글 작성자: ikimonotaku

<이미지 출처 : http://whatismyipaddress.com/hacking>


#해외 해킹 공격에 대한 최소한의 방어




최근 여러 해킹사례를 보면서 많은 부분을 느끼며 글을 작성합니다.

보통 해커는 자신의 공격을 은닉하기위해 여러 방법을 사용합니다. 해커의 익명화 기법은 아래와 같습니다.


해커의 익명화 기법

1. VPN사용

2. 웹 proxy 사용

3. 토르 사용

4. 임의의 E-mail 계정 사용 (기업 도메인과 유사한)

5. 익명의 SNS 계정 사용 (계정 해킹 후)


이외 여러 기법이 있겠지요. 추가 의견 있으신분은 댓글 부탁드려요.^^


※ 토르 (Tor) 란?

분산형 네트워크 기반의 익명 인터넷 통신 시스템. 익명 인터넷 통신을 위해 오가는 데이터 소스를 추적하기 어렵게 발신자에서 수신자로 가는 도중 랜덤 서버를 통과하도록 해 트래픽을 3회에 걸쳐 전송하는 방식이다. 사생활 보호 장치로 개발된 것으로, 3개의 서버를 통과하면서 3가지 키를 사용하며, 각각의 서버는 자기 바로 앞에 오거나 뒤에 오는 서버의 ID만을 인식하게 된다. 따라서 어떤 서버도 데이터가 지나가는 전체 통로는 알지 못한다. 데이터는 각 서버당 하나씩 모두 3개의 키로 암호화된다. 일단 데이터가 한 서버에 닿으면, 그 서버는 1개의 암호층을 벗겨 내어 그 데이터를 보낸 다음 서버를 공개한다. 이어 데이터가 랜덤으로 선택된 두 번째 라우터나 서버에 도달하게 되면, 또 한 층의 암호가 제거되면서 다음 목적지가 밝혀진다.

[네이버 지식백과] 토 [tor] (IT용어사전, 한국정보통신기술협회)




해외 IP 공격에 대한 방어 대책

1. 해외 IP 로그인 차단

2. 해외 IP 로그인 시 메일링

3. 로그인 IP에 대한 조회 기능

4. 특정 IP, MAC 로그인 기능 (메일링, ARS 등을 통해 IP ,MAC인증 가능)

5. 특정 국가 IP range에 대한 차단 정책 등록

추가 : 프록시 툴 사용 방지를 위한 http request header 의 user-agent, Proxy-Connection 값 프록시 툴 특정 문자열 탐지 설정

(예: user-agent: Paros/, Proxy-Connection: Keep-Alive)


보통 VPN이나 웹프록시를 사용하게되면 해외 IP를 사용하게 됩니다. 이에따라 대규모의 포털사이트나 기업에서는 해외 IP 차단이라는 보안설정 서비스를 제공합니다. 또한 해외에서 로그인 시 사용자가 등록한 메일주소로 메일링 서비스를 해줍니다. 물론 이 방법을 우회하기 위해 한국 서버의 해킹을 통해 좀비 서버로 운영하여 프록시, VPN등 으로 활용하여 공격하기도합니다. 하지만 해당 서버는 국내에서 바로 조사가 가능하여 단기성으로 활용하여 그나마 해외 IP를 사용하는것보단 안심이 된다고 할 수 있겠죠..^^;; 이외 상단에 기재한 여러 대책이 있습니다.


웹 서비스의 규모가 점점 커지면서 사용자가 계정을 등록하여 사용할 수 있는 서비스의 규모도 증가하고 있는 추세입니다. 소규모 사업으로 출발하여 기업의 규모가 점점 커져가는 추세라면 정보보안에 대한 부분은 필수 불가결한 요소가 됩니다. 각종 해킹 사건으로 교훈으로 삼아 많은 산업군에서 정보보안(보호)에 대한 중요성을 인식하는 기회가 되었으면 좋겠네요.^^