데이터와 인공지능 훑어보기

보안 요구사항 분석(Analyzing Security Requirements) 위험 분석을 통해 공격자가 보안 요구사항을 위반할 수 있는 사례를 정의한다. 오용 사례 정의, 위협 모델링 등 보안 요구사항 정의 시 누락된 보안 요구사항을 발견하고 보완한다. “the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal.You don't have to exploit the vulnerabilities you find, but if you don't see the world that way, you'll never n..

보안 요구사항(Security Requirements) 중요한 시스템 데이터의 기밀성, 무결성, 가용성을 보호하는 방법을 명세하는 것을 말한다. 명세(Specification) 수집된 요구사항을 정해진 규칙과 구조에 따라 문서화 하는 과정이다. 의도한 대상 고객이 이해하고 평가하고 사용할 수 있도록 수집된 사용자 니즈를 실제 요구사항 문서와 적절한 다이어그램으로 변환하기 요구사항은 명확하고 검증 가능하도록 명세해야 하고, 작성된 요구사항은 추적성을 가져야 한다. 최종 산출물 : SRS(Software Requirements Specification) 사용자, 개발자, 테스터 및 모든 이해관계자들에게 공통의 목표를 제시한다. 소프트웨어 시스템이 반드시 제공해야 하는 기능과 능력, 특징 고려해야 하는 제약조..

SSL (Secure Socker Layer) / TLS (Transport Layer Security) [Security] SSL [Security] SSL SSL 개념 Secure Socket Layer Netscape 사에서 웹 서버와 브라우저 사이의 보안을 위해 개발한 것 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트 인증하는데 사용 전송된 모든 데이터 yumdata.tistory.com TLS 프로토콜은 SSL프로토콜에서 발전 TLS는 다양한 종류의 통신 보안을 제공하도록 설계된 암호화 프로토콜이며, HTTPS는 TLS 위에 HTTP 프로토콜을 얹어 보안된 HTTP 통신을 하는 프로토콜. 두 당사자가 기밀성과 데이터 무결성이 보장된 상태로 서로 식별, ..

공개 키 인증서(PKC, Public Key Certificate) 인증서 소유자의 이름/소속/메일 주소 등의 개인 정보 인증서 소유자의 공개 키, 인증서의 유효기간 인증기관(CA; Certification Authority)의 개인 키로 서명한 전자 서명 값 인증 기관을 통해 공개키가 정당한 소유자의 공개키라는 인증 가능 인증서 사용 시나리오 예시 1) 밥이 키 쌍을 작성한다 2) 밥은 인증기관 트렌트에 자신의 공개 키를 등록한다 3) 인증기관 트렌트는 밥의 공개 키에 자신의 개인 키로 디지털 서명을 해서 인증서를 작성한다 4) 앨리스는 인증기관 트렌트의 디지털 서명이 되어 있는 밥의 공개 키(인증서)를 입수한다 5) 앨리스는 인증기관 트렌트의 공개 키를 사용해서 디지털 서명을 검증하고, 밥의 공개 키..

전자 서명 (Digital Signatures) 전송되는 메시지의 무결성 검증 가능 개인키를 사용하여 암호화(서명값 작성)하고, 공개키를 사용하여 복호화(서명값 검증)함 -> 서명자를 누구든지 공개키로 검증할 수 있음 -> 인증 가능 송신자만 개인키를 사용하여 서명값을 작성할 수 있으므로, 메시지를 작성한 사람이 개인키의 소유자임을 확신할 수 있음. -> 부인방지 효과를 가짐 한계점 서명 검증 시 사용하는 송신자의 공개키에 대한 인증이 필요 서명 알고리즘을 통해 송신자는 메시지에 송신자 개인키를 이용해 서명한다. 수신자는 그 메시지와 서명을 받고 송신자의 공개키를 이용해 검증한다. References http://blog.skby.net/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85-..

메시지 인증코드 (MAC, Message Authentication Code) 데이터가 변조되었는지 검증할 수 있도록 데이터에 덧붙이는 코드 통신하는 양쪽에 공유되어 있는 비밀키를 사용, 비밀키를 알지 못하면 MAC값을 계산할 수 없음 송신자만 가지고 있는 비밀키를 사용 -> 송신자에 대한 인증 가능 송신자와 수신자만 계산하고 검증할 수 있음 -> 전송되는 메시지의 위/변조 여부 파악 가능 -> 무결성 검증 SSL/TLS 암호화 통신 프로토콜에서 무결성 검증을 위해 MAC을 사용 한계점 비밀키를 사용하므로 키분배 문제 존재 (대칭키 암호 알고리즘과 동일) MAC의 유효성 여부를 증명하려면 공유된 비밀키를 제3자에게 공개해야 함 전자 서명과 달리 부인 방지 효과는 없음. 수신자도 동일한 MAC을 계산할 수..

부인 방지 (Non-Repudiation) 상대방이 자신의 행위를 부인하지 못하도록 조치하는 것 위반 또는 잘못된 행동의 상황( 또는 잘못된 상황이 발생하지 않음)이 파악될 수 있도록 충분한 정보 보유가 요구됨 적용 기술 예 : 로그/audit , 전자 서명 등 로그 파일에 저장되는 이러한 정보는 변조 및 비인가 접근으로부터 보호되어야 함 예: 인터넷 뱅킹을 통해 예금을 인출한 후 인출한 사실에 대해 부인 할 경우를 막는 것 모든 계정 관련 작업이 로컬에 기록되고, 별도의 사이트에 미러링

인증(Authentication) 리소스(e.g. 정보, 시스템)에 접근하는 사람/응용 프로그램의 신원을 확인함으로써 해당 주체의 자격을 검증하는 방법. 인증된 사용자 또는 프로세스만이 보호된 리소스에 액세스할 수 있도록 허용하는 것. 정보의 기밀성과 무결성 보호에 기여 예: 사용자 인증, 인증서 기반 인증(PKI, Public Key Infrastructure) 등 사용자 ID와 비밀번호를 입력하여 시스템에 로그인 시, 시스템은 사용자가 입력한 비밀번호 검사하여 사용자를 인증 모바일앱에서 클라우드 서버로 사진을 전송할 때, 모바일앱은 클라우드 서버가 정당한 서버인지 인증 후 사진 전송(스푸핑(신분위장) 공격방어) 권한 부여(Authorization) 리소스/기능에 대한 접근 권한 및 정책을 부여함으로써..

암호화(Cryptography) 암호화: 암호화키와 암호 알고리즘을 사용하여, 평문(Plaintext)을 암호문(Ciphertext)으로 바꾸는 과정 암호화된 메시지는 이해할 수 없음 -> 기밀성이 유지 복호화: 복호화키와 복호화 알고리즘을 사용하여, 암호문(Ciphertext)을 평문(Plaintext)으로 바꾸는 과정 안전한 암호화 알고리즘 키를 모르면 암호문으로부터 평문을 계산하기 어려워야 함 안전한 암호화 알고리즘의 종류, 운영모드, 키 길이 선택 암호화키 길이에 보안 강도는 비례 보안강도: 암호 알고리즘/암호키의 취약성을 찾아내는데 소요되는 작업량을 수치화한 것 112비트의 보안강도? 2112번의 계산을 해야 암호알고리즘/암호키의 취약성을 알아낼 수 있음 암호화키 길이가 길수록 무차별 대입 공격..

스니핑(Sniffing) sniff: 코를 킁킁거리다. 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 훔쳐보는 행위 기밀성(confidetiality)을 해치기 위한 공격 스누핑(Snoofing) snoop: 기웃거리다, 염탐하다. 네트워크 상에 떠도는 중요 정보를 몰래 획득하는 행위 기밀성(confidetiality)을 해치지 위한 공격 스푸핑(Spoofing) spoof: 속이다, 사기치다 네트워크 상에서 거짓된 패킷을 발송하는 행위 무결성(Integrity)을 해치는 행위

보안(Security) 위협에 대한 보호조치를 수립 및 유지하기 위해 만족시켜야 하는 조건 보호조치는 위험 관리 접근법(Risk Management Approach) 기반의 일부로써 제지, 회피, 예방, 탐지, 복구, 수정 등을 포함할 수 있다. 사이버 보안(Cybersecurity) 사이버 영역(또는 사이버 공간)에서 보안과 관련된 모든 것을 포함 사이버 영역은 컴퓨터, 전자 통신 시스템 및 서비스, 유선 통신, 정보 등을 포함 Security Characteristics (보안 특성) 기밀성(Confidentiality) 기밀성이란, 권한(authorization)이 없는 엑세스 또는 공개로부터 정보를 보호하는 것을 말한다. 기밀성을 보장한다는 것은, 정보 접근 권한이 있는 사람은 정보에 접근할 수 ..

다양한 사이버 보안 공격으로 인해 글로벌 사이버 보안 규제의 움직임이 활발하다. 글로벌 사이버 보안 규제를 대응하기 위해서는 제품에 대한 Reasonable Security Feature가 요구된다. Cybersecurity 규제 동향 EU Cybersecurity Act 사이버 공격에 대한 EU의 대응을 확대하고, 사이버 복원력(Cyber resillience)을 향상시키고, 유럽 단일 시장(Digital single Market)에 대한 신뢰를 높이기 위한 제안으로 시작되었다. 2019년 6월 28일부터 시행되었다. 주요 목적 ENISA(European Network Information Security Agency) 강화 ENISA: 사이버보안에 관한 전문가들로 구성된 기관으로 EU 관련 정책을 총..

UDP Flooding의 공격 대상 시스템은 많은 수의 UDP 패킷을 처리하고 ICMP 패킷을 보내느라 시스템 자원을 소비하게 되어 다른 클라이언트 요청에 대해 서비스를 못하는 상태(DoS)가 됨 대량의 UDP 패킷을 만들어 보내 상대방이 정상적인 서비스를 하지 못하도록 시스템을 공격 IP Spoofing과 함께 사용됨 특정 타겟을 목표로 하는 것이 아니라 네트워크 전체 대역폭에 대한 공격 (네트워크 bandwidth 를 소모시키는 것이 목적) 공격자가 대량의 UDP 패킷을 임의의 포트 번호로 보내면 패킷 받은 시스템은 사용하는 어플리케이션 없다는 것을 확인 후 ICMP(Internet Control Message Protocol) Destination Unreachable 패킷을 공격자가 보낸 패킷 출..

TCP vs UDP [AWS Solution Architect/IP Network] - TCP vs UDP SYN Flooding TCP 3-way-handshake 과정의 두번째 과정에 집중된다. "② Server는 SYN 패킷과 ACK 패킷을 Client에게 전달합니다. 그리고 Server는 Client의 접속을 받아들이기 위해, RAM(메모리)에 일정 공간을 확보해둡니다." Client가 ①SYN 패킷만을 계속적으로 보내고 ③ACK 패킷을 안보내게 되면, Server는 Client의 연결을 받아들이기 위해 RAM(메모리) 공간을 점점 더 많이 확보해둔 상태에서 대기합니다. 그리고 Server의 RAM이 꽉 차게 되면 더이상 연결을 받아들일 수 없게되고, Server는 서비스를 서비스를 계속할 수가 ..

SSL 개념 Secure Socket Layer Netscape 사에서 웹 서버와 브라우저 사이의 보안을 위해 개발한 것 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트 인증하는데 사용 전송된 모든 데이터가 비 공개로 유지 TLS(Transport Layer Security)라고도 함 SSL 동작 원리 TLS 단계 기본 절차 지원 가능한 알고리즘 서로 교환 키 교환, 인증 대칭키 암호로 암호화하고 메시지 인증 SSL 인증서 클라이언트와 서버간의 통신을 제3자가 보증해주는 전자화된 문서 클라이언트가 서버에 접속한 직후에 서버는 클라이언트에게 이 인증서 정보를 전달 클라이언트는 이 인증서 정보가 신뢰할 수 있는 것인지를 검증 한 후에 다음 절차를 수행 SSL 인증서는..