4차산업혁명시대 글로벌 ICT 정보보안 전문인력 양성
학과소식학과뉴스

학과뉴스


과학기술정보통신부 케이쉴드 주니어 프로그램 참가 소감문 /강*윤

조회 915

2021-07-01 11:24

과학기술정보통신부 케이쉴드 주니어 프로그램 참가 소감문
안녕하십니까? 케이쉴드 주니어 보안사고 분석 대응 6기 수료생 강*윤입니다.
케이쉴드란 과학기술정보통신부가 주최하고 한국인터넷진흥원이 주관하는 K-Shield Jr. 교육은 향후 정보보호 분야 취업 시 현장실무를 즉각 수행할 수 있는 사이버 보안 전문 주니어 인력 양성을 목표로 하는 프로그램입니다.
전국 각지에 있는 새로운 사람들과 팀을 만들고 PM과 PL의 역할을 부여한 뒤 프로젝트를 진행합니다
<그림 1 제작한 악성 파일 – 고양이 사진을 실행하면 세션이 연결된다>
프로젝트 설명
저희 팀의 주제를 간단하게 말씀드리면 침해사고 교육 자료 제공 프로젝트입니다. 침해사고를 학습하기 위해 많은 초심자와 연구생들은 침해사고 이미지를 활용하여 학습하고자 하지만 실제 침해사고 이미지는 기업의 보안과 직결된 민감한 문제이기 때문에 공유되지 않습니다. 이를 해소하고자 하는 침해사고 이미지 제공과 CTF 문제를 통한 지침을 제공하고자 한 프로젝트입니다. 침해사고 이미지는 전체 망을 합산하면 500기가 정도의 파일이며 장비별로 침해사고 분석 및 디지털 포렌식을 진행할 수 있습니다.

공격의 최종 목표는 기업에서 사용되는 망과 유사하게 망을 구축한뒤( DMZ, 사내망, 관리자망 )다양한 방법을 활용하여 해당 망을 침투 후 데이터베이스의 정보를 탈취하는 것입니다.
공격 과정을 간단하게 말씀드리면 다양한 방법을 활용하여 은닉된 파일들이 백신과 UAC를 우회하여 최초 내부망에 침투합니다. 그 후 Lateral movement 과정을 통해 점차 많은 PC를 감염시키며 터널링을 활용하여 외부에서는 침투할 수 없는 관리자 망에 침투합니다.
해당 과정에서 Petya , WanaCrypt0r 랜섬웨어를 일괄적으로 실행함으로써 이를 협상카드로 활용합니다.
이러한 랜섬웨어를 활용한 공격은 최근 이슈화 되고 있는 사례와 상당히 유사합니다. 초심자와 연구자들은 제공되는 침해사고 이미지를 활용하여 최초 감염이 어떤 파일에서 시작되었으며 파일에 대한 동적 정적 분석 및 디지털 포렌식을 실행합니다. 파일 중에는 이미지 파일을 실행하였지만 세션이 탈취 되거나 , 정상적인 카카오톡 설치 파일을 실행하였지만 설치 파일 실행과 동시에 세션 탈취가 이루어지는 등 악의적인 행위를 연구해 볼 수 있습니다.
<그림 2 제작한 악성 파일 – 카카오톡 설치파일을 변조하여 실행시 세션이 연결된다>

프로젝트와는 별도로 각 분야 전문가들의 강좌를 들을 수 있습니다.
200시간의 강의 및 LMS에 접속하여 배운 내용을 실습하면서 학습할 수 있는 환경이 조성되어 있습니다. 수료 이후 많은 협약 기업을 대상으로 취업이 이루어집니다 교육 내용 중 가장 인상 깊었던 내용으론 구성된 전체 망(DMZ, UTM, 내부망 등등)에서 공격자의 행위에 따라 각 장비에서 일어나는 변화를 통합 로그로 볼 수 있으며 규칙 변경을 통해 공격을 차단하는 실습을 해볼 수 있었던 점이 가장 기억에 남는 것 같습니다. 이번 7기부터는 새로운 방법으로 팀을 구성하고 진행한다고 하니 관심 있으신 분들은 신청하는 것도 좋을 것 같습니다