[07. 소프트웨어 개발 보안 구축] 다양한 보안공격

다양한 보안 공격

1. 중간자 공격 ( Man In The Middle ) : 통신을 연결하는 두사람사이에 침입하여 네트워크 통신을 조작하거나 통신 내용을 도청하는 공격 기법
2. 재전송 공격 ( Replay Attack ) : 유출된 암호나 토큰등을 재전송함으로써 승인된 사용자가 오인하게 만드는 공격 기법
3. 죽음의 핑 ( Ping Of Death ) : 규정된 크기 이상의 ICMP 패킷을 전송하여 Dos를 유발시키거나 과부하로 인한 Crashing, 리부팅 등을 유발시키는 공격방법
4. SQL 인젝션 : SQL을 주입하여 의도하지 않은 명령어를 수행하거나, 허용되지 않은 데이터에 접근하도록 조작하는것
5. XSS : 웹 페이지에 악의적인 스크립트를 포함시켜 사용자측에 서 실행되게끔 유도하는것
6. 제로데이 공격 ( Zero Day Attack ) : 특정 보안 취약점에 대한 보안 패치나 대응법이 발표되기 전에 해당 취약점을 이용하여 위협을 가하는 공격 방법이다.
7. Root Kit : 시스템 침입후 침입 사실을 숨긴 채 차후의 침입을 위해 백도어, 트로이 목마, 원격접근, 내부 사용 흔적삭제, 관리자 권한 획득 등 주로 불법적인 해킹에 사용되는 기능들을 제공하는 프로그램 모음이다.
8. 백도어 : 해커가 이용자 몰래 컴퓨터에 접속하여 악의적인 행위를 하기 위해 설치해 놓은 출입통로 역할을 하는 악성코드
9. 사전공격 ( Dictionary Attack ) : 원본 데이터에 대한 해시값을 미리 계산 하여 사전 형태로 만들어놓고 하나하나 대입해 보는 공격방법이다.
10. 세션 하이재킹 ( Session Hijacking ) : 정당한 사용자가 수행한 세션 인증을 가로채어 중요 자원에 접근하는 공격방법이다.
11. 스푸핑 ( Spoofing ) : 스니핑 등의 보안 공격을 위해 자신을 다른 주체로 속이는 행위 
12. 버포 오버플로우 : 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리 범위를 넘어선 위치에 자료를 입력하여 오작동 또는 악의적 코드를 실행할 수 있게하는 공격방법 차단 방법에는 스택 가드 (SG)와 스택 쉴드(SS) 가 있다.
13. 사회 공학 공격 ( Social Engineering Attack ) : 친분이나 심리등을 이용하는 비기술적인 방법 →  피싱, 보이스피싱, 스미싱, 파밍 등
14. LAND ATTACK : 공격자가 패킷의 출발지 주소나 포트를 임의로 변경하여 출발지와 목적지 주소를 동일하게 함으로서 공격 대상의 컴퓨터 실행 속도를 느리게 하거나 동작을 마비시켜 서비스 거부 상태에 빠지도록 하는 방법이다.
15. Watering Hole : 특정 집단이 주로 방문하는 웹 사이트를 감염시키고 피해대상이 그웹 사이트를 방문할 때까지 기다리는 웹기반 공격
16. Dark Data : 정보를 수집하고, 저장만 하고 분석에 활용하고 있지 않은 다량의 데이터로 미래에 사용할 가능성이 있다는 이유로 삭제되지 않고, 방치되어 있는 데이터 저장 공간만 차지하고 보안 위험을 초래할 수 있다.
17. 타이포스쿼팅 ( Typosquatting ) : 사이트 주소를 잘못 입력하는 실수를 이용하여 불법 사이트에 접속하여 피해를 주는 공격 방법