본문 바로가기
반응형

IT 이론/정보보호70

패스워드는 복잡도 보단 길이가 더 중요하다 NIST에서 2021년에 개정하여 발표한 800-63B 표준에 잘 설명되어 있다. 여기선 사용자의 패스워드를 최소 64자까진 입력할 수 있도록 보장해야 하고 특수문자나 영어 대소문자를 섞으라는 등의 가이드는 하지 않도록 권고하고 있다. 자세한 내용은 아래 블로그에 잘 정리되어 있어러 링크한다. 올바른 패스워드 작성규칙(길이 vs 복잡도) 패스워드 길이와 복잡도에 관한 고찰(NIST 800-63B) 2021. 8. 26.
SET 프로토콜의 이중서명 쉽게 이해하기 보안을 공부하다 보면 배우게 되는 SET의 이중서명 방식. 교재에 나오는 짧은 설명만으론 이해가 쉽지 않다. SET 이라는 걸 실무에서 딱히 들어본 적도 없어, "그냥 옛날에 쓰이던 방식 같으니 공부 안해도 되겠지"라며 넘어가기도 한다. 그러나 이중서명 방식은 감히 말하던데, 필요최소한의 공개키·대칭키 암호를 가장 적절하게 잘 활용하는 전자상거래 암호학의 정수라고 말할 수 있다. SET이 사설 기업에서 만든 유료 프토토콜이라 "나 SET 이중서명 쓰고 있어요"라고 말하지 않아서 그렇지 실제로 이중서명 유사 방식은 전자 상거래에서 많이 사용된다. 당신이 보안 프로토콜을 설계하든, 취약점을 분석하든, 기술사 공부를 하든 이중서명을 제대로 이해하면 활용할 곳이 정말 많다고 자신할 수 있다. 이 프로토콜은 필요.. 2019. 12. 27.
대표적 블록 암호 알고리즘 종류 블록 암호 알고리즘은 정말 많다. 어떤 것은 취약하다 하고 어떤 것은 안전하다고 한다. 국산 암호 알고리즘이 있고 국제적으로 사용되는 알고리즘이 있다. 공부 중이라면 키, 블록 크기, 라운드 수 등 외울 것도 많다. 이런 부분들을 한번에 정리해보았다. 1세대 컴퓨터시스템에 암호가 활발하게 쓰이기 시작할 때 가장 처음 대중화되었던 알고리즘이다. DES는 미국 표준이고 IDEA는 국제 표준, SEED는 국내 표준이다. 시기상으론 DES보다 SEED가 다소 늦게 나왔지만 최초의 표준화된 알고리즘이란 점에서 1세대로 명명하였다. DES - 블록/키 길이: 64비트 - 라운드 수: 16라운드 - 구조: 페이스텔 구조 * 키 길이는 정확히는 56비트 + 8비트 패리티이다. 즉, 암호화의 강도와 연관된 키 역할은 5.. 2019. 12. 20.
ISMS-P (정보보호 및 개인정보보호관리체계 인증) 체계 ISMS-P; Personal Information & Information Security Management System정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 ISMS(정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도 근거 법령 주무부처과학기술정보통신부방송통신위원회행정안전부 근거법령 정보통신망법 제47조 정보통신망법 제47조의3 개인정보보호법 제32조의2 대상 정보보호관리체계(ISMS) 개인정보보호 관리체계(PIMS) 고시 정보보 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P) 인증 체계 정책기관정책협의회운영기관한국인터넷진흥원인증기관한국인터넷진흥원, 금융보.. 2019. 7. 4.
공개키 기반 구조와 인증기관 공개키 암호화 = 비대칭키 암호화둘은 일반적으로 같게 쓰인다. 비대칭키 암호화가 더 포괄적인 개념이지만 실질적으로 공개키 암호화 말고는 쓰이는게 없기 때문. 공개키 암호 시스템에선 1. 공개키2. 비밀키 두 가지가 존재한다. 공개키는 아무데나 뿌리고 다녀도 된다. 공개키는 암호화만 가능하지 복호화는 불가능하기 때문. 즉 계좌번호와 비슷하다. 돈을 입금할 수만 있고 돈을 빼갈 수는 없기 때문에 막 알려줘도 된다. "여기다 입금 해줘" 라고 해서 입금을 하면 계좌 주인만 쓸 수 있는 것 처럼"이걸로 암호화 해줘" 라고 해서 암호화를 하면 비밀키를 가진 사람만 원문을 볼 수 있기 때문이다. 기존의 대칭키 방식(공개키의 반대 개념으로, 일반적으로 하나의 암호키로 암호화와 복호화를 다 하는 경우)에서 고질적인 문.. 2018. 12. 20.
Syn Cookie (Syn Flooding 방어 기법) Syn FloodingSYN 패킷을 다량으로 보내고 연결을 완료하지 않음으로써 Backlog Queue를 가득차게 만들어 정상적인 연결을 못하게 만든다.자세한 내용은 Syn Flooding 문서 참조Syn Cookie클라이언트에서 연결요청이 있을 경우 SYN/ACK 패킷에 특별한 쿠키값을 담아 보낸다.ACK이 올 경우 쿠키값을 검증하여 제대로 된 값인 경우 연결을 형성한다.연결 수립에 필요한 정보들을 Cookie를 통해 보냄으로써 SYN Backlog Queue를 사용하지 않는다.고의적으로 연결을 완료하지 않아 Syn Backlog Queue를 가득 채우는 공격을 방지할 수 있다.설정법리눅스에선 아래와 같은 명령으로 설정 가능하다.# sysctl -w net.ipv4.tcp_syncookie=1 한계점큐.. 2018. 5. 20.
IPSec 총 정리 개요보안에 취약한 구조를 가진 IP의 보안을 위하여 국제 인터넷 기술 위원회(IETF)에서 설계한 표준(RFC2401)IPv4에선 보안이 필요한 경우에만 선택적으로 사용하였지만 IPv6부턴 기본 스펙에 포함됨SA(Security Association)IPSec을 사용하는 두 Peer간의 협약주요 요소Sequence Number Counter : 패킷의 일련번호 카운터Anti-Replay Window : 재전송 공격을 방어하기 위한 윈도우 값AH/ESP : 프로토콜 정보Lifetime : 세션 만료기간Mode : 동작모드(전송/터널)Path MTU : 경로의 MTU 값SP(Security Policy)일종의 패킷 필터링 정책Incoming Traffic과 Outgoing Traffic으로 구분하여 정책을 .. 2018. 5. 19.
정보보호 관리체계(ISMS) 인증제도의 대상, 기준, 심사기관 등 ISMS; Information Security Management System과학기술정보통신부와 한국인터넷진흥원에서 시행하는 보안성 인증제도. 일부 큰 규모의 업체들은 의무적으로 받도록 되어 있고 그 외의 기업들에선 본인들의 보안성을 증명하고 홍보하기 위한 용도로 받는다.필수 인증 대상정보통신망을 제공하는 자(ISP)집적정보통신시설 사업자(IDC)재판매 사업자(VIDC)는 매출액 100억원 이상만연간매출액 또는 세입이 1,500억원 이상인 상급종합병원연간매출액 또는 세입이 1,500억원 이상인 학생수 1만명 이상 학교정보통신서비스 전년도 매출액 100억원 이상인 자전년도 말 기준 직전 3개월 일평균 이용자 수 100만명 이상인 자의무대상자 미인증시 3,000만원 이하의 과태료 (정보통신망법 제 76조 .. 2018. 5. 17.
암호화 알고리즘 분류 블록 암호화 방식ECB : 간단, 고속, 위험CBC : 한 블록 내에서 에러 전파, 다른 블록에 1비트 영향CFB : 스트림 모드, 약한 에러전파OFB : 스트림 모드, CTR사용을 권장CTR : 스트림 모드, 권장됨 공개키(대칭키) 암호 알고리즘RSAElGamalECCKnapsack 비밀키 암호 알고리즘DES : 8개의 S-박스로 구성. S-BOX의 비선형 구조가 안전성과 연관됨. P-BOX는 안전성과 직접적인 연관이 없음3-DES : 2~3개의 다른 키를 이용하여 DES를 반복적용AES : DES를 이은 미국 표준IDEA : 블록암호화 스트림 암호블록암호DES : NIST 이전 표준(취약)IDEA : PGP 채택AES(Rijndael) : NIST 새로운 표준SEED : 국내 표준CRYPTONRC5R.. 2018. 3. 31.
공인인증서에 포함되어 있는 내용 공인인증서에 포함되어야 할 사항1. 가입자의 이름(법인인 경우 법인명) 2. 가입자의 전자서명검증정보 3. 가입자와 공인인증기관이 이용하는 전자서명 방식 4. 공인인증서의 일련번호 5. 공인인증서의 유효기간 6. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보 7. 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항 8. 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격등의 표시를 요청한 경우 이에 관한 사항 9. 공인인증서임을 나타내는 표시 공인인증서의 효력 소멸1. 공인인증서의 유효기간이 경과한 경우 2. 공인인증기관의 지정이 취소된 경우 3. 공인인증서의 효력이 정지된 경우 4. 공인인증서가 폐지된 경우 공인인증서의 폐지1. 가입자 또는 그 대리인이 공인인증서.. 2018. 3. 29.
재해복구 사이트(설비)의 종류 핫 사이트(Hot site) 재난 발생으로 영향을 받는 업무 기능을 즉시 복구할 수 있도록 전산세터와 동일한 모든 설비와 자원을 보유하고 이있다.웜 사이트(Warm site) 이것은 부분적으로 설비를 가지고 있는 백업 사이트로서, 대개 디스크 드라이브, 테이프 드라이브와 같이 가격이 저렴한 주변기기를 가지고 있으나, 주 컴퓨터는 가지고 있지 않다.콜드 사이트(Cold site) 재난 방생시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔 것으로서 전기, 냉방, 공간 정도만 마련되어 있으며 별다른 전산 장비는 가지고 있지 않다. 2018. 3. 28.
이메일 보안 프로토콜(S/MIME. PGP, SPF) 이메일은 기본적으로 2~3가지 프로토콜을 사용한다.SMTP : TCP 25번 포트 서버와 서버간의 통신이다.POP3 : TCP 110번 포트 서버와 클라이언트간의 통신이다. 메일서버에 있는 메일을 가져온다. 메일 서버에 있던 메일은 삭제된다.IMAP4 : TCP 143번 포트 POP3와 같은 역할이나 좀 더 진보된 프로토콜이다. 대표적인 차이는 메일 서버에 있던 메일을 삭제하지 않는다는 것이다. 보안 프로토콜추가적으로 아래와 같은 보안프로토콜을 사용한다.PEM(Privacy Enhanced Mail) - IETF에서 채택한 기밀성, 인증, 무결성, 부인방지를 지원하는 이메일 보안 기술 - 기존 전자우편 프로토콜을 이용하여 보안을 위한 정보를 추가해서 보낸다. - 많이 사용되지 않는다. PGP(Pretty.. 2018. 3. 26.
공개키 기반 구조(PKI : Public Key Infrastructure)와 인증서 공개키 기반의 암호화 알고리즘. 그 중에서도 신뢰되는 제3의 공인인증기관을 요구하는 인증체계를 가리키는 말이다. 대표적으로 공인인증서와 SSL이 있다. 둘다 서버와 클라이언트, 또는 피어 투 피어끼리 자체적으로 암호화 키를 교환하지 않는다. 공인인증기관을 두고, 인증서를 기반으로 안전한 소통을 하는 것이다. RFC 2822에선 다음과 같이 정의한다.PKI는 공개키 암호화를 기초로, 인증서를 생성·관리·저장·분배·취소 하는데 필요한 하드웨어, 소프트웨어, 사람, 정책, 절차이다. 구성요소 1. 인증기관(CA, Certification Authority) 인증서 발행기관. 아래 3계층으로 구분할 수 있다. - 정책 승인기관(PAA, Policy Approving Authority) - 정책 인증기관(PCA,.. 2018. 3. 25.
주요통신기반시설 취약점 평가/분석 기관 현황 정보통신기반 보호법 제9조에 의한다. 제9조(취약점의 분석·평가) ①관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가하여야 한다. ②관리기관의 장은 제1항의 규정에 의하여 취약점을 분석·평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석·평가하는 전담반을 구성하여야 한다. ③관리기관의 장은 제1항의 규정에 의하여 취약점을 분석·평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다. 다만, 이 경우 제2항의 규정에 의한 전담반을 구성하지 아니할 수 있다. 1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조의 규정에 의한 한국인터넷진흥원(이하 "인터넷.. 2018. 3. 25.
전자투표의 요구사항 및 투표 방식 요구사항 - 완전성(Completeness) - 비밀성(Privacy) - 재사용 불가(Unreusability) - 공정성(Fairness) - 적임성(Eligibility) - 검증성(Verifiability) - 강건성(Robustness) 전자투표 방식 1. PSEV(Poll Site E-Voting) 방식 - 특정 지역에 마련된 투표장에 나와서 전자적인 방식으로 투표 한다. - 선거인단이 직접 관리하므로 투표의 신뢰도가 높다. 2. REV(Remote Internet E-Voting) 방식 - 투표소에 가지 않고 공개된 인터넷 망에서 투표를 진행한다. - 선거 관리가 어려우며 여러가지 부정행위의 가능성 및 취약점이 있다. 3. 키오스크(Kiosk) 방식 - PSEV와 REV의 중간 정도 방식 -.. 2018. 3. 25.
커버로스(Kerberos) 인증 프로토콜이자 동시에 키분배센터(KDC)이기도 하다. 개요1. MT에서 설계했고, IETF표준이다. 유닉스와 윈도우 등에서 실제로 쓰인다.2. 대칭키 기반이다. (KDC라는 역할을 보고도 알 수 있다.) 3. 이종 네트워크를 위한 SSO사용 시 사실상의 표준처럼 이용된다. 어떤 일을 하는가?1. 동일한 계정으로 여러가지 서비스를 받을 수 있도록 해 준다. (SSO)2. 미리 공유된 비밀키를 이용하여 End-to-End암호화를 지원한다. 네트워크를 통해 패스워드가 전송되지 않도록 하는 것이다. 어떻게 동작 하는가?1. AS, TGS로 구성되어 있다.2. AS(Authentication Server)는 모든 사용자의 패스워드를 가지고 있다. 초기 로그인 시에는 AS에서 패스워드로 인증을 받는다. 3. T.. 2018. 3. 25.
IDS/IPS, UTM, ESM, SIEM 의 비교 IDS/IPS(Intrusion Detection Systems / Intrusion Prevention Systems)IDS 네트워크, 또는 호스트상의 트래픽과 로그들을 수집하여 분석하고 비정상 행위를 탐지한다. IPS는 IDS에서 좀 더 발전된 형태로 비정상 행위에 대해 실시간 대응까지 수행한다. 많은 패킷을 빠르게 분석해야 하므로 IDS보다 하드웨어적인 부하가 크다. IDS와 IPS는 기본적으로 소프트웨어지만 IPS는 소프트웨어가 내장된 일체형 장비로 나오기도 한다. UTM(Unified Threat Management)IDS/IPS, 그리고 방화벽 까지 아우르는 장비(또는 솔루션)이다. IDS나 IPS나 방화벽이나 모두 어떠한 기준을 가지고 비정상 행위에 대한 탐지 또는 대응(차단 등) 기능을 하.. 2018. 3. 25.
IDS(Intrusion Detection System) 네트워크에서 시도되는 비정상적인 접근을 탐지한다. IDS가 보안사고에 대한 근본적인 차단·해결책은 되지 못한다. 하지만 네트워크 트래픽을 분석하여 공격의 증거를 찾거나 침해여부를 판단할 수 있다. 이상행위가 발견 될 경우 즉각 대응하고 사후 대비책을 강구할 수 있다. IDS에서도 탐지후 즉시 대응 및 조치 기능이 없는 것은 아니나 팀지오류의 가능성이 있기에 대개는 대응여부는 사람이 결정하고 IDS는 근거 데이터를 제공한다. 참고로 IDS든, IPS든 물리적인 장비로 판매되는 경우가 있지만, 기본적으론 소프트웨어이다. 긍정오류와 부정오류 보수적인 입장으로 비정상의 기준을 넓게 잡으면 정상적인 행동이 비정상으로 분류되는 불상사가 있을 수 있다. 그러다 반대로 좁게 잡으면 비정상 행위가 정상으로 인식 될 가능.. 2018. 3. 24.
반응형