애플리케이션 보안

1) TCP (Transmission Control Protocol)

정의

: 연결 지향 방식의 전송 계층 프로토콜로, 데이터의 신뢰성, 순서 보장, 오류 제어를 제공하는 네트워크 통신 프로토콜

TCP 특징

• 3-Way Handshake를 통해 연결을 수립한 후 통신 수행
  (SYN → SYN/ACK → ACK)
• 데이터 전송 시 순서 번호(Sequence Number)와 ACK를 통해 데이터 손실 여부 확인
• 재전송 기능을 통해 패킷 손실 시 자동 복구
• 흐름 제어와 혼잡 제어 기능 제공
• 대표 사용 서비스
  • HTTP / HTTPS
  • FTP
  • SMTP / POP3 / IMAP
  • SSH

보안 관점 특징

• 대부분의 외부 서비스 통신이 TCP 기반
• 공격자가 악성코드 감염 후 C&C 서버(Command & Control) 통신에 사용되는 경우 많음
• TCP 기반 공격 유형
  • TCP SYN Flood
  • Session Hijacking
  • TCP Reset 공격

2) UDP (User Datagram Protocol)

정의

: 비연결형 방식의 전송 계층 프로토콜로, 신뢰성 보장 없이 빠른 데이터 전송을 제공하는 프로토콜

UDP 특징

• 연결 과정 없이 패킷 단위로 데이터 전송
• 데이터 순서 보장 없음
• 오류 복구 및 재전송 기능 없음
• 지연이 적어 실시간 서비스에 적합

대표 사용 서비스

• DNS
• DHCP
• VoIP
• Streaming
• Online Game

보안 관점 특징

• IP Spoofing이 가능하여 공격에 악용되기 쉬움
• 대표 공격 유형
  • UDP Flood
  • Reflection / Amplification DDoS
• 공격에 악용되는 대표 서비스
  • DNS
  • NTP
  • Memcached
  • SSDP

3) DNS (Domain Name System)

정의

: 사람이 이해하기 쉬운 도메인 이름을 IP 주소로 변환하는 인터넷 핵심 인프라 시스템

• 예시

    google.com → 142.250.190.78

 

DNS 특징

계층 구조 기반 시스템

• 기본 통신 프로토콜: UDP 53
• 대용량 응답 시 TCP 53 사용
• 캐싱 기능을 통해 DNS 조회 속도 향상

보안 관점 특징

• DNS는 인터넷 인프라 핵심 서비스이므로 공격 표적이 됨
• 주요 공격 유형
  • DNS Cache Poisoning
  • DNS Spoofing
  • DNS Amplification DDoS

4) Hosts 파일

정의

: DNS 조회 이전 단계에서 도메인 이름과 IP 주소를 로컬에서 직접 매핑하는 파일

위치

- C:\Windows\System32\drivers\etc\hosts

 

특징

• DNS 서버 조회 전에 OS가 먼저 참조
• 특정 도메인을 강제로 특정 IP로 매핑 가능
• 테스트 환경에서 내부 서버 연결 시 사용
• 예시

    192.168.0.10 intranet.company.com

 

보안 위험

• 공격자가 hosts 파일을 변조할 경우

 

• 사용자는 정상 URL 접속 시에도 피싱 사이트로 접속

이를 DNS Poisoning / Pharming 공격의 한 형태로 볼 수 있음

5) 피싱 (Phishing)

정의

: 사회공학 기법을 이용해 사용자의 개인정보, 금융정보, 인증정보 등을 탈취하는 공격

특징

• 이메일, 문자(SMS), 메신저 등 다양한 채널 사용
• 공격자가 신뢰할 수 있는 기관을 사칭
• 사용자를 가짜 웹사이트로 유도

대표 사례

• 금융기관 사칭 이메일
• 배송조회 사칭 링크
• 계정 보안 경고 메일

보안 대응

• 메일 보안 시스템 도입
• 사용자 보안 교육
• URL 검사 솔루션 사용

6) 파밍 (Pharming)

정의

: DNS 정보 변조를 통해 정상 사이트 접속을 공격자가 만든 가짜 사이트로 유도하는 공격

특징

• 사용자 행동과 무관하게 공격 발생
• DNS 캐시 또는 hosts 파일 변조 기반
• 피싱보다 탐지 어려움

주요 공격 방식

• DNS Cache Poisoning
• Hosts 파일 변조
• 라우터 DNS 설정 변경
• 악성코드 감염

7) 정보보안의 3요소 (CIA Triad)

정의

: 정보보안의 핵심 목표를 설명하는 3대 원칙

구성 요소

기밀성 (Confidentiality)

정보가 인가되지 않은 사용자에게 노출되지 않도록 보호

대표 기술

• 암호화 (AES, TLS)
• 접근 통제 (Access Control)
• 인증(Authentication)

무결성 (Integrity)

데이터가 인가되지 않은 변경 없이 정확하게 유지되는 것

대표 기술

• 해시 함수 (SHA-256)
• 디지털 서명
• 로그 무결성 검증

가용성 (Availability)

서비스와 데이터가 필요할 때 정상적으로 접근 가능한 상태 유지

대표 기술

• 이중화 (Redundancy)
• Load Balancing
• Failover
• DDoS 방어

8) DDoS (Distributed Denial of Service)

정의

: 다수의 감염된 시스템(Bot)을 이용하여 대량 트래픽을 특정 서버에 집중시켜 서비스 장애를 발생시키는 공격

특징

• 공격 트래픽과 정상 트래픽 구분 어려움
• 완벽 차단이 매우 어려움
• 공격 지속 시간은 보통 수분 ~ 수시간

공격 유형

Volumetric Attack

대량 트래픽 공격

예

• UDP Flood
• DNS Amplification

Protocol Attack

네트워크 프로토콜 취약점 공격

예

• SYN Flood
• Ping of Death

Application Layer Attack

웹 서비스 공격

예

• HTTP GET Flood
• Slowloris

대응 방안

• DDoS 방어 장비
• CDN
• 디도스 대피소 (Scrubbing Center)
• Anycast 네트워크

9) RDB (Relational Database)

정의

: 테이블 기반 구조로 데이터를 저장하는 관계형 데이터베이스

특징

• SQL 기반 데이터 처리
• ACID 트랜잭션 지원
• 데이터 무결성 보장

대표 DB

• Oracle
• MySQL
• PostgreSQL
• SQL Server

---

10) NoSQL Database

정의

: 관계형 구조가 아닌 비정형 데이터 처리를 위한 데이터베이스

특징

• 수평 확장(Scale-Out) 용이
• 빅데이터 및 AI 환경에 적합
• 스키마 유연성

유형	예시
Document	MongoDB
Key-Value	Redis
Column	Cassandra
Graph	Neo4j

---

11) Redis / Memcached

정의

: 인메모리 기반 Key-Value 데이터 저장 시스템

특징

• RAM 기반 처리로 매우 빠른 속도
• 캐시 서버로 주로 사용
• 세션 관리에 활용

보안 위험

• 외부 노출 시 Reflection DDoS 공격에 악용 가능
• 인증 없이 접근 가능한 설정 사례 다수

보안 설정

• 인증 설정
• 외부 포트 차단
• 내부망 전용 운영

12) 이메일 인증 (SPF / DKIM / DMARC)

정의

: 이메일 위조(Spoofing)를 방지하기 위한 메일 인증 체계

SPF

• DNS에 발신 서버 정보를 등록
• 메일 서버가 발신 서버 IP 검증

DKIM

• 메일에 전자서명 추가
• 수신 서버에서 무결성 검증

DMARC

• SPF / DKIM 결과 기반 정책 설정
• 위조 메일 처리 정책 정의

13) APT (Advanced Persistent Threat)

정의

: 특정 조직을 목표로 장기간 지속적으로 수행되는 지능형 표적 공격

특징

• 장기간 은밀한 침투
• 내부 정보 탈취 목적
• 다단계 공격 구조

공격 단계

1. 초기 침투 (Phishing)
2. 권한 상승
3. 내부 확산
4. 데이터 탈취

14) HTTP (HyperText Transfer Protocol)

정의

: 웹 브라우저와 서버 간 웹 데이터를 전송하는 애플리케이션 계층 프로토콜

특징

Stateless

• 요청 간 상태를 저장하지 않음

Stateful 구현

HTTP 자체는 Stateless지만 다음 기술로 상태 유지

• Cookie
• Session
• Token (JWT)

15) SSL/TLS 복호화 (SSL Decryption)

정의

: HTTPS로 암호화된 트래픽을 보안 장비에서 복호화하여 내부 위협을 분석하는 기술

특징

• IPS / IDS / WAF 분석 가능
• 악성코드 다운로드 탐지
• 내부 정보 유출 탐지

운영 방식

Inline 방식

트래픽 흐름 중간에서 복호화 수행

Proxy 방식

보안 장비가 중간에서 TLS 세션 종료

---

16) TLS 보안 설정 진단 (SSL Labs)

정의

: 웹 서버의 TLS 보안 설정을 분석하여 암호화 취약점을 평가하는 방법

대표 도구

• SSL Labs
• testssl.sh
• sslyze

주요 점검 항목

• TLS 버전
• Cipher Suite
• Key Exchange
• 인증서 신뢰성
• HSTS 설정

17) 인증서 폐기 확인 (CRL vs OCSP)

CRL

정의
: 폐기된 인증서 목록을 다운로드 받아 확인하는 방식

특징

• 오프라인 방식
• 파일 크기 증가 문제

OCSP

정의
: 인증서 상태를 실시간으로 확인하는 프로토콜

특징

• 실시간 검증
• 네트워크 요청 필요

18) 암호화 기술 분류

전송 데이터 보호

• TLS
• HTTPS
• SSH

저장 데이터 보호

• AES
• ARIA
• SEED

무결성 / 비밀번호 보호

• SHA-256
• SHA-512
• bcrypt
• PBKDF2

19) 부적절한 권한

의미: llm이 원래 허용된 기능 범위를 넘어서는 작업을 수행하거나, 사용자가 접근하면 안 되는 정보나 시스템 기능에 접근하는 경우를 의미 (권한보다 높은 기능을 실행하거나 민감한 정보에 접근하는 것)

 

예시

• 챗복 목적: 게시판 글을 요약하는 용도
• 만약 사용자가 데이터베이스 조회, 이메일 조회 등 목적과 다른 명령을 주었을 때 이에 대한 결과를 출력하는 경우 권한 오남용 발생 (취약)
• 발생 원인
  • 과도한 권한 부여: llm에게 너무 많은 기능을 연결(하나의 역할 수행이 아닌 DB 조회, 메일 조회, 시스템 명령 실행 등)
  • 권한 분리 미흡: 사용자 권한과 llm 권한이 분리되지 않음
    • 사용자 권한은 일반 사용자, llm은 관리자 → 사용자 요청으로 관리자 기능 실행 가능

20) 생각해보기

-> 외부 LLM / 내부 LLM은 19번과 같은 취약점 발생 및 진단 가능?

1) Chatgpt (외부 llm)

: 제한적으로 가능할 것으로 예상

• 근거: Chatgpt 자체는 외부 시스템(DB 등)과 직접 연결되어 있지 않은 단순 llm 모델이므로 단독 환경에서는 권한 취약점이 발생하거나 진단하기가 어려움
• 하지만, Chatgpt는 백엔드 시스템이나 API와 연동된 형태로 사용될 수 있기 때문에 이러한 경우에는 권한 검증 미흡으로 인한 부적절한 권한 취약점이 발생할 수 있을 것으로 예상

2) Ollama / LM Studio (내부 llm)

: 진단 가능할 것으로 예상

• 근거: Ollama 또는 LM Studio와 같은 내부 LLM은 일반적으로 내부 시스템과 연동하여 사용되며, 데이터베이스 조회, 파일 접근 등의 기능을 수행하는 도구나 API와 연결될 수 있음
• 이에 따라 LLM이 사용자 요청을 기반으로 시스템 기능을 실행하게 되므로, 권한 검증이 적절히 이루어지지 않을 경우 사용자가 허용된 권한 범위를 초과하여 시스템 기능을 실행하거나 민감한 정보를 조회할 가능성이 존재