이번 교육은 시스템의 동작 원리를 깊이 있게 이해하고, 공격자의 관점에서 이를 어떻게 악용하는지, 그리고 방어자는 어떻게 탐지해야 하는지를 다루었습니다.
해당 교육에서 배운 내용을 간략하게 정리하고 후기글을 작성해볼까 합니다.
1. Windows 시스템 구조와 보안
윈도우의 핵심 프로세스와 인증 메커니즘을 이해하는 것이 보안의 시작입니다.
- 주요 프로세스 계층: smss.exe(세션 관리), wininit.exe(서비스 제어), lsass.exe(로컬 보안 인증) 등 핵심 프로세스의 정상적인 실행 흐름을 아는 것이 중요합니다. 악성코드는 종종 이러한 정상 프로세스 이름을 사칭하거나 내부에 코드를 삽입합니다.
- 레지스트리(Registry): 시스템 설정이 담긴 데이터베이스로, 공격자가 **지속성(Persistence)**을 유지하기 위해 Run 또는 RunOnce 키를 자주 조작합니다.
- UAC와 무결성 수준(Integrity Level): 윈도우는 권한 상승 공격을 막기 위해 UAC를 사용하며, 프로세스마다 System, High, Medium, Low 등의 무결성 수준을 부여하여 접근을 통제합니다.
2. Linux 서비스 및 관리
리눅스 환경에서의 프로세스 관리와 서비스 구조를 학습했습니다.
- 초기화 시스템: 과거의 SysVinit 방식에서 현재는 병렬 실행과 의존성 관리가 가능한 systemd가 표준으로 자리 잡았습니다.
- 모니터링 명령어: 실시간 시스템 상태를 확인하는 top, 실행 중인 프로세스 정보를 보는 ps, 네트워크 연결을 확인하는 netstat, 프로세스가 열고 있는 파일을 확인하는 lsof 등의 활용법을 익혔습니다.
- 크론(Cron) 서비스: 예약 작업을 관리하는 서비스로, 공격자가 정기적으로 악성 스크립트를 실행하기 위해 악용할 수 있어 주기적인 점검이 필수적입니다.
3. 네트워크 보안 및 보안 솔루션
네트워크 계층에 따른 보안 장비의 역할과 한계를 분석했습니다.
- 보안 솔루션 비교:
- 방화벽(Firewall): IP/Port 기반 차단 (L3~L4 계층).
- WAF(Web Application Firewall): SQL Injection 등 웹 공격 차단 (L7 계층)
- IDS/IPS: 비정상 행위 및 공격 패턴 탐지/차단 (전 계층).
- 현대적 보안 트렌드: EDR(단말 대응), XDR(통합 탐지), Zero Trust 등 경계를 넘어 지속적으로 의심하고 검증하는 구조로 진화하고 있습니다.
4. 암호학 기초 및 SSH
- 대칭키 vs 비대칭키: 속도가 빠른 대칭키 암호화(AES 등)와 키 공유 문제를 해결해주는 비대칭키 암호화(RSA 등)의 특징을 이해했습니다.
- SSH(Secure Shell): 안전한 원격 접속을 위해 버전 협상, 키 교환, 인증 과정을 거쳐 암호화된 채널을 형성하며, 현재는 보안성이 강화된 SSH-2 사용이 권장됩니다.
후기
이번 교육의 가장 큰 장점은 압도적인 실습 환경이었습니다. KISA 아카데미 사이트 내에서 각 운영체제(Windows, Ubuntu, Kali Linux)마다 개별 VM을 따로 제공해준 덕분에 복잡한 세팅 과정 없이 아주 편하게 실습에만 집중할 수 있었습니다.
또한, 자칫 지루할 수 있는 이론 내용들을 즉각적으로 실습으로 구현해보는 과정이 정말 유익했습니다. 예를 들어, 레지스트리 조작을 통한 RDP 강제 활성화나 systemd를 이용한 리버스 쉘 자동 실행 등은 이론으로만 들었을 때보다 직접 명령어를 입력하며 결과를 확인하니 보안 위협이 훨씬 더 생생하게 와닿았습니다.
보안의 기본기를 다지고 싶은 분들이나 시스템 내부 동작 원리를 실무 관점에서 배우고 싶은 분들께 적극 추천하고 싶은 교육입니다!