1. 패스워드 크래커
1-1. 사전 공격 (Dictionary Attack)
- 패스워드 사전 파일로 접속 계정을 알아내는 해킹, 일치할 때까지 비교함
- 개인정보를 알고 있다면 매우 효율적임
1-2. 무차별 공격 (Brute-force Attack)
- 성공할 때까지 모든 경우의 수를 시도하는 해킹
- 워다이얼링에도 사용됨
- 패스워드 하이브리드 공격: 사전 공격과 무차별 공격을 결합
1-3. 레인보우 테이블 공격
- 레인보우 테이블: 하나의 패스워드에서 변이 함수로 여러 패스워드를 생성한 후, 해시 체인을 무수히 형성한 테이블
- 윈도우 LM 해시 크래킹에 성공함
- 사전 공격, 무차별 대입 공격보다 훨씬 빠름
2. 사회공학 (Social Engineering)
- 신뢰할 수 있는 대상을 사칭해 민감한 정보를 탈취하는 작업
- 인간 기반 사회공학
- 종류: 훔쳐보기, 쓰레기통 뒤지기, 협박 메일, 따라 들어가기, 결탁 등
- 대응책: 보안인식 교육, 신원증명 요청, 문서세절기 이용 등
- ICT 기반 사회공학
- 대응책: URL을 확인하고 접속, 악성 SW 탐지 및 제거, DNS의 진위 인증
- 종류
| 공격 구분 | 공격 방법 | 위험성 |
| 피싱 (Phishing) |
Private + Fishing 이메일, SMS 등의 링크로 접속 유도 스피어 피싱: 신뢰할 수 있는 발신자로 가장 |
주의를 기울이면 피해 방지 가능 |
| 파밍 (Pharming) |
사이트가 운영하는 도메인을 탈취해서 Redirecting을 시도함 |
정상 도메인을 입력해도 공격 가능 |
| 스미싱 (Smishing) |
SMS + Phishing 트로이목마나 악성 SW 설치 유도 |
개인정보 탈취, 소액 결제 실행 |
3. 은닉채널 (Covert Channel)
- 개체가 허가되지 않은 방식으로 정보를 받는 방법
- 즉, 정보 흐름이 통제되지 않음
- 은닉 채널이 존재하지 않는 것을 보장하는 규칙을 만들어야 하지만, 쉽지 않음
- 대책: HIDS(호스트 기반 IDS) 탐지, 통신대역폭 제한, 시스템 자원 분석
4. 방사 (Emanation)
- 방출되는 전기적 신호를 가로채 원래 데이터를 알아내는 공격
- 대응책
- 템페스트 (TEMPEST): 차폐 물질로 방사 신호를 억제, 표준에 대한 인증 필요
- 백색 잡음 (White Noise): 무작위적인 전기 신호를 방출해 신호 방해
- 통제 구역 (Control Zone): 특정 시설의 신호가 새어나가지 않게 벽면에 물질 사용
