출제자 뒤통수치고 2회차 합격률 50 넘어봅시다. 정보보안 편

 

 

 

 

SW 개발 보안 : 소스코드에 존재하는 보안 취약점 제거, 보안 고려 설계, 구현 등 SW개발 과정에서 지켜야할 일련의 보안 활동

 

요구사항 명세 > 설계 > 구현> 테스트 > 유지보수

 

정보보안의 3가지 요소

기무가

기밀성: 인가된 사용자만 볼 수 있다.

무결성: 인가된 사용자만 수정할 수 있다.

가용성: 인가된 사용자는 언제든 정보에 접근할 수 있다.

 

DoS Denial od service

시스템의 자원을 부족하게해 서비스를 불능상태로 만드는것

SYN 플러딩, UDP 플러딩, 스머프, 죽음의 핑, 랜드어택, 티어드롭, 봉크, 보잉크

SYN 플러딩	TCP의 구조적인 문제를 이용함 서버의 동시 가용 사용자수를 점유 공격자는 확인패캣을 발송하지 않고 계속 새로운 자원 요청 3-way-handsske과정을 의도적으로 방해해 서버가 대기상태에 놓이도록 함
UDP 플러딩	대량의 UDP패킷을 만들어 임의의 포트 번호로 전송해 ICMP를 생성해 자원고갈  이 ICMP 패킷은 변조되어 공격자에게 전달되지 않고 대기함
스머프	출발지 주소를 공격 대상의 IP로 설정, 네트워크 전체에게 ICMP Echo패킷을 직접 브로드캐스팅  스머프는 푸르딩딩한게 굉장히 비열하게 생김 이 비열한 놈이 출발지IP를 공격지IP로 스리슬쩍 바꿈 엄청난 양의 응답 데이터를 한 사이트에 집중저긍로 보내 사이트 마비
죽음의 핑	ICMP패킷을 비정상적으로 크게만들어 다수의 IP단편화가 발생하게해 패킷 재조립 과정에서 죽음
랜드어택	출발지와 목적지를 같은 IP로 만듦 재귀적으로 응답을 보내게함
티어드롭	IP패킷 재조립 과정에서 프레그먼트 오프셋 정보를 잘못 써서 재조합 과정에서 눈물을 흘리게 함
봉크	패킷보낼때 순서번호를 다 똑같이 써
보잉크	패킷 시퀀스 번호를 비정상적인 상태로 만듦

 

DDoS 분산 서비스 공격 

DRDoS 공격 Distributed Reflection DoS

공격자가 출발지IP를 공격 대상껄로 위조해서 (스머프새기처럼) 다수의 반사 서버로 요청 정보를 전송 공격 대상자는 갑자기 다량의 응답을 받아서 뻗음

근원지 파악이 디도스보다 어렵고 타격이 더 큼

 

세션 하이재킹

TCP세션 취약점 이용 

 

네트워크 공격 

세션 하이재킹	인증 과정을 거친 후 서버와 클라이언트 사이의 세션 정보를 가로챔 인증정보 없이도 가로챈 세션을 이용해 클라이언트로 위장, 서버의 자원 무단 사용
ARP스푸핑	ARP가 IP->MAC 이잖, 공격자 MAC주소를 공격 대상의 것으로 위조해 데이터 가로챔
스미싱	문자를 이용해 사용자 개인 신용정보 뺴냄
사회 공학	컴 보안에 있어서 사람들간의 신뢰를 이용함 / 비기술적 시스템 침입 수단
다크 데이터	수집했으나 활용되지 않고 저장만 되어있는 데이터
타이포스쿼팅 = URL하이재킹	URL 치고 들어갈때 오타나면 걸리는거
스피어 피싱	사회공학의 한 기법으로 대상을 특정해 집요하게 낚시함
APT advanced persistent threats 지능형 지속 위협	조직적으로 특정 기업이나 조직 네트워크에 침입해 거점 마련 기다리다가 낚시함
무작위 대입 공격	암호를 찾아내기 위해 진짜 무작위로 대입함
큐싱	QR코드를 이용한 낚시
레인보우테이블공격	패스워드별로 미리 해시값을 구해놓고 비교
사전크래킹	비번이 될 가능성이 있는 단어를 파일로 만들어 대입
SQL injection	SQL을 날려 DB조작
XSS 크로스사이트스키립팅	사용자가 링크를 틀릭하면 학성 스크립트가 실행됨
스니핑	킁킁거리다 네트워크 중간에서 남의 패킷 정보를 탈취

 

정보보안 침해 공격 관련 용어

워터링 홀	목표 조직이 자주 방문하는 웹 사이트를 사전에 감염 들어오면 다 털림
좀비PC	악성 코드에 감염되어 다른 컴이나 프로그램을 조종하도록 만듦 C&C서버에 제어를 받아 주로 디도스 공격에 이용
C&C서버	해커가 원격지에서 감염된 컴에 명령을 내릴 용도로 사용되는 서버  command and control서버
봇넷	악성 코드에 감염되어 악의적 의도로 사용될 수 있는 다수의 컴들이 네트워크로 연결된 상태
웜	네트워크를 통해 자가복제
바이러스	자가복제 못함
제로데이공격	보안취약점이 알려지기 전에 그걸로 공격
키로거공격	키보드 해킹
랜섬웨어	컴의 문서를 암호화하고 돈 요구
백도어	개발자가 시스템 보안을 제거해 만들어놓은 비밀통로
트로이목마	정상적인 프로그램으로위장해 프로그램이 동작할때 활성화

 

 

 

서버인증: 다중 사용자 시스템과 망 운영 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차

인증기술: 

- 지식기반: 알고있는것 (ID, PW)

- 소지기반: 갖고있는것(공인인증서, OTP, 신분)

- 생체기반: 너를 대체하는 것(홍채, 정맥, 지문, 얼굴)

- 행위기반: 니가 하는 것: (서명, 발걸음)

 

서버 접근 통제 

비인가자로부터 객체의 기무가를 보장

MAC 강제적 접근통제	객체에 포함된 정보의 허용등급과 정보에 대해 주체가 갖는 접근 허가 권한에 근거해 접근 제한 (책임 이상 접근 가능 문서)
DAC 임의적 접근 통제	주체나 그룹의 신원에 근거해 객체에 대한 접근 제한
RBAC 역할기반 접근 통제	조직내 맡은 역할에 기반해 접근 통제 (기획부, 총무부 열람 가능 문서가 다름)

 

접근 통제 보호 모델

벨-라파둘라 모델 : 보안 요소중 기밀성(아무나 못봄)을 강조 MAC

비바모델 : 벨-라파둘라 단점 보완 무결성도 보장해줌(아무나 못씀)

 

3A

유무선 이동 및 인터넷 환경에서 가입자에 대해 안전하고 신뢰성있는 인증, 권한부여, 계정관리를 체계적으로 제공하는 정보보호 기술

인증 authentication	신분검증
권한부여 authorization	권한부여 서비스 허용
계정관리 accounting	자원 사용에대한 로그관리

 

 

인증관련 기술

SSO	커버로스에서 사용되는 기술, 한 번의 인증과정으로 다 로그인
커버로스	아테네 프로젝트의 일환으로 개발, 대칭키 암호기법에 바탕을 둔 티켓 기반의 프로토콜
OAuth	사용자가 비번을 제공하지 않고 다른 웹사이트나 어플의 접근권한 부여

 

 

보안 솔루션

방화벽	조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별해 구용,거부,수정하는 기능을 가진 침입차단 시스템 내부 네트워크 -> 외부로 나가는 패킷은 그래도 통과 들어오는 패킷은 검증 절차를 거침
침입탐지 시스템 IDS intrusion detection system	컴 시스템의 비정상 사용을 실시간으로 탐지
침입방지시스템 IPS intrusion prevention system	비정상 트래픽을 능동적으로 차단/격리
VPN	사용자가 마치 자신의 전용 회선을 사용하는 듯
NAC (network access control)	네트워크에 접소갛는 내부 PC의 MAC주소를 IP관리 시스템에 등록한 후 일관된 보안 기능을 제공하는 보안 솔루션
SIEM  security imformation and event management	다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리하는 빅데이터기반 보안솔루션

 

 

 

암호화 방식

양방향 알고리즘 종류

SEED	1999년 한국인터넷진흥원에서 개발한 블록 암호화 알고리즘 블록 크기는 128bit이며, 키 길이에 따라 128, 256으로 분류됨
ARIA Academy Research Institute, Agency	2004년 국가 정보원과 산학연협회가 개발한 블록 암호화 알고리즘
DES Data Encryption Standard	1975년 미국 NBS에서 발표한 개인키 암호화 알고리즘  블록 크기 64비트, 키 길이는 56비트 16회의 라운드 사용 DES를 3번 적용한 3DES도 있음
AES Advanced Encryption Standard	2001년 미국 표준기술 연구소에서 발표한 개인 키 암호화 알고리즘  DES에 한계를 느낀 NIST에서 공모한 후 발표
RSA rivest shamir adleman	1978년 MIT의 라이베스트 샤미르 에들먼에 의해 제안된 공개키 암호화 알고리즘 큰 숫자를 소인수분해 하기 어렵다는 것에 기반하여 만들어짐
IDEA international data encryption algorithm	스위스의 라이, 메시가 1990년에 개발한 PES를 개선한 알고리즘
스킵짹	국가 안전 보장국에서 개발한 암호화 알고리즘 클리퍼칩 이라는 IC칩이 내장되어 있음 주로 음성 통신 장치에 삽입되어 음성 데이터를 암호화함
TKIP Temporal key integrity protocol	임시 키 무결성 프로토콜 이라고도 함  무선랜 보안에 사용된 WEP을 보완하기 위해 암호 알고리즘의 입력 키 길이를 128비트로 늘리고 패킷당 키 할당, 키값 재설정 등 키 관리 방식을 개선했음

 

 

해시함수

SHA시리즈	1993년 미국 국강나보국이 설계, 미국 국립표준기술연구소에의해 발표됨
MD5 message digest algoritm 5	1991년 R.Rivest가 MD5를 대체하기 위해 도안한 암호화 해시함수
N-NASH	1989일본의 전신전산화주식회사에서 발표한 암호화 해시함수 블록 크기와 키 길이가 모두 128비트임
SNERFU	1990 R.C.Merkle가 발표한 해시함수'32비트 프로세서에서 구현을 용이하게 할 목적으로 개발됨