데이터와 인공지능 훑어보기

보안 요구사항 분석(Analyzing Security Requirements) 위험 분석을 통해 공격자가 보안 요구사항을 위반할 수 있는 사례를 정의한다. 오용 사례 정의, 위협 모델링 등 보안 요구사항 정의 시 누락된 보안 요구사항을 발견하고 보완한다. “the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal.You don't have to exploit the vulnerabilities you find, but if you don't see the world that way, you'll never n..

보안 요구사항(Security Requirements) 중요한 시스템 데이터의 기밀성, 무결성, 가용성을 보호하는 방법을 명세하는 것을 말한다. 명세(Specification) 수집된 요구사항을 정해진 규칙과 구조에 따라 문서화 하는 과정이다. 의도한 대상 고객이 이해하고 평가하고 사용할 수 있도록 수집된 사용자 니즈를 실제 요구사항 문서와 적절한 다이어그램으로 변환하기 요구사항은 명확하고 검증 가능하도록 명세해야 하고, 작성된 요구사항은 추적성을 가져야 한다. 최종 산출물 : SRS(Software Requirements Specification) 사용자, 개발자, 테스터 및 모든 이해관계자들에게 공통의 목표를 제시한다. 소프트웨어 시스템이 반드시 제공해야 하는 기능과 능력, 특징 고려해야 하는 제약조..

SSL (Secure Socker Layer) / TLS (Transport Layer Security) [Security] SSL [Security] SSL SSL 개념 Secure Socket Layer Netscape 사에서 웹 서버와 브라우저 사이의 보안을 위해 개발한 것 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트 인증하는데 사용 전송된 모든 데이터 yumdata.tistory.com TLS 프로토콜은 SSL프로토콜에서 발전 TLS는 다양한 종류의 통신 보안을 제공하도록 설계된 암호화 프로토콜이며, HTTPS는 TLS 위에 HTTP 프로토콜을 얹어 보안된 HTTP 통신을 하는 프로토콜. 두 당사자가 기밀성과 데이터 무결성이 보장된 상태로 서로 식별, ..

공개 키 인증서(PKC, Public Key Certificate) 인증서 소유자의 이름/소속/메일 주소 등의 개인 정보 인증서 소유자의 공개 키, 인증서의 유효기간 인증기관(CA; Certification Authority)의 개인 키로 서명한 전자 서명 값 인증 기관을 통해 공개키가 정당한 소유자의 공개키라는 인증 가능 인증서 사용 시나리오 예시 1) 밥이 키 쌍을 작성한다 2) 밥은 인증기관 트렌트에 자신의 공개 키를 등록한다 3) 인증기관 트렌트는 밥의 공개 키에 자신의 개인 키로 디지털 서명을 해서 인증서를 작성한다 4) 앨리스는 인증기관 트렌트의 디지털 서명이 되어 있는 밥의 공개 키(인증서)를 입수한다 5) 앨리스는 인증기관 트렌트의 공개 키를 사용해서 디지털 서명을 검증하고, 밥의 공개 키..

전자 서명 (Digital Signatures) 전송되는 메시지의 무결성 검증 가능 개인키를 사용하여 암호화(서명값 작성)하고, 공개키를 사용하여 복호화(서명값 검증)함 -> 서명자를 누구든지 공개키로 검증할 수 있음 -> 인증 가능 송신자만 개인키를 사용하여 서명값을 작성할 수 있으므로, 메시지를 작성한 사람이 개인키의 소유자임을 확신할 수 있음. -> 부인방지 효과를 가짐 한계점 서명 검증 시 사용하는 송신자의 공개키에 대한 인증이 필요 서명 알고리즘을 통해 송신자는 메시지에 송신자 개인키를 이용해 서명한다. 수신자는 그 메시지와 서명을 받고 송신자의 공개키를 이용해 검증한다. References http://blog.skby.net/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85-..

메시지 인증코드 (MAC, Message Authentication Code) 데이터가 변조되었는지 검증할 수 있도록 데이터에 덧붙이는 코드 통신하는 양쪽에 공유되어 있는 비밀키를 사용, 비밀키를 알지 못하면 MAC값을 계산할 수 없음 송신자만 가지고 있는 비밀키를 사용 -> 송신자에 대한 인증 가능 송신자와 수신자만 계산하고 검증할 수 있음 -> 전송되는 메시지의 위/변조 여부 파악 가능 -> 무결성 검증 SSL/TLS 암호화 통신 프로토콜에서 무결성 검증을 위해 MAC을 사용 한계점 비밀키를 사용하므로 키분배 문제 존재 (대칭키 암호 알고리즘과 동일) MAC의 유효성 여부를 증명하려면 공유된 비밀키를 제3자에게 공개해야 함 전자 서명과 달리 부인 방지 효과는 없음. 수신자도 동일한 MAC을 계산할 수..

부인 방지 (Non-Repudiation) 상대방이 자신의 행위를 부인하지 못하도록 조치하는 것 위반 또는 잘못된 행동의 상황( 또는 잘못된 상황이 발생하지 않음)이 파악될 수 있도록 충분한 정보 보유가 요구됨 적용 기술 예 : 로그/audit , 전자 서명 등 로그 파일에 저장되는 이러한 정보는 변조 및 비인가 접근으로부터 보호되어야 함 예: 인터넷 뱅킹을 통해 예금을 인출한 후 인출한 사실에 대해 부인 할 경우를 막는 것 모든 계정 관련 작업이 로컬에 기록되고, 별도의 사이트에 미러링

인증(Authentication) 리소스(e.g. 정보, 시스템)에 접근하는 사람/응용 프로그램의 신원을 확인함으로써 해당 주체의 자격을 검증하는 방법. 인증된 사용자 또는 프로세스만이 보호된 리소스에 액세스할 수 있도록 허용하는 것. 정보의 기밀성과 무결성 보호에 기여 예: 사용자 인증, 인증서 기반 인증(PKI, Public Key Infrastructure) 등 사용자 ID와 비밀번호를 입력하여 시스템에 로그인 시, 시스템은 사용자가 입력한 비밀번호 검사하여 사용자를 인증 모바일앱에서 클라우드 서버로 사진을 전송할 때, 모바일앱은 클라우드 서버가 정당한 서버인지 인증 후 사진 전송(스푸핑(신분위장) 공격방어) 권한 부여(Authorization) 리소스/기능에 대한 접근 권한 및 정책을 부여함으로써..

암호화(Cryptography) 암호화: 암호화키와 암호 알고리즘을 사용하여, 평문(Plaintext)을 암호문(Ciphertext)으로 바꾸는 과정 암호화된 메시지는 이해할 수 없음 -> 기밀성이 유지 복호화: 복호화키와 복호화 알고리즘을 사용하여, 암호문(Ciphertext)을 평문(Plaintext)으로 바꾸는 과정 안전한 암호화 알고리즘 키를 모르면 암호문으로부터 평문을 계산하기 어려워야 함 안전한 암호화 알고리즘의 종류, 운영모드, 키 길이 선택 암호화키 길이에 보안 강도는 비례 보안강도: 암호 알고리즘/암호키의 취약성을 찾아내는데 소요되는 작업량을 수치화한 것 112비트의 보안강도? 2112번의 계산을 해야 암호알고리즘/암호키의 취약성을 알아낼 수 있음 암호화키 길이가 길수록 무차별 대입 공격..

보안(Security) 위협에 대한 보호조치를 수립 및 유지하기 위해 만족시켜야 하는 조건 보호조치는 위험 관리 접근법(Risk Management Approach) 기반의 일부로써 제지, 회피, 예방, 탐지, 복구, 수정 등을 포함할 수 있다. 사이버 보안(Cybersecurity) 사이버 영역(또는 사이버 공간)에서 보안과 관련된 모든 것을 포함 사이버 영역은 컴퓨터, 전자 통신 시스템 및 서비스, 유선 통신, 정보 등을 포함 Security Characteristics (보안 특성) 기밀성(Confidentiality) 기밀성이란, 권한(authorization)이 없는 엑세스 또는 공개로부터 정보를 보호하는 것을 말한다. 기밀성을 보장한다는 것은, 정보 접근 권한이 있는 사람은 정보에 접근할 수 ..

UTM 에 탑재 되는 보안 모듈 Unified Threat Management 방화벽, 가상 전용 네트워크, 침입 차단 시스템, 웹 컨텐츠 필터링, 안티스팸 소프트웨어 등을 포함하는 여러 개의 보안 도구를 이용한 관리 시스템 비용 절감, 관리 능력이 향상되는 포괄적인 관리 시스템 Network Firewall 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안시스템 1세대-패킷 필터 패킷 자체만을 보고 미리 설정된 정책에 따라 허용 또는 거부를 결정하는 초창기 방화벽 특정한 IP를 허용 또는 거부하거나 특정한 포트를 허용 또는 거부하는 용도로 사용 2세대-스테이트풀 인스펙션 세션 단위의 검사를 하는 스테이트풀 검사 패킷 필터의 단점 보안 모든 패킷이 모..

SQL Injection 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법 Blind SQL injection 평범한 SQL injection과 같이 원하는 데이터를 가져올 쿼리를 삽입하는 기술 Database 메시지가 공격자에게 보이지 않을 때 사용 평범한 SQL injection은 쿼리를 삽입하여 원하는 데이터를 한번에 얻어낼 수 있는 데에 비해 Blind SQL 삽입은 참과 거짓, 쿼리가 참일때와 거짓일 때의 서버의 반응 만으로 데이터를 얻어내는 기술 방어 준비된 선언(Prepared statement): 사용자의 입력이 쿼리문(SQL 선언 템플릿)으로부터 분리되기 때문에 SQL 삽입을 효과적으로 방어..

DDoS (Distributed Denial of Service) 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격하는 방법 서비스 거부 공격 또는 디오에스/도스는 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격 공격 분류 인프라 계층 공격 계층 3과 4에 대한 공격은 일반적으로 인프라 계층 공격으로 분류 가장 일반적인 유형의 DDoS 공격이며, SYN(동기화된) 플러드 같은 벡터 그리고 UDP(User Datagram Packet) 플러드 같은 기타 반사 공격을 포함 대개 볼륨이 상당히 크고, 네트워크 또는 애플리케이션 서버 용량에 과부하가 걸리게 하는 것을 목표 이러한 공격 유형은 징후가 분명하고 감지하기가 좀 더 쉬움 애플리케..

IDS Intrusion Detection System 컴퓨터나 전산망의 비정상적인 사용이나 오남용과 같은 잠재적인 침입 시도 등을 실시간으로 탐지하기 위한 시스템 컴퓨터 시스템에서 발생하는 서비스 거부 공격 등과 같은 네트워크 공격에 대비하여 기밀성, 무결성, 가용성 등을 제공하기 위해 만들어진 시스템 네트워크 규모의 확대와 정보시스템들의 통합은 막대한 양의 시스템 로그 및 감사 자료를 발생시키기 때문에 관리자에게 정형화된 형태로 필요한 정보만 선택할 수 있는 역할을 담당 IPS Intrusion Prevention System 공격 피해를 최소화할 수 있는 능동적 보안시스템 IDS는 탐지하는 역할까지만 담당하고 탐지한 자료를 바탕으로 차단을 할 것인지 통과를 시킬 것인지는 IPS가 담당 잠재적 위협을..

WAF (Web Application Firewall) 웹 서비스 특성상 서비스 용도로 포트80(HTTP)과 포트443(HTTPS)을 열어야 한다. 그러나 방화벽, 침입탐지/침입방지시스템(IDS/IPS)과 같은 기존 네트워크 보안 솔루션은 이 포트를 통해 들어오는 웹 공격 대응에 한계를 보였다. 웹 공격 대응에 특화된 WAF의 필요성이 제기되었다. 웹 서비스 보호를 위한 보안 솔루션 중 하나 방화벽(Firewall)이 외부로부터 내부망에 대한 침입을 감지하고 차단해 정보 및 자원을 보호하는 역할을 한다면, WAF는 웹 트래픽을 감시하고, 이를 통해 해킹 등의 웹 공격 대응에 특화된 솔루션 WAF는 웹 애플리케이션에 최적화됐기 때문에 HTTP에 포함된 악의적인 요청 및 의심스러운 응답을 탐지하고 이에 대응..