본문 바로가기

IT 이론/정보보호70

ESM(Enterprise Security Management) 개요 - 기업에서 사용하는 다양한 보안 시스템을 관제·운영·관리함으로써 조직의 전사적인 보안 목적을 달성하고자 하는 시스템 - 각종 네트워크 보안제품의 인터페이스를 표준화하여 중앙 관리, 종합 침해대응, 통합 관제 등이 가능한 시스템 구성 ESM 서버, ESM 클라이언트, ESM 데이터 매니지먼트 주요 기능 통합 로그 관리, 이벤트 필터링, 실시간 통합 모니터링·경보·상황전파, 로그 분석 및 의사결정 지원, 긴급대응, 리포팅 2018. 2. 18.

스머프(Smurf) 공격 ICMP 프로토콜 취약점을 이용한 DoS공격 기법 - 여러 호스트가 특정 대상에게 다량의 ICMP Echo Request 를 보내게 하여 서비스거부(DoS)를 유발시키는 보안공격- 이는 공격대상인 컴퓨터를 마비할 목적으로, 그 컴퓨터의 소스 주소를 위조한 ICMP 패킷을, 목적지 주소로써 브로드캐스트 주소로하여 보내면 근처의 컴퓨터가 다량의 Echo Reply를 유발하게 되어, 해당 컴퓨터 및 네트워크가 서비스거부 상태에 들어가게됨 참고 ICMP 프로토콜을 이용한 공격 : 스머프 공격, Ping of Death 2018. 2. 18.

<개인정보 비식별 조치 가이드라인>에 대한 비판적 시각 카드 3사의 개인정보유출사고를 비롯하여 국내에서 발생한 여러 개인정보관련 사건들의 영향으로 국내의 개인정보보호 관련 법규는 전세계에서도 가장 엄격한 편이다. 하지만 빅데이터 등의 신기술 기조에 따라 이런 강한 규제가 산업 발전을 저해한다는 시각이 있으므로, 한편으로는 정보 활용을 장려하는 방향의 정책도 많이 추진중이다. 그에 대한 일환으로 여러 부처에서 합동으로 발간한 '개인정보 비식별 조치 가이드라인'이 있다. 이는 개인정보를 활용 시 비식별화(익명화)를 권장 함과 동시에 개인정보를 특정 매커니즘에 의해 적절히 비식별화할 경우 이를 개인정보로 보지 않고 자유롭게 사용할 수 있도록 하는 내용을 포함하고 있다. 개인정보 비식별화가 전세계적인 추세이므로 이 가이드라인 제정을 환영하는 입장도 있지만, 법규화가.. 2017. 9. 26.

표적공격(Targeting Attack)의 라이프 사이클 Initial Reconnaissance: The attacker conducts research on a target. The attacker identifies targets (both systems and people) and determines his attack methodology. The attacker may look for Internet-facing services or individuals to exploit. The attacker’s research may also involve the following activities:• Identifying websites that may be vulnerable to web application vulnerabilities • Analyz.. 2017. 9. 14.

Needham-Schroeder(니덤-슈로더) 프로토콜 Roger Needham과 Michael Schroeder가 1978년 대칭키와 trent(인증서버 : KDC) 개념을 사용하여 제안한 프로토콜이다. 인증기관에 대한 방식을 처음 제안하였다. 이 KDC의 개념은 현재 공개키 알고리즘인 디피-헬만이나 RSA등과 함께 신분위장공격 위험을 보완하기 위해 사용된다. SSL이나 켈베로스, 공인인증서 모두 공개키 + 인증서버를 이용한 방식이라고 할 수 있다. 2017. 7. 15.

개인정보보호 관련법 주요 사항 개인정보 유출 시 지체없이 정보 주체에게 알려야 할 내용- 유출된 시점과 그 경위- 유출된 개인정보 항목- 개인정보처리자의 대응 조치 및 피해 구제 절차- 유출로 인하여 발생할 수 있는 피해를 최소화 하기 위해 정보 주체가 할 수 있는 방법- 정보 주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당자 및 연락처 개인정보 영향 평가 대상 범위- 구축·운용 또는 변경하려는 개인 정보 파일 중 민감 정보, 고유 식별 정보 5만 명 처리- 구축·운용 또는 변경하려는 개인 정보 파일 내외적으로 50만 명 이상 연계- 구축·운용 또는 변경하려는 개인 정보 파일 중 정보 주체가 100만 명 이상 개인정보보호법상 개인정보 영향 평가 고려사항- 처리하는 개인정보의 수- 개인정보 제3자 제공 여부- 민감 정보 또.. 2017. 7. 15.

ISMS, PIMS, PIPL의 차이, 개념 정리 ISMS : 기업이 정보 보호 활동을 지속적, 체계적으로 수행하기 위해 필요한 보호 조치를 체계적으로 구축하였는지를 점검PIMS : 기업이 개인정보보호 활동을 지속적, 체계적으로 수행하기 위해 필요한 보호 조치 체계를 구축하였는지 점검PIPL : 공공 기관과 민간 기업이 일정 기준 이상의 개인정보보호 수준을 갖추면 정부가 이를 인증해 주고 외부에 공개 가능 보다 시피 PIMS와 PIPL은 매우 흡사하다. 결국 PIPL은 PIMS에 흡수통합되었다. 2017. 7. 15.

정보보호의 국제/국가 표준 지침 정리 1. OECD 정보 보호 가이드라인- 9개 요소로 이루어져 있다.- 인식, 책임, 대응, 윤리, 민주성, 위험평가, 정보보호의 설계와 이행, 정보보호 관리, 재평가 2. TCSEC- 오렌지북이라 불림- 보안등급은 크게는 A, B, C, D 4단계, 세부적으론 A1, B1, B2, B3 등 총 7단계로 나뉜다.- 4가지 요구사항 : 정책(Security Policy), 책임성(Accountability), 보증(Assurance), 문서(Documentation) - TNI, TDI, CSSI 등 시스템 분류에 따라 적용 기준이 다르다. 3. ITSEC- 미국의 TCSEC을 참고하여 유럽에서 만듬- 시스템 분류에 따라 적용 기준을 달리하지 않는다. 단일 기준으로 통일- 보안 요구사항, 보증 요구사항으로 구.. 2017. 7. 15.

통제 수행 시점에 따른 분류 예방 통제 : 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 통제 방법 탐지 통제 : 예방 통제를 우회하는 문제점을 찾아내는 통제 방법 교정 통제 : 탐지 통제를 통해 발견된 문제점을 해결하기 위한 통제로 문제의 발생 원인과 영향을 분석하고, 동일한 문제의 반복적인 발생을 최소화하기 위해 시스템을 변경한다. 잔류 위험 : 사건 발생 가능성과 손실 관점에서 위험을 허용하는 부분에 남아 있는 위험 ※정보보안기사 제4회 기출문제 2017. 7. 15.

SSL Handshake 과정 (정보보안기사 기준) (1) client_hello : 클라이언트의 SSL 버전 번호, 암호 세팅, 랜덤 데이터, 기타 정보를 서버에게 전송한다.(2) server_hello : 서버의 SSL 버전 정보, 암호 세팅, 랜덤 데이터, 기타 정보, 서버 인증서를 클라이언트에게 전송한다.(3) client_key_exchange : 클라이언트는 Premaster Secret 정보를 서버의 공개키로 암호화하여 전송한다.(4) 서버는 Premaster Secret 정보를 이용하여 Premaster Secret을 생성하고, 세션키를 생성한다.(5) finished : 서버는 생성된 세션키를 이용하여 암호 통신 수행을 클라이언트에게 알리고, SSL Handshake 프로토콜을 완료한다.(6) 클라이언트는 생성된 세션키를 이용하여 암호 통.. 2017. 7. 12.

국제공통평가기준(CC, Common Criteria) 국가마다 서로 다른 정보 보호시스템 평가기준을 연동하고 평과결과를 상호인증하기 위해 제정된 국제표준 평가기준이다. ISO에서 국제표준(IEC 15408)으로 1999년 9월 승인되었다. 평가인증 결과를 국가 간 상호인증하도록 하는 협정(CCRA, Comon Criteria Recognition Arrangement)이 미국, 영국, 프랑스등을 중심으로 시작되었다. TCSEC와 다르게 단일평가 기준으로 다양한 정보보호 제품을 평가한다. 소개 및 일반모델, 보안 기능 요구사항, 보증 요구사항 등으로 이루어지고 등급은 7개로 나뉜다. Evaluation Assurance Level EAL0등급(부적절-무등급 취급) EAL1(기능시험) ~ EAL7급(정형적 보증) 7개 2016. 10. 14.

블록 체인 기술과 비트코인의 개인키 보안 문제점 비트코인은 일종의 p2p 분산 데이터베이스를 이용한 가상 화폐이다. 정확한 비유는 아니지만 이해를 돕기 위해 토렌트를 생각해 보자. 금융 결제원의 거래 장부가 p2p를 통해 공유되는 것이다. 웹하드(중앙통제식)과 다르게 파일이 특정 위치에 있는 것이 아니라 유저들의 PC에 분산되어 있으므로 변조 시키기가 어렵다. 비트코인은 앞서 포스팅한 공개키 기반의 인증 기법을 사용 하는데 비밀번호 또한 개인이 만들고 개인이 잘 관리 해야 한다. 비트코인의 보안성은 장부의 무결성(Integrity)에 있다. 개별 사용자에 대한 보안 매커니즘은 없다. 장부에 대한 무결성이란 기존 금융에서 보자면 내통장에 찍혀 있는 10,000원 이라는 금액이 전산적인 조작에 의해서 다른 사람의 계좌로 이동하거나 갑자기 1,000원이나 .. 2016. 10. 14.

접근통제모델 ① 임의적 접근 통제(DAC, Descretionary Access Control) - 개인 기반 정책과 그룹기반 정책을 포함한다. - 객체에 접근하고자 하는 주체(또는 주체가 속한 그룹)의 접근 권한에 따라 접근 통제를 적용한다. - 특정 접근 허가를 가진 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다. - DAC의 대표적인 구현 예로 ACL(Access Control List)가 있다. - TCSEC에서는 신분-기반 접근 통제 정책으로 DAC를 분류한다. Orange Book C등급 ② 강제적 접근 통제(MAC, Mandatory Access Control) - 보안 등급, 규칙 기반, 관리 기반의 접근 통제 방식이다. - 모든 주체 및 객체에 대화에 일정하며 어느 라나의 주체나 객.. 2016. 10. 14.

정보보호 관리체계(ISMS) 인증제도 ISMS인증제도란 정보통신서비스 제공자, 정보통신서비스를 위해 물리적 시설을 제공하는 자, 민간 사업자 등 인증 대상 기관이 수립, 운영하고 있는 정보 보호 관리체계가 인증 심사기준에 적합한 지를 한국인터넷진흥원(KISA)이 객관적으로 평가하여 인증하는 제도이다. 2016년 6월 정보통신망법 개정에 따라 의무 대상이 대폭 확대되어 지금까지도 시끄럽다. 정보보호관리과정 5단계 요구사항 ① 정보보호정책 수립 및 범위 설정 ② 경영진 책임 및 조직 구성 ③ 위험관리 ④ 정보보호 대책 구현 ⑤ 사후관리 정보보호대책 13개 요구사항 1. 정보보호 정책 2. 정보보호 조직 3. 외부자 보안 4. 정보 자산 분류 5. 정보보호 교육 6. 인적 보안 7. 물리적 보안 8. 시스템 개발 보안 9. 암호 통제 10. 접근.. 2016. 10. 13.

블록 암호와 해시 암호 블록 암호와 해시 암호의 가장 큰 차이는 복호화가 가능하냐 불가능하냐 이다. 암호화 해서 전달은 하되 수신측에서도 내용을 알아야 한다면 블록 암호를 사용하고 그냥 무결성 검증 및 인증 용도로만 사용할 것이라면 해시 암호를 쓰면 된다. 블록 암호 - 사전에 공유한 비밀키를 이용하여 암호화/복호화한다. - Feistel 구조, SPN 구조, 기타 대수적 구조로 구분된다. - DES, TDES, IDEA, AES, SEED 등이 있다. SEED는 국내에서 개발되어 TTA의 인증을 받은 국내 표준이며 국제 표준화가 진행 중이다. 안정성이 높지만 속도가 느리다는 단점이 있다. 해시 암호 - 일방향성 : 출력값에 대응하는 입력 값을 찾는 것이 계산적으로 불가능하다. - 충돌 저항성 : 동일한 출력값을 갖는 입력 값.. 2016. 10. 13.

개인정보보호 관리체계 인증(PIMS) - 통합된 개인정보보호 인증제도 개인정보보호 인증제란 공공기관이나 민간기업의 개인정보 관리 체계와 개인정보 보호조치 등을 심사해 일정한 보호수준을 갖출 경우 인증해 주는 제도이다. 문제는 무척이나 유사한 두가지 인증이 두개 기관에서 따로 운영되고 있었다는 것이다. 신청 비용도 상당히 고가인데 각 주무부처에선 자기네들 인증을 받으면 혜택을 주겠다고 하고 있으니 어느 인증을 선택해서 받아야 할지 혼란이 있었다. ● 개인정보보호 인증제(PIPL, Personal Information Protection Level) ※ 행정자치부 산하의 NIA에서 시행 및 심사인증 ● 개인정보관리체계 인증(PIMS, Personal Information Management System) ※ 방송통신위원회 산하 KISA에서 시행 및 심사인중 결국 양 부처가 2.. 2016. 10. 13.

스니퍼 대응책(스니핑 탐지법) 여러 보안 책자에 그대로 있는 내용이고 인터넷에도 많은 내용이지만 기반 지식 없이 보면 이해가 잘 되지 않고 단순 암기에 지날 수 밖에 없는 간략화된 내용들이라 좀더 살을 붙여서 포스팅 하겠다. ① Ping 을 이용한 방법 대부분의 스니퍼는 일반 TCP/IP에서 동작한다. 이를 이용하여 의심이 가는 호스트에 ping 을 보내는데 존재하지 않는 MAC 주소로 위장해서 보낸다. ping은 ICMP프로토콜에서 해당 호스트까지 reachable한지를 검사하는 신호로, 정상적인 경우라면 MAC 주소가 유효하지 않으므로 응답이 오지 않는 것이 맞다. 하지만 스니핑용 호스트라면 MAC 주소와 무관하게 모든 정보를 다 수신받으므로 ICMP에서 정상적으로 reach 했다는 뜻의 Echo reply 를 보내게 된다. ② .. 2016. 10. 12.

커호프의 원칙(Kerckhoff's principle) Kerckhoff의 원리에 따라 암호 알고리즘은 비공개로 할 필요가 없다. 시험 문제의 보기에서 자주 나오는 문장이다. 언뜻 보면 당연히 틀린말 같지만 맞는 보기이다. 암호를 푸는데는 복호화 key와 복호화 알고리즘이 필요하다. 물론 둘다 보안이 철저히 유지 된다면 좋겠지만 커호프는 알고리즘은 중요하지 않다고 말한다. 매우 보안 정신이 부족한 생각 같지만 보안을 책임지는 사람이라면 그렇게 생각해야 한다고 말한다. 그만큼 복호화 key에 대한 보안이 철저해야 한다는 의미이다. 알고리즘은 언제든지 뚫릴 수 있다. 유출이 되지 않더라도 역공학을 이용해서 풀릴 수도 있다. 그런 만큼 알고리즘의 보안성만 믿고 '복호화 key? 유출되면 다른 걸로 바꾸면 되지 뭐. 우린 절대 뚫릴 수 없는 완벽한 알고리즘이 있으니.. 2016. 10. 12.

이전 1 2 3 4 다음

티스토리툴바