함

2) -i <interface name> 스위치

- tcpdump 가 어떤 네트워크 인터페이스에서 네트워크 트레이스를 수집할 것인가를 명시함

- 일반적으로 리눅스에서는 이더넷 드라이버로 eth0 을 사용함

3) -s <snaplen> 스위치

- tcpdump 가 수집하는 패킷의 길이를 표시

- VLAN 을 사용하지 않는 이더넷의 경우 1,515로 지정하면 모든 패킷을 수집할 수 있음

- 최신 버전의 tcpdump 는 '0' 이 패킷 길이로 지정된 경우 패킷 전체를 수집하라는 것으로 인식

- 이 옵션을 주지 않으면 ip, port 만 나오고 전체 패킷이 안 나온다.

2. ARP 정보 추출

3. ICMP 정보 추출

4. MAC + ICMP 정보 추출

5. IP 대역별 정보 추출

6. 소스 및 목적지 대역별 정보 추출

7. Syn 과 Syn-ack 정보 추출

8. Reset/Push/Fin 정보 추출

9. UDP 정보 추출

10. VRRP 패킷 정보 추출

11. Multicast 정보 추출

12. Broadcast 정보 추출

[reference doc/site] 

- http://sweet-memories.tistory.com/3

- http://ccnpsecurity.blogspot.kr/2011/12/tcp-header-format.html

- http://blog.naver.com/ssamba?Redirect=Log&logNo=125712071

- http://packetcrafter.wordpress.com/2011/02/13/tcp-flags-hackers-playground/

1. TCP 프로토콜 구조

- telnet 은 요즘은 리눅스에서도 사용되지 않고 ssh 로 대체됨

- 꼭 봐야할 프로토콜 : IP, ICMP, TCP, UDP

2. TCP 프로토콜 역할과 특징

1) 역할

- 데이터를 전송 전 양 종단 간의 연결 설정

- 연결 설정 후 가상회선 생성

- 데이터그램 연결이 설정된 것을 알리고 연결종료를 통해서 연결을 종료

- 패킷이 아닌 전체 메시지를 기다림

- 오류 검출 기능과 손상된 프레임의 재전송을 보장

2) 특징

- 높은 신뢰성

- 가상회선 연결 방식 : 전화선과 비슷한 개념

- 연결의 설정과 해제

- 데이터 체크섬 : 요즘은 장비들이 각각 기능에 따라 패킷을 건드려서(소스 IP 변경 등) 잘 사용안됨

- 시간 초과와 재전송

- 데이터 흐름 제어

3. TCP Segment Format

- TCP 세그먼트의 전문 구조 (20byte)

- TCP 세그먼트를 2바이트 단위로 쪼갠 구조

- 출발지, 목적지 포트 번호 : 호스트에 있는 응용 프로그램의 포트 번호

- 순서번호 : 전달되는 각 바이트에 대한 시퀸스 넘버로 1씩 증가

- 확인번호 : 수신측에서 수신하고자 하는 바이트의 번호

- 헤더길이 : TCP 헤더의 길이

- 예약 : 아직 사용하지 않는 필드로 값은 0

4. TCP Flag

1) URG (Urgent)

-  Urgent point 유효여부, Urgent pointer 란 전송하는 데이터 중 긴급히 전달해야 할 내용이 있을 

    경우에 사용

2) ACK (Acknowledgement)

- 받는 사람이 보낸 사람 시퀸스 번호에 TCP 계층에서 길이 또는 데이터 양을 더한 것과 같은 ACK

   를 보냄

3) PSH (Push)

- 대화형 트랙피에서 사용되는 것으로 버퍼가 채워지기를 기다리지 않고 데이터를 전달

4) RST (Reset)

- 재설정을 하는 과정이며 양방향에서 동시에 일어나는 중단 작업. 비 정상적인 세션 연결 끊기에

   해당

5) FIN (Finish)

- 세션을 종료시키는 데에 사용되며 보낸 사람이 더 이상 보낸 데이터가 없음을 보여줌

6) SYN (Synchronization)

- 세션을 설정하는 데에 사용되며 초기에 시퀸스 번호를 보내고, 시퀸스 번호는 임의적으로

   생성하여 보냄

- 와이어 샤크에서 TCP Flags

[reference doc/site] 

- http://www.9lessons.info/2008/12/sql-injection.html

- http://www.w3resource.com/php/function-reference/addslashes.php

- http://docs.moodle.org/dev/Slashes

- http://kyumboy.tistory.com/40

1) 정의

- 폼 기반 사용자 인증을 하는 어플리케이션에서 사용자 인증을 위한 쿼리가 참이 되도록 하여 인증을 우회

   하는 SQL Injection 취약점중의 하나

2) 특징

- where 절 이하가 항상 참이 되도록 입력 폼에서 쿼리 조작을 한다.

- 입력한 id 에 의한 개별 사용자 인증이 아닌 Table 에서 반환되는 첫 번째 레코드가 있으면 사용자 인증이 

   되는 것으로 권한을 획득

3) 예

- Java

- Login Source

- 실제 작동되는 쿼리

- PHP

- Login Source

- 실제 작동되는 쿼리

4) 조치

① addslashes(), stripslashes()

- java, php 소스는 post 로 넘어온 값에 addSlashes() 함수를 붙여 작은 따옴표, 큰 따옴표 문자열 

   앞에 백 슬래시를 추가시켜 저장한다.

- DB 에 저장된 값을 꺼내 비교할 때는 stripslashes() 함수로 백슬래시를 제거해서 비교한다

- 예

② 매개변수 활용

- 쿼리문내에서 ? 등의 매개변수를 사용해서 입력 변수를 매칭시킨다.

③ 입력 문자열 길이 제한

- ID, 비밀번호 자리에 맞게끔 입렵박스 length 를 제한하면 명령어 삽입이 어렵다.