시스템 공격

공격 계열 한눈에 보기 쌩기초

정보보호 시험의 "공격 유형" 문제를 풀 때는 먼저 어느 계열인가부터 판별합니다. 크게 7개 계열로 구분합니다.

시스템 공격이란? 쌩기초

시스템 공격(System Attack) 또는 호스트 공격(Host Attack) 은 공격자가 표적 호스트에 접근 권한을 얻은 뒤, 운영체제·파일시스템·프로세스 수준에서 수행하는 공격을 말합니다. 주된 목적은 다음과 같습니다.

• 권한 상승: 일반 사용자 → 관리자(root/Administrator)
• 지속성 확보: 재부팅·패치 후에도 접근 유지 (백도어·루트킷)
• 정보 탈취: 키 입력·저장 자격증명 수집 (키로거)
• 흔적 은폐: 로그 삭제·프로세스 은폐

다음 섹션부터는 정보처리기사 실기에 자주 등장하는 시스템 공격을 하나씩 살펴봅니다.

레이스 컨디션 기초

레이스 컨디션(Race Condition) 은 둘 이상의 프로세스·스레드가 공유 자원에 동시에 접근할 때, 접근 순서(타이밍)에 따라 결과가 달라지는 상황을 악용하는 공격입니다. 정상 프로그램이 자원을 검사(check) 한 시점과 사용(use) 하는 시점 사이의 짧은 시간 틈(race window) 을 공격자가 비집고 들어가 자원을 바꿔치기 합니다.

이 공격 패턴을 TOCTOU(Time-Of-Check to Time-Of-Use) 레이스 컨디션 이라고 부릅니다.

TOCTOU 공격의 전형적 흐름

1. 정상 프로그램이 /tmp/work 파일의 존재·소유자를 검사 (check)
2. 검사 결과 "안전"으로 판단, 파일을 열어 쓰기 준비
3. 이 순간 공격자가 끼어들어 /tmp/work를 삭제하고 같은 이름의 심볼릭 링크를 /etc/passwd로 생성
4. 정상 프로그램이 원래 열려던 /tmp/work에 쓰기 실행 (use) → 실제로는 /etc/passwd에 쓰기 발생

프로그램이 root 권한(setuid¹)을 가지고 있다면, 이 한 번의 틈으로 공격자는 시스템 파일을 임의로 변조할 수 있습니다.

심볼릭 링크 기초

심볼릭 링크(Symbolic Link, Soft Link) 는 다른 파일·디렉터리의 경로를 가리키는 작은 파일입니다. 원본 경로가 삭제되면 링크는 깨지지만(dangling), 다른 파일시스템·다른 디렉터리로 자유롭게 가리킬 수 있다는 유연함 덕분에 공격자가 TOCTOU 공격에서 즐겨 사용합니다.

레이스 컨디션 공격에서 공격자는 임시 파일이 있는 자리에 공격 대상 파일 경로(예: /etc/passwd)를 가리키는 심볼릭 링크를 생성해, 프로그램이 의도치 않은 파일에 접근하도록 유도합니다.

링크 4종 비교표 쌩기초

정보처리기사 실기에서 "심볼릭 링크"의 오답 보기로 자주 등장하는 4종을 구분합니다.

권한 상승 기초

권한 상승(Privilege Escalation) 은 낮은 권한을 가진 사용자·프로세스가 더 높은 권한을 얻는 공격입니다. 레이스 컨디션·버퍼 오버플로·커널 취약점 등이 수단이 됩니다.

대표 수단:

• setuid 프로그램 악용: root 권한으로 실행되는 setuid 프로그램에서 취약점을 찾아 root 쉘 획득
• 커널 취약점: 커널의 메모리 관리·시스템 콜 버그를 이용해 커널 모드 진입
• SUDO 설정 오류: sudoers 파일에서 특정 명령을 비밀번호 없이 실행할 수 있게 허용된 경우
• 미패치 취약점: 공개된 권한 상승 익스플로잇을 그대로 사용

대응책: 최소권한 원칙, 커널·애플리케이션 최신 패치, SUDO 설정 정기 점검, setuid 비트가 붙은 프로그램 목록 감사.

백도어 기초

백도어(Backdoor) 는 "뒷문"이라는 뜻 그대로, 정상 인증을 우회해 시스템에 접근할 수 있도록 공격자가 심어 둔 은밀한 통로입니다.

• 원리: 시스템에 비밀 계정·비밀 포트·트리거 명령을 심어, 공격자만 아는 방법으로 바로 관리자 쉘로 진입
• 형태:
  • 하드코딩된 마스터 비밀번호: 정상 인증 로직 외에, 개발자만 아는 별도 암호로도 통과되도록 소스에 심어 둔 경우 (예: Juniper ScreenOS 백도어 사건²)
  • 리버스 셸(Reverse Shell): 일반적인 셸은 공격자가 피해자에게 접속하지만, 리버스 셸은 피해자 쪽에 심어진 코드가 공격자 서버로 먼저 접속합니다. 회사 방화벽은 보통 "외부→내부" 들어오는 연결은 차단해도 "내부→외부" 나가는 연결은 허용하므로, 방향을 뒤집어 방화벽을 통과합니다.
  • 커널 백도어: 운영체제의 핵심 코드인 커널 자체에 침투한 백도어입니다. ps·netstat·ls 같은 사용자 도구는 정보를 얻을 때 결국 커널에 물어보는데, 그 커널이 이미 거짓말을 하도록 변조돼 있어 어떤 보안 도구로도 백도어 존재를 탐지하기 매우 어렵습니다.
• 대응: 정기적인 무결성 검사(Tripwire·AIDE³), 코드 리뷰, 네트워크 이상 트래픽 탐지

루트킷 기초

루트킷(Rootkit) 은 공격자가 root 권한을 지속적으로 유지하면서 자신의 존재를 감추기 위한 도구 묶음입니다. 이름이 "root + kit"인 이유입니다.

루트킷은 어느 계층에서 동작하느냐에 따라 유저 모드와 커널 모드로 나뉩니다. CPU는 권한 수준을 가장 깊은 Ring 0(커널)부터 가장 얕은 Ring 3(사용자)까지 단계로 구분하는데⁴, 더 깊은 Ring에서 움직일수록 위·아래 모두를 속일 수 있어 탐지가 어렵습니다.

유저 모드 루트킷 기초

커널 모드 루트킷 기초

• 공통 특징: 일단 심어지면 정상 도구로는 존재를 확인하기 어려움
• 공통 대응: 부트타임 무결성 검사, Secure Boot⁷, 커널 서명 검증(서명되지 않은 모듈의 적재 차단), 오프라인 포렌식(디스크를 분리해 깨끗한 시스템에서 분석). 의심될 때는 완전 포맷 후 재설치가 가장 확실

루트킷은 악성 코드의 한 분류이기도 합니다. 바이러스·웜·트로이 목마와 함께 악성 코드 페이지에서 함께 다룹니다.

키로거 기초

키로거(Keylogger) 는 사용자의 키보드 입력을 몰래 기록하는 악성 프로그램 또는 하드웨어입니다. 입력된 비밀번호·카드번호·개인 메시지가 모두 노출됩니다.

대응책: 가상 키보드(온라인 뱅킹 등), 2단계 인증(OTP)으로 비밀번호 유출 시에도 접속 차단, 수상한 USB 장치 점검.

공통 대응책 심화

시스템 공격에 공통으로 적용되는 방어 원칙입니다.

• 최소권한 원칙(Principle of Least Privilege): 프로그램·사용자에게 꼭 필요한 최소 권한만 부여
• 메모리 보호 기법: DEP(Data Execution Prevention), ASLR(Address Space Layout Randomization), Stack Canary — 버퍼 오버플로·권한 상승 익스플로잇의 성공 확률 감소
• 무결성 모니터링: 주요 시스템 파일(/etc/passwd·/etc/shadow·/bin)의 변경 탐지 (Tripwire, AIDE)
• 로그 감시: 관리자 계정 로그인, setuid 프로그램 실행 등 이상 행위를 SIEM으로 집중 분석
• 정기 패치: 커널·애플리케이션을 항상 최신으로 유지해 공개 취약점 차단
• EDR/HIDS: 호스트 기반 침입 탐지 솔루션으로 파일·프로세스 행위 모니터링

관련 기출문제