N's Story

참조모니터 모든 접근 통제를 담당하는 추상머신으로 아래와 같은 규칙을 가짐 Must be tamperproof Always invoked Must be Verifiable 보안커널 참조모니터를 실제로 구성 TCB(Trusted Computing Base) 보안커널로 구성된 어떤 한 집합 TPM(Trusted Platform Module) 신뢰 컴퓨팅을 위한 핵심이 되는 하드웨어 모듈 컴퓨터 마더보드에 부착되어 통신채널로 LPC 이용 cf). 소프트웨어로 구현되기도 함 TPM 특징 - 훼손 방지로 도난시에도 정보노출이 용이하지 않음 - 신뢰 관련 연산 제공 . 암호화키 생성 저장, 패스워드 저장, 무결성 검증, 인증서 관련 신뢰 연산 제공 - 인증된 부트서비스, 인증서비스, 암호화 서비스

보안 운영체제 기존 운영체제에 보안기능을 구현하여 통합시켜 강력한 보안기능을 제공 보안 운영체제 특징 여러 보안 취약점을 원천적으로 차단 가능 OS레벨에서 보안기능을 구현하여 시스템 성능에 거의 영향을 미치지 않음 사용자 계정 및 권한을 보다 더 안전하게 관리 보안 운영체제의 보호 대상 메모리, 보조기억장치, 프로그램, 파일, 하드웨어 장치 등 보호 방법 물리적 보호, 시간적 보호, 논리적 보호, 암호적 보호 ※ 구현 복잡도 : 물리적 보호 < 시간적 보호 < 논리적 보호 < 암호적 보호 파일시스템 보호 방법 파일이름 명명, 패스워드, 암호화 보안 운영체제 요구사항 사용자 식별 및 인증 임의적 / 강제적 접근통제 객체 재사용 보호 완전한 조정 신뢰경로 감사 및 감사기록 축소

사회공학(Social Engineering) 상호간의 신뢰를 이용하여 민감한 정보를 빼돌리는 행위 사회공학 종류 어깨 넘어 훔쳐보기 쓰레기통 뒤지기 협박 메일 따라 들어가기 내부자의 결탁으로 정보 유출 내부자의 부주의로 정보 유출

크리덴셜 스터핑(Credential Stuffing) 계정 정보(아이디, 패스워드)를 확보한 후 임의의 다른 장비(네트워크, 서버 등)에 대입하는 공격

패스워드 크래커 유형 사전 공격 패스워드 사전 파일을 이용하여 해킹하는 방법 무차별 공격 모든 조합의 경우의 수를 시도해 해킹하는 방법 워다이얼링 공격에도 사용 ※ 워다이얼링 : 프로그램을 이용하여 여러 전화번호에 자동으로 전화를 걸어 모뎀에 장착된 번호를 찾는 기술 하이브리드 공격 사전 공격 + 무차별 공격 레인보우 테이블을 이용한 공격 패스워드 후보 단어와 솔트를 해싱하여 거대한 사전을 만든 후 공격하는 방법으로 단순 사전 공격, 무차별 공격 보다는 적은 시간이 소요