[모의해킹] 풋프린트(footprint)와 스캔(scan) 기법에 대해!

안녕하세요? 허니입니다. 요즘은 정보기관 및 기업의 전산망에 조직적으로 침투, 혼란을 유발하는 사이버 해킹의 위험성에 대해 전 세계적으로 우려의 목소리가 커지고 있다고 합니다. 최근 들어 적발된 사이버 침투 사례를 분석한 결과 그 유형이 체계적일 뿐만 아니라 광범위해져 특정 기업이나 국가 정보기관에 대한 본격적인 공격일 가능성이 높다고 판단되어지고 있습니다. 실질적으로 정보기관의 전산망에 조직적으로 침투하는 사이버 안보 침해 사례가 생기면서 사실상 사이버 전쟁을 치르고 있다고 생각하시면 되세요. 일단, 해킹의 가장 기본적인 해킹인 Footprint와 SCAN에 대해 말해 볼까 하는데 이 기법은 책이나 인터넷에 더 많은 정보들이 있습니다.

 

저는 간단히 소개 정도로만 하겠습니다. 더 궁금하신 내용이 있으시면 댓글 남겨주세요.

 

 * FOOTPRINT

Footprint란 단어는 ‘발자국’이라는 뜻으로 사이버 해킹에서는 ‘해킹 시도 전에 원하는 대상의 관련 정보를 수집하는 작업’이라는 뜻으로 사용하고 있습니다.  침투 시도 대상의 관련 정보를 수집하는 사전 작업으로 보안상 취약점, 도메인 이름(Domain Name), 네트워크 블록(Network Blocks), 인터넷을 통해 접속 가능한 시스템의 특정 IP 주소, 침입탐지 시스템 설치 여부, 사용자 목록, 시스템의 하드웨어 사양, 사용 중인 네트워크 프로토콜, 접속제어 메커니즘과 관련 접속 제어 리스트 등 알아볼 수 있습니다.

 

 

풋프린트는 기술적인 해킹에 의한 방법이 아닌, 개인적인 인간관계나 업무적 관계 등을 이용하는 등 사회 공학적 기법입니다. 예를 들면 회사에서는 웹 사이트의 관리자 계정과 사원들의 계정을 어깨너머 훔쳐보듯 알아보는 방법과 Facebook, 트위터 등 친구 관계를 설정하고 게시물을 구독하며 해킹 대상이 남긴 글(예: “컴퓨터 방화벽이 고장 났다!”)을 로그에 남기는 방법이 있습니다. 풋프린트은 고전적이면서도 컴퓨터 해킹에 꼭 필요한 단계입니다. 적을 알아야 백전백승한다는 말이 있습니다. 해킹의 세계에도 조그만 한 것들이 전부 필요한 정보입니다

. 

 * SCAN

스캔은 서비스를 제공하는 서버의 작동여부와 제공하는 있는 서비스를 확인하기 위한 과정으로 TCP 기반의 프로토콜의 경우는 기본적으로 질의(Request)를 보내면 응답(Respones)을 보내고, 기본적인 메커니즘을 기반으로 하는 것으로 열러있는 포트, 운영체제의 버전, 취약점 등 다양한 정보를 얻어내는 데에 유용하다고 합니다.

 

ICMP의 유틸리티 Ping을 이용한 스캔

 

ICMP(Internet Control Messaging Protocol)의 유틸리티 핑(Ping)을 이용한 스캔(SCAN)은 네트워크와 시스템이 정상적으로 작동하는지 확인하고 기본적으로는 TCP/IP 네트워크에서 사용합니다. 리눅스에서도 똑같은 방법으로 가능합니다.

UDP 스캔

 

TCP 스캔

TCP와 UDP를 이용한 스캔은 시스템 자체 활성화 여부가 아닌 포트(Port) 스캔을 하는 것으로 TCP 프로토콜은 기본적으로 3 Way-Handshaking을 이용한 스캔이고, UDP 는 포트가 닫혀 있는 경우 ICMP Unreachable 패킷(packet)을 보내지만, 열려 있을 경우 아무런 응답이 없습니다.

 - 3 way-handshaking: 특정 네트워크에서 두개의 컴퓨터가 TCP 프로토콜을 사용하여 통신을 하려면 3방향 핸드쉐이크를 해야하며 이 과정은 전화통화랑 매우 비슷합니다. 전화통화를 위해 수화기를 들고 전화를 걸면 받는 사람은 누가 전화하지 못하고 응답을 하게 되고 전화를 건 사람은 자기 소개를 하게 됩니다. 그 다음 전화 받은 사람은 전화를 건 사람을 알 수 있고 이로써 3 way-handshaking이 완료 되었습니다.

 - ICMP: 인터넷 환경에서 오류에 관한 처리를 지원하는 용도로 사용되며, IP 패킷의 데이터 부분에 캡슐화되어 송신 호스트에게 전달하고 TCP/IP 기반의 통신망에서 전송 과정에 문제가 발생하면 라우터에 의해 ICMP 메시지가 자동으로 발생하여 패킷 송신 호스트에게 전달합니다.

  

스텔스(Stealth) 스캔

 

스텔스(Stealth) 스캔은 세션을 완전히 성립치 않고 공격대상 시스템의 포트 활성화 여부를 알아내기 때문에 로그 정보가 남지 않습니다. 따라서 어떤 IP를 가진 공격자가 자신의 시스템을 스캔하였는지 알 수가 없습니다. 대표적인 스텔스 스캔은 TCP Half Open 스캔이 있습니다. 이 스캔은 SYN 스캔이라고 부르는 상식으로 완전한 세션을 성립하지 않고 SYN 패킷만을 이용해 열린 포트를 확인하는 스캔 방식입니다.

  

풋프린트(Footprint)와 스캔(SCAN)에 대해 알아보았는데^^

제 글을 악의적인 의도로 이용 후 받는 불이익은 절대 책임지지 않습니다. 또한 제가 잘못된 정보를 글에 남겼다면 알려주시면 너무 감사합니다.