데이터와 인공지능 훑어보기

Blockchain 작동 원리 디지털 자산 추적 블록체인은 distributed ledger(분산된 원장) 기술을 활용하여 지점 A에서 지점 B까지 가치 값 또는 디지털 자산의 이동을 추적한다. 블록체인 기술은 네트워크 상의 모든 노드에 대한 합의를 요구한다. 이것은 트랜잭션이 네트워크에 널리 반포되었을 때, 네트워크가 이러한 트랜잭션들을 인증해줘야만 한다는 것을 의미한다. Public Blockchain (퍼블릭 블록체인) 네트워크 상의 모든 참가자에게 신뢰와 권한을 나눠준다. 비트코인 (Bitcoin) 디지털 통화의 소유권을 추적하는데 사용 https://bitcoin.org/en/ 이더리움 (Ethereum) 개발자들이 분산 애플리케이션을 개발하고 사용하는 것을 가능하도록 하는 개방형 소프트웨어 플..

Blockchain Terms (블록체인 용어) Asset (자산) 가치를 창출하기 위해 소유하거나 통제할 수 있는 모든 물리적 또는 디지털의 모든것. 집, 음악, 특허 또는 현금이 그 예이다. Bitcoin (비트코인) 암호화 기술을 사용하여 통화(비트코인)의 생성을 규제하고 자금 이체를 확인하는 디지털 통화의 형태로, 모두 중앙 은행과 독립적으로 운영된다. Blockchain (블록 체인) 피어 투 피어 네트워크(peer-to-peer network)에서 발생하는 체인 트랜잭션 및 교환에 데이터 블록을 기록하는 분산 원장 기술 구현 Business network (비즈니스 네트워크) 경제 거래에 참여한 그룹. 구성원은 각 구성원이 소유하고 다른 구성원과 항상 동기화되는 원장을 통해 가치 항목을 교환하..

Blockchain (블록체인) Understand the Blockchain in two minutes https://youtu.be/r43LhSUUGTQ 블록체인은 분산 및 분권화 되는 개인용 컴퓨터 네트워크에 대한 정보를 저장한다. 이는 누구든 네트워크를 이용하거나 손상시키는 것을 어렵게 만든다. 차단 체인은 암호를 사용하여 레코드를 변경할 수 없는지 확인한다. 더보기 투표 할 때 투표 용지가 실제로 개표되는지 궁금해 본 적이 있습니까? 만약 당신이 온라인에서 누군가를 만난다면 그들이 누구인지 어떻게 알 수 있습니까? 공정 거래라고 표시된 커피를 구입할 때 그 기원을 어떻게 확신하게 됩니까? 당신이 필요로 하는 어떤 질문들에 대해서 정말로 확신하기 위해서는 기록이 저장되고, 사실들을 누구나 검증할수..

Platform https://m.blog.naver.com/knix008/221034069747 소프트웨어 개발에서 응용 프로그램이 동작하는 환경을 제공하는 것 플랫폼은 일의 주체적인 입장이 아니라 호출을 받아 일을 처리하는 곳이며, 처리된 결과는 다시 원하는 응용 프로그램으로 전달된다. 운영체제(OS)는 하드웨어 자원의 관리를 맡고 있는 소프트웨어일 뿐이며, 확장된 기능과 데이터의 해석 등은 어플리케이션이 담당한다. 프레임워크는 그 자체가 완벽히 동작할 수 있는 응용 프로그램이다. 따로 사용자가 작성한 코드가 없더라도 동작하는데 문제가 없다. 프레임워크가 동작하기 위한 환경은 운영체제나 플랫폼 등에서 제공받아야 하지만, 사용자가 코딩을 할 필요는 없다. 프레임워크 자체가 기본적(Default)으로 실..

보안 요구사항 분석(Analyzing Security Requirements) 위험 분석을 통해 공격자가 보안 요구사항을 위반할 수 있는 사례를 정의한다. 오용 사례 정의, 위협 모델링 등 보안 요구사항 정의 시 누락된 보안 요구사항을 발견하고 보완한다. “the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal.You don't have to exploit the vulnerabilities you find, but if you don't see the world that way, you'll never n..

보안 요구사항(Security Requirements) 중요한 시스템 데이터의 기밀성, 무결성, 가용성을 보호하는 방법을 명세하는 것을 말한다. 명세(Specification) 수집된 요구사항을 정해진 규칙과 구조에 따라 문서화 하는 과정이다. 의도한 대상 고객이 이해하고 평가하고 사용할 수 있도록 수집된 사용자 니즈를 실제 요구사항 문서와 적절한 다이어그램으로 변환하기 요구사항은 명확하고 검증 가능하도록 명세해야 하고, 작성된 요구사항은 추적성을 가져야 한다. 최종 산출물 : SRS(Software Requirements Specification) 사용자, 개발자, 테스터 및 모든 이해관계자들에게 공통의 목표를 제시한다. 소프트웨어 시스템이 반드시 제공해야 하는 기능과 능력, 특징 고려해야 하는 제약조..

SSL (Secure Socker Layer) / TLS (Transport Layer Security) [Security] SSL [Security] SSL SSL 개념 Secure Socket Layer Netscape 사에서 웹 서버와 브라우저 사이의 보안을 위해 개발한 것 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트 인증하는데 사용 전송된 모든 데이터 yumdata.tistory.com TLS 프로토콜은 SSL프로토콜에서 발전 TLS는 다양한 종류의 통신 보안을 제공하도록 설계된 암호화 프로토콜이며, HTTPS는 TLS 위에 HTTP 프로토콜을 얹어 보안된 HTTP 통신을 하는 프로토콜. 두 당사자가 기밀성과 데이터 무결성이 보장된 상태로 서로 식별, ..

공개 키 인증서(PKC, Public Key Certificate) 인증서 소유자의 이름/소속/메일 주소 등의 개인 정보 인증서 소유자의 공개 키, 인증서의 유효기간 인증기관(CA; Certification Authority)의 개인 키로 서명한 전자 서명 값 인증 기관을 통해 공개키가 정당한 소유자의 공개키라는 인증 가능 인증서 사용 시나리오 예시 1) 밥이 키 쌍을 작성한다 2) 밥은 인증기관 트렌트에 자신의 공개 키를 등록한다 3) 인증기관 트렌트는 밥의 공개 키에 자신의 개인 키로 디지털 서명을 해서 인증서를 작성한다 4) 앨리스는 인증기관 트렌트의 디지털 서명이 되어 있는 밥의 공개 키(인증서)를 입수한다 5) 앨리스는 인증기관 트렌트의 공개 키를 사용해서 디지털 서명을 검증하고, 밥의 공개 키..

전자 서명 (Digital Signatures) 전송되는 메시지의 무결성 검증 가능 개인키를 사용하여 암호화(서명값 작성)하고, 공개키를 사용하여 복호화(서명값 검증)함 -> 서명자를 누구든지 공개키로 검증할 수 있음 -> 인증 가능 송신자만 개인키를 사용하여 서명값을 작성할 수 있으므로, 메시지를 작성한 사람이 개인키의 소유자임을 확신할 수 있음. -> 부인방지 효과를 가짐 한계점 서명 검증 시 사용하는 송신자의 공개키에 대한 인증이 필요 서명 알고리즘을 통해 송신자는 메시지에 송신자 개인키를 이용해 서명한다. 수신자는 그 메시지와 서명을 받고 송신자의 공개키를 이용해 검증한다. References http://blog.skby.net/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85-..

메시지 인증코드 (MAC, Message Authentication Code) 데이터가 변조되었는지 검증할 수 있도록 데이터에 덧붙이는 코드 통신하는 양쪽에 공유되어 있는 비밀키를 사용, 비밀키를 알지 못하면 MAC값을 계산할 수 없음 송신자만 가지고 있는 비밀키를 사용 -> 송신자에 대한 인증 가능 송신자와 수신자만 계산하고 검증할 수 있음 -> 전송되는 메시지의 위/변조 여부 파악 가능 -> 무결성 검증 SSL/TLS 암호화 통신 프로토콜에서 무결성 검증을 위해 MAC을 사용 한계점 비밀키를 사용하므로 키분배 문제 존재 (대칭키 암호 알고리즘과 동일) MAC의 유효성 여부를 증명하려면 공유된 비밀키를 제3자에게 공개해야 함 전자 서명과 달리 부인 방지 효과는 없음. 수신자도 동일한 MAC을 계산할 수..

부인 방지 (Non-Repudiation) 상대방이 자신의 행위를 부인하지 못하도록 조치하는 것 위반 또는 잘못된 행동의 상황( 또는 잘못된 상황이 발생하지 않음)이 파악될 수 있도록 충분한 정보 보유가 요구됨 적용 기술 예 : 로그/audit , 전자 서명 등 로그 파일에 저장되는 이러한 정보는 변조 및 비인가 접근으로부터 보호되어야 함 예: 인터넷 뱅킹을 통해 예금을 인출한 후 인출한 사실에 대해 부인 할 경우를 막는 것 모든 계정 관련 작업이 로컬에 기록되고, 별도의 사이트에 미러링

인증(Authentication) 리소스(e.g. 정보, 시스템)에 접근하는 사람/응용 프로그램의 신원을 확인함으로써 해당 주체의 자격을 검증하는 방법. 인증된 사용자 또는 프로세스만이 보호된 리소스에 액세스할 수 있도록 허용하는 것. 정보의 기밀성과 무결성 보호에 기여 예: 사용자 인증, 인증서 기반 인증(PKI, Public Key Infrastructure) 등 사용자 ID와 비밀번호를 입력하여 시스템에 로그인 시, 시스템은 사용자가 입력한 비밀번호 검사하여 사용자를 인증 모바일앱에서 클라우드 서버로 사진을 전송할 때, 모바일앱은 클라우드 서버가 정당한 서버인지 인증 후 사진 전송(스푸핑(신분위장) 공격방어) 권한 부여(Authorization) 리소스/기능에 대한 접근 권한 및 정책을 부여함으로써..

암호화(Cryptography) 암호화: 암호화키와 암호 알고리즘을 사용하여, 평문(Plaintext)을 암호문(Ciphertext)으로 바꾸는 과정 암호화된 메시지는 이해할 수 없음 -> 기밀성이 유지 복호화: 복호화키와 복호화 알고리즘을 사용하여, 암호문(Ciphertext)을 평문(Plaintext)으로 바꾸는 과정 안전한 암호화 알고리즘 키를 모르면 암호문으로부터 평문을 계산하기 어려워야 함 안전한 암호화 알고리즘의 종류, 운영모드, 키 길이 선택 암호화키 길이에 보안 강도는 비례 보안강도: 암호 알고리즘/암호키의 취약성을 찾아내는데 소요되는 작업량을 수치화한 것 112비트의 보안강도? 2112번의 계산을 해야 암호알고리즘/암호키의 취약성을 알아낼 수 있음 암호화키 길이가 길수록 무차별 대입 공격..

스니핑(Sniffing) sniff: 코를 킁킁거리다. 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 훔쳐보는 행위 기밀성(confidetiality)을 해치기 위한 공격 스누핑(Snoofing) snoop: 기웃거리다, 염탐하다. 네트워크 상에 떠도는 중요 정보를 몰래 획득하는 행위 기밀성(confidetiality)을 해치지 위한 공격 스푸핑(Spoofing) spoof: 속이다, 사기치다 네트워크 상에서 거짓된 패킷을 발송하는 행위 무결성(Integrity)을 해치는 행위

보안(Security) 위협에 대한 보호조치를 수립 및 유지하기 위해 만족시켜야 하는 조건 보호조치는 위험 관리 접근법(Risk Management Approach) 기반의 일부로써 제지, 회피, 예방, 탐지, 복구, 수정 등을 포함할 수 있다. 사이버 보안(Cybersecurity) 사이버 영역(또는 사이버 공간)에서 보안과 관련된 모든 것을 포함 사이버 영역은 컴퓨터, 전자 통신 시스템 및 서비스, 유선 통신, 정보 등을 포함 Security Characteristics (보안 특성) 기밀성(Confidentiality) 기밀성이란, 권한(authorization)이 없는 엑세스 또는 공개로부터 정보를 보호하는 것을 말한다. 기밀성을 보장한다는 것은, 정보 접근 권한이 있는 사람은 정보에 접근할 수 ..