본문 바로가기
반응형

IT 이론/정보보호70

시도-응답 인증(Challenge-Response Authentication) 기존의 ID + PASSWORD 방식은 재전송 공격에 취약하다. 시도-응답 인증은 이런 취약점을 보완하기 위해 대칭키 기반의 소지기반 보안을 추가한 일회성 인증 방법이다. 시도-응답 인증에서 중요한 개념은 일회성 인증이다. 은행의 시크리트 카드보다 OTP가 보안성이 훨씬 좋은 것과 같은 맥락이다. 사용지가 인증을 원할 경우 서버에선 사용자에게 일회성 Challenge를 보낸다. 사용자는 이를 비밀키로 암호화하여 서버에 Response 한다. Challenge 는 일회성으로 난수로 예측할 수 없고 매번 다른 값으로 바뀌어야 한다. 이런 방식이라면 해커가 중간에 Response를 스니핑 하더라도 이를 재사용 할 수 없다. 이미 한번 쓰였던 일회용 값이기 때문이다. 이러한 인증 방법을 사용하려면 서버와 클라이.. 2016. 10. 12.
사용자 인증 방법 3가지 Type1. 지식기반 인증 주체가 알고 있는 것을 보여줌으로써 인증한다. ex) 패스워드, 비밀번호찾기 질문/답 Type2. 소유기반 인증 주체가 가지고 있는 것을 보여줌으로써 인증한다. ex) 시크리트 카드, OTP, 출입증 Type3. 존재(생체)기반 인증 주체가 그를 나타내는 것을 보여줌으로써 인증 한다. ex) 지문인식, 홍채 인증, 정맥 인증 휴대폰 인증, 공인인증서는 Type1 + Type2이다. 2016. 10. 12.
FDS(Fraud Detection System, 이상거래 탐지 시스템) 2001년 페이팔 해킹 사고 이후 페이팔에서 자체적으로 추진, 개발하였다. 한국에서는 몇몇 카드사에서 자체 도입하였고 2014년 금융감독원에서 '금융권 FDS 고도화 로드맵 1.0' 을 발표한 이후 현재 주요 금융권(제 1금융권 중심)에선 대부분 도입이 완료되었다. 주요기능 1. 수집 2. 분석, 평가 3. 대응 3. 모니터링 및 감사 프로세스 거래정보를 수집하여 분석, 평가하고 이상거래라는 의심이 들 경우 추가 인증 요구, 이상거래로 판단될 경우 거래를 차단한다. 이상거래 방금 서울에서 결제된 카드가 잠시 후 싱가포르에서 결제되었다. 가정 주부 소유의 카드가 카지노에서 결제되었다. 2016. 10. 11.
개인정보 유출사실의 통지•신고제도 개인정보보호법 제34조(개인정보 유출 통지 등) ① 개인정보 처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인해 발생할 수 있는 피해를 최소화하기 위해 정보 주체가 할 수 있는 방법등에 관한 정보 4. 개인정보 처리자의 대응조치 및 피해 구제절차 5. 정보 주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 2016. 10. 11.
PKI 기반 전자서명과 공인인증서 전자서명법에 의해 전자서명 또한 종이 문서에 서명한 것과 동일한 효력을 갖는다. 그래서 은행 영업점에 가서 전표에 서명을 하지 않고서도 송금 등의 금융업무가 가능한 것이다. 이러한 전자서명 구도에서 가장 중요한 것은 이 전자 서명이 유효한 사용자의 유효한 서명인가 여부이다. 실제로 대면해서 실명증표 확인후 서명 받는 것이 아니기 때문에 비대면 채널에선 항상 신분위장 공격의 위험이 따른다. SSL이 이용자 입장에서 업체의 무결성을 보장받는 보안이었다면 공인인증서는 반대로 업체 입장에서 이용자의 무결성을 보장받기 위한 보안이다. ​공인인증서의 정의 어떤 공개키가 누구의 소유인지 증명하는, 공인된 기관에서 발행한 인증서 ​공인인증기관 : 금융결제원, 한국정보인증, 한국증권전산, 한국전산원, 한국전자인증, 한국.. 2016. 10. 11.
XML 기반 보안 기술 ebXML : 전자상거래 데이터 교환의 전세계적 표준 구축을 위한 OASIS(사설 컨소시엄)와 CEFACT(UN산하기관)의 프로젝트 XML Signature : 영구 무결성 및 부인 방지 XML Encryption : 영구 기밀성 XKMS(XML Key Management Specification) : PKI서비스 프록시 SAML(Security Assertion Markup Language) : 인종, 승인, 속성 Assertion XACML(eXtention Access Control Markup Language) : XML 기반 접근 제어 2016. 10. 11.
IPSec IPSec은 이름에서 알 수 있듯이 보안성이 부족한 기존 IP프로토콜을 보완하기 위한 보안 기술이다. 기존 IP프로토콜에 추가적인 절차를 더해 호환성있게 적용되며 IPv4에선 보안이 필요한 경우에만 선택적으로 사용되었지만 IPv6부턴 기본 스펙에 포함된 필수 사항이다. IPSec에는 2+1가지 프로토콜이 지원된다. 프로토콜이라고 하지만 실제론 헤더의 구성 차이, 기능 차이라고 보면 된다. AH(Authentication Header) : Sequence number를 이용하여 재전송 공격을 방지한다. 무결성을 보장한다. ESP(Encapsulating Security Payload) : AH의 기능을 포함하고 추가적으로 패킷을 암호화하여 기밀성을 제공한다. 이 둘은 선택 옵션이다. 초기 연결 시에 어떤 .. 2016. 10. 11.
SSL/TLS 프로토콜 웹 브라우저와 웹 서버 간에 안전한 정보 전송을 위해 사용되는 암호화 프로토콜이다.우선 SSL과 TLS라는 이름에 대해 짚고 넘어가자. SSL(Secure Socket Layer)은 넷스케이프사에서 개발한 보안 프로토콜로, IETF에서 이를 국제 표준화 하는 과정에서 SSL이 모 기업의 상용 제품과 이름이 같다는 이유로 TLS(Transport Layer Security)로 이름을 바꾸어 버린다. SSL3.0이 나온 직후 개명되었으므로 그냥 TLS1.0을 SSL3.0이나 SSL3.01정도로 보면 된다. 말 그대로 개명이지 구조적인 변화나 기술적인 진보가 이루어 진 것은 아니므로 그냥 같은 개념으로 보면 된다. 이 글에서는 그냥 SSL로 통칭한다. SSL은 앞서 설명한 Diffie-Helman Key Ex.. 2016. 10. 11.
RSA 키 분배 알고리즘(Rivest-Shamir-Adleman method) 앞서 설명한 Diffie-Hellman과 같은 대칭키 방식을 토대로 더 강력한 알고리즘을 만들어 보겠다고 MIT의 Rivest, Shamir, Adleman 3명이 의기투합하여 만들었다. 3명의 이름을 따서 RSA법이라고 부른다. 디피-헬만법과 구분되는 점은 RSA에선 아예 암호화 키와 복호화 키가 다르다는 점이다. 큰 숫자를 소인수 분해하는 것이 어렵다는 것에 기반을 두고 디피-헬만법보다 훨씬 복잡한 공식을 사용한다. (디피-헬만법은 이산대수기반) 140자리 이상의 큰 소수의 곱과 추가적인 복잡한 연산을 통해 공개키와 개인키를 구성한다. 암호화/복호화 하는 데 있어서 대칭키보다 상대적으로 오랜 시간이 소요된다. 참고 - 가장 처음 나온 공개키기반 알고리즘 : 디피-헬만 - 디피 헬만과 같은 이산대수기반.. 2016. 10. 11.
디피-헬만 키 교환 알고리즘(Diffie-Hellman key exchange) 디피라는 사람과 헬만 이라는 사람이 공동 개발했다고 해서 디피-헬만법이다. 경우에 따라 디피-헬만 프로토콜이라고도 한다. - 비대칭키(공개키) 알고리즘에서 사용되는 키 교환 방식이다. - 상대방의 공개키와 나의 비밀키를 이용하여 비밀키를 생성한다. - A의 공개키와 B의 개인키를 DH연산하면 B의 비밀키가 되고 - B의 공개키와 A의 개인키를 DH연산하면 A의 비밀키가 된다. - 이산대수법에 의거한 수학적 공식에 의해 A의 비밀키와 B의 비밀키는 같아진다. - 송신자와 수신자는 이 비밀키를 사용하여 데이터를 암호화한 후 전달한다. 최초의 공개키 교환 알고리즘으로 IPSec, S-HTTP, SSL등 많은 프로토콜에서 기본적으로 사용하는 중요한 알고리즘이다. RSA또한 이 디피-헬만법에서 아이디어를 얻었다... 2016. 10. 11.
정보보호 시스템의 평가 기준 TCSEC과 ITSEC TCSEC : Trusted Computer Security Evalution CriteriaITSEC : Information Technology Security Evaluation Criteria TCSEC은 미국 국방부에서 1985년에 발표한 정보보호 시스템 평가 기준이다. A1부터 D까지 7등급으로 나뉜다. 표지가 오렌지 색이라 일명 오렌지북이라고 많이 불린다. ITSEC은 유럽에서 1991년에 발표한 정보보호 시스템 평가 기준으로, TCSEC이 기밀성만을 중심으로 평가 한다면 ITSEC은 거기에다 무결성과 가용성이라는 기준을 추가한 성격이다. 기밀성 : 데이터가 노출되지 않음무결성 : 데이터가 변질되지 않음가용성 : 이용이 편하고 활용도가 높음 즉, 노출되지만 않는 것에 집중을 할 경우 내용이 .. 2015. 10. 15.
CC인증이란? 한 나라에서 평가 받은 제품을 다른 나라에서 사용/판매하기 위해선 그 나라의 기준에 따라 재평가받고 수정되어야 하는 문제가 있다. 이러한 소모를 줄이기 위해 탄생한 국제 공통 기준이 CC이다. 현재 ISO 국제 표준으로 제정되었으며, 크게 3가지의 부분으로 구정되어 있다. 1. 일반적인 소개와 일반 모델2. 보안 기능 요구사항3. 보증 요구사항 국내에서는 최근 인증기관이 국정원에서 미래창조과학부로 이관되었으며 국내용 CC와 국제용 CC 두 가지로 나뉜다. 하지만 인증 절차의 비용과 시간에 따른 제약으로 대부분의 업체에서 국내용 CC인증만 받고 있어 이를 일원화 해야 한다는 주장이 있다. 또한 국가기관에 납품하는 제품은 CC인증과 더불어 국정원의 소스검사까지 한번 더 받도록 되어 있어 외산제품에 대한 지나.. 2015. 10. 15.
정보보호 정책의 유형과 조건 정책의 유형1. 상향식 정책(Bottom Up) 정책 - 기존의 운영 정책들을 종합하여 기업 차원의 정책을 정한다. - 정책간의 불일치와 모순이 발생할 여지가 있다. 2. 하향식 정책(Top Down) 정책 - 기업 차원의 정책을 정하고 하위 수준의 정책들을 도출한다. - 전사적으로 일관성을 유지할 수 있다. 정책의 조건 - 간결하고 명확하여야 한다. - 정보 보호에 대한 목표와 방침이 포함되어 있어야 한다. - 정책의 내용을 쉽게 이해할 수 있도록 표현하여야 한다. - 정보 이용자들에게 정책에 대한 충분한 설명과 교육이 동반되어야 한다. 2015. 10. 15.
[해킹기법] 메모리(Memory) 해킹 메모리 해킹은 쉽게 말 그대로 메모리에 잠깐 저장되는 정보를 변조하여 오동작을 유도하거나 데이터를 탈취하는 기법이다. 데이터 탈취 : 보안카드 정보탈취, 메모리상의 데이터(공인인증서 등) 탈취데이터 변조 : 보안 프로그램 무력화, 이제 정보 변경 실제로 금융권에서 입금계좌와 금액을 조작당한 피해 사례가 여러 건 있다. 지인에게 10만원을 송금 하였는데 결과는 엉뚱하게 전혀 모르는 사람에게 100만원이 송금 되어 버리는 식이다. 이런 메모리 해킹은 클라이언트단에서 발생하는 문제로 주로 멀웨어에 의한 감염을 통해 조작이 이루어 진다. 따라서 사용하는 컴퓨터만 보안이 잘 되어 있다면 당할 일이 없는 기법이란 것이다. 하지만 많은 사람들이 그렇게 보안에 철저하지 않으므로 은행에서도 메모리 저장 내용 암호화 하는.. 2014. 10. 24.
[해킹기법] 워터링홀(Watering Hall) 기법 신종 해킹기법중 하나로, 상당히 지능적인 절차로 이루어져 있다. 우선 해킹 대상을 선정한다. 공공기관 직원, 대기업 직원 등. 그런 후에는 그 특정 직원들의 생활 패턴을 파악해야 한다. 자주 접속하는 사이트, 자주 방문하는 장소 등을 파악한다. 자주 방문하는 카페나 지역에 무료 WAP를 설치하여 정보를 빼가기도 하고 광고 메세지를 통해 쿠키 절도를 시도하기도 한다. 그렇게 자주 방문하는 웹 사이트 여러 곳이 파악 될 경우 그 중 가장 보안이 취약한 사이트를 찾는다. 예를 들면 공공기관 직원들이 자주 방문하는 사회단체의 웹 사이트가 보안에 취약하다면 그 웹 사이트를 해킹하여 악성 코드를 감염시키는 것이다. 이렇게 하면 공공기관의 여러 직원들을 감염시킬 수 있고 그 직원들이 공공기관의 망에서 작업을 할 경우.. 2014. 10. 24.
[해킹기법] RLO(Right to Left Override) 유니코드를 이용한 확장자 변조 이 기법은 exe실행 파일을 다른 확장자인것 처럼 보이게 하여 사용자로 하여금 실행하게 만드는 해킹 기법이다. UNICODE는 전세계의 다양한 언어를 표현할 수 있도록 하고 있다. 대부분의 나라에선 좌측에서 우측으로(Left to Right) 글자를 쓰지만 몇몇 나라에서는 반대로 우측에서 좌측(Right to Left)으로 글자를 쓴다. 유니코드에선 이런 나라의 표현 방식까지도 사용할 수 있게 해 준다. 따라서 HEX단위로 파일을 조작 할 경우 파일 명의 일부는 Right to Left로 작정 되도록 할 수 있다. 그럼 이를 어떻게 해킹에 활용하는 것일까? invocpwh.exe 라는 파일이 있다. 누가 봐도 명백한 실행 파일이다. 그런데 이 파일의 마지막 7글자 pwh.exe에 RLO를 적용하면 inv.. 2014. 10. 24.
반응형