본문 바로가기

전체 글251

OTP(One Time Password) OTP(One Time Password) 매번 다른 난수를 생성하여 인증 시 패스워드를 대신하는 방법으로 이론적으로 가장 안전한 방법이다. 동기화 방식 사용자 OTP 생성 매체와 은행의 OTP 인증 서버 사이에 동기화된 기준값에 따라 OTP를 생성하는 방식 동기화된 기준값에 따라 시간 동기화와 이벤트 동기화로 분류된다. 시간 동기화 방식(Time Synchronous) OTP 생성 매체가 정대진 시간마다 비밀번호를 자동으로 생성하는 것으로 이것을 기준으로 하여 OTP 생성 매체와 서버가 동기화된다. 시간을 입력 값으로 동기화하기 때문에 간편하지만 정해진 시간 동안 은행에 OTP를 전송하지 못하면 새로운 OTP가 생성되기를 기다려야 한다. 이벤트 동기화 방식(Event Synchronous) OTP 생성 .. 2020. 4. 12.
IPSEC(IP Security) IPSEC(IP Security) 보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약이다. 인터넷상에 전용 회선과 같이 이용 가능한 가상 전용 회선을 구축하여 데이터 도청과 같은 공격을 방지하는 통신 규약이다. IPSEC 전송 방법 전송 모드 데이터에 대해 암호화를 수행하지만, IP 헤더에 대해서는 암호화를 수행하지 않는다. 패킷의 출발지에서 암호화를 하고 목적지에서 복호화를 하므로 종단 간 보안을 제공한다. 터널 모드 보안 IPSEC 헤더를 추가하고 IP 헤더와 데이터 모두를 암호화한다. VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSEC을 탑재한 중계 장비가 패킷 전체를 암호화하고 중계 장치의 IP 주소를 붙여 전송한다. IPSEC Header 구조 IPSEC 인.. 2020. 4. 12.
sHTTP sHTTP 웹 상의 데이터를 안전하게 교환할 수 있게 하는 HTTP의 확장 프로토콜 HTTP를 캡슐화하며 HTTP와 동일한 요청(Request)과 응답(Respone) 구조를 사용한다. sHTTP는 응용 계층에서 보안 기능을 제공하여 효율적이다. 전용 웹 브라우저와 웹 서버를 사용하여 기밀성, 무결성, 전자서명과 같은 기능을 지원한다. 웹 브라우저와 웹 서버 사이에서 암호화 방식, CA 선택 등의 기능을 제공한다. 2020. 4. 12.
SSL(Secures Socket Layer) SSL(Secures Socket Layer) 스니핑을 통해 네트워크 패킷을 확인할 수 있으니 개인정보를 전송하는 네트워크 구간은 보안서버를 사용하여 송수신되는 모든 데이터를 암호화하는 것이 안전하다. 보안 서버는 SSL, SSO 등으로 구축할 수 있으며, 인터넷에서 사용되는 방식은 SSL이다. Netscape사에서 인터넷과 같은 개방된 환경에서 Server와 Client의 안전한 통신을 위해 개발하였다. 암호문 전송을 위해 RSA 공개 키 알고리즘을 사용하고 X509인증서를 지원하며 443번 포트를 사용한다. 전송계층과 응용 계층 사이에서 동작하며 기밀성, 무결성, 인증의 세 가지 보안 서비스를 제공한다. SSL 구성 프로토콜 Change Cipher Spec Protocol Handshake 프로토콜.. 2020. 4. 11.
SET(Secure Electronic Transaction) SET(Secure Electronic Transaction) 인터넷에서 신용카드의 사용 촉진을 위해 VISA와 MASTER CARD사에서 공동으로 개발한 프로토콜 전자상거래 인증의 상호 작용을 보장하며 SSL에 비해 상대적으로 느리다. 전자 서명과 인증서를 통한 안전한 거래가 가능하다. 신용카드의 지급 결제 처리 절차에 한해 정의, 시스템 구축 및 인증 절차가 복잡하다. 기밀성, 무결성, 인증, 부인 봉쇄를 지원한다. 대칭키, 공개키, 전자서명, 해시, 전자 봉투, 공개키 인증, 이중 서명을 사용한다. SET 구성요소 SET 이중서명(Dual Signature) 이중 서명을 사용하는 이유 사용자는 판매자에게 지불 정보(계좌 정보)를 숨기고 싶다. 사용자는 PG에게 주문정보를 숨기고 싶다. PG는 판매자.. 2020. 4. 11.
데이터베이스 보안 데이터베이스 보안 데이터베이스에 인가되지 않은 접근, 의도적인 데이터의 변경이나 파괴, 데이터의 일관성을 저해하는 사고 등으로부터 보호하는 것이다. 데이터베이스 보안 위협 요소 집합성(Aggregation) 중요 데이터에 대한 직접적인 접근 제어도 중요하지만, 개별 데이터를 조합하여 중요한 정보를 획득하는 위협에 대한 대응 또한 중요하다. 이러한 위협 요소를 집합성이라고 한다. 집합성은 낮은 보안 등급의 정보를 이용하여 높은 보안 등급의 정보를 알아낼 수 있는 위험 요소이다. 추론(Inference) 여러 데이터를 확인하고 데이터를 통해 새로운 사실을 예측할 수 있는 특성이다. 가공되지 않은 로우 데이터에 접근하여 가치 있는 정보를 획득하는 위험 요소이다. 데이터베이스 보안 요구사항 무결성 보장 처리 중.. 2020. 4. 10.
DNS 보안 DNS 보안 dnsspoof dnsspoof 도구는 DNS Spoofing 공격 도구로 지정된 DNS 파일을 참조하여 DNS를 수행하게 한다. 특히 53번 포트로 전송되는 UDP 데이터를 모니터링하고 있다가 지정된 URL에 대해서 요청이 들어오면 특정 IP로 응답해주는 것이다. DNS 싱크홀 악성 봇에 감염된 PC를 공격자가 조종하지 못하도록 악성 봇과 공격자의 명령을 차단하는 서비스 자체 DNS 서버를 운영하는 민간기관을 대상으로 하는 서비스이다. DNSSEC DNS 캐시 포이즈닝[footnote]DNS의 메모리에 저장된 쿼리 정보를 위변조 하는 공격[/footnoet]과 같은 DNS의 보안 취약점을 보완하기 위해 등장한 기술 DNS 응답 정보에 전자서명 값을 첨부하여 보내고 수신 측이 해당 서명 값을.. 2020. 4. 10.
웹 방화벽 웹 방화벽 웹 애플리케이션 취약점을 이용한 공격에 대한 대응책으로 내부의 중요 데이터 유출을 방지한다. 웹 프로토콜을 기반으로 하는 모든 서비스와 애플리케이션 데이터 기반 정보 시스템에 보안 서비스를 제공한다. 웹 방화벽의 종류 네트워크 기반 방화벽 방화벽이나 침입방지 시스템과 유사하게 네트워크 구간에 인라인 Transprent 및 Proxy 방식으로 구성 웹 트래픽에 대한 분석 및 차단 기능 호스트 기반 방화벽 웹 서버에 설치된 보안 에이전트와 마스터 서버, 관리자용 콘솔로 구성되며, 웹 서버의 에이전트가 해킹 시도 및 이상 징후를 탐지하고 보안 정책을 실행한다. Proxy Method 웹 서버 앞 단에서 클라이언트 요청을 받아 필터링 후 웹 서버와 재접속하는 방식 소프트웨어, 하드웨어 기반 방화벽 지.. 2020. 4. 9.
웹 로그 웹 로그 웹 서버를 관리하기 위해 기록되는 로그 에러 로그, 접속 로그, 에이전트 로그, 참조 로그의 정보를 확인할 수 있다. 서버에서 발생하는 로그 및 CGI와 같은 스크립트 정보는 access.log에 기록된다. 에러 로그는 ErrorLog 지시어를 사용해 웹에서 발생하는 모든 에러를 기록할 수 있다. access.log 구조 웹 서버 로그파일에는 언제 어떤 IP에서 공격을 시도했는지 확인할 수 있다. Injection 공격을 수행하면 로그파일에 sqlmap, select, union과 같은 SQL문을, XSS 공격을 수행했다면 , 등의 스크립트 문을 확인할 수 있다. GET 방식으로 호출되는 것에 대하여 access.log 파일에 로그를 기록한다. ErrorLog Level 2020. 4. 9.
스팸 메일 차단 스팸 메일 차단 시스템 스팸 메일 차단 시스템은 유해한 메일을 발송하는 IP를 차단하는 RBL(Real Time Blocking List)과 SPF(Sender Policy Framework) 방식이 존재한다. RBL(Real-time Blocking List) 스팸메일 IP 리스트를 등록하고 이메일 수신 시 스팸 여부를 확인하여 차단하는 것 국내의 경우 KISA-RBL을 사용할 수 있다. KISA-RBL은 스팸메일을 1~3등급으로 분류하여 차단해야 하는 IP 리스트를 제공한다. SPF(Sender Policy Framework) 발신자는 자신의 메일 서버 정보와 정책을 나타내는 SPF 레코드를 해당 DNS에 등록한다. 수신자는 메일 수신 시 발송자의 DNS에 등록된 SPF 레코드를 비교하여 수신 여부를.. 2020. 4. 9.

티스토리툴바