N's Story

클라우드 이용 모델 퍼블릭 클라우드 공용 클라우드 시스템에 개인 및 기업에게 다양하게 서비스를 제공하는 클라우드 프라이빗 클라우드 독립적인 자사 전용 환경의 클라우드 온프레미스 프라이빗 클라우드 자사의 데이터 센터 등에 직접 설치하고 보유 및 운용하는 클라우드 운용주체 : 기업 사용자 호스티드 프라이빗 클라우드 클라우드 사업자가 기업 사용자별로 프라이빗 환경을 제공 운용주체 : 클라우드 사업자 커뮤니티 클라우드 공통의 목적을 가진 특정 기업들이 시스템을 형성하여 데이터 센터에서 공동 운영하는 클라우드 하이브리드 클라우드 다양한 클라우드 서비스와 *온프레미스 시스템을 연계시켜 활용하는 클라우드 ※ 온프레미스 시스템 : 자체 시스템을 구축하는 방식 클라우드 형태별 비교 비용 온프레미스 프라이빗 클라우드 > ..

클라우드 분류 클라우드는 서비스 형태에 따라 SaaS, PaaS, IaaS 3가지로 분류된다. 서비스서의 소프트웨어(SaaS : Software as a Service) 소프트웨어를 필요한 기능과 기간으로 제공하는 방식으로 기존처럼 소프트웨어를 라이센스 형태로 구매하지 않고, 유연하게 이용할 수 있다. 사용 예 : 그룹웨어, CRM, 전자메일 등 제공 사업자 운용 관리 범위 : 하드웨어, OS, 미들웨어, 애플리케이션 서비스로서의 플랫폼(PaaS : Platform as a Service) 애플리케이션 개발 환경이나 데이터베이스 등이 마련되어 제공하는 방식으로 개발 환경을 별도로 구축할 필요 없고, 자사에서 개발한 응용 프로그램을 가동할 수 있다. 사용 예 : kintone, Cloud Foundry 제..

클라우드 인터넷을 통해 소프트웨어와 데이터를 서비스로 사용할 수 있는 공간을 말한다. 이런 클라우드는 장소에 구애받지 않고, 별도의 저장장치 없이 인터넷만 되면 언제든지 이용할 수 있다. 클라우드 특징(NIST : 미국 국립 표준 기술연구소) 주문형 셀프 서비스 개별 관리화면을 통해 서비스 이용 가능 광범위한 네트워크 접속 다양한 기기로 접속 가능 리소스의 공유 리소스를 여러 사용자가 공유 신속한 확장성 별도의 장비를 사지 않고 스케일 업, 다운 처리가 가능 측정 가능한 서비스 이용한만큼 부과되는 종량제 클라우드 장점 경제성 원하는 기간만큼 사용 가능 유연성 시스템 확장시 용이 가용성 장애예방이 잘 되어있어 가용성이 높음 빠른 구축속도 하드웨어 및 소프트웨어 조달 시간 절약

DRM(Digital Rights Management) 디지털 저작권 관리를 의미하며 디지털 콘텐츠를 다양한 방식으로 제어할 수 있게 기술적인 방법이다. DRM 범위 오디오, 비디오, 이미지, 텍스트, 멀티미디어, 소프트웨어 등 DRM 제어 실행 ,보기, 복제, 출력, 변경 등 DRM 구성 요소 메타데이터 : 컨텐츠가 관리되어야 할 데이터 구조 및 정보 패키져 : 컨텐츠를 메타데이터와 함께 패키징 하는 모듈 시큐어 컨테이너 : 컨텐츠 배포 단위 식별자 : 컨텐츠 식별자 DRM 제어기 : 컨텐츠를 라이센스 내에서 이용하도록 하는 제어기 DRM 모델 콘텐츠 제공자, 콘텐츠 배포자, 콘텐츠 소비자, 클리어링 하우스간 정보와 대금의 흐름

암호기술 평가 순서 암호알고리즘 평가 → 암호모듈 평가 → 정보보호제품 평가 → 응용시스템 평가 암호 알고리즘의 안정성 암호 해독 비용 > 정보 가치 암호 해독 시간 > 정보 유효 기간 초과 암호모듈 안정성 평가 CMVP : 암호기술의 구현 적합성, 암호키 운용 및 관리, 물리적 보안 등 암호 정보보호제품 평가 CC(Common Citeria)

암호분석(암호해독) 암호문을 통해 평문과 키를 찾아내는 것으로 악의적인 공격자 혹은 암호분석가가 수행한다. ※ 암호분석(암호해독) ≠ 복호화 케르히호프의 원리(Kerckhoffs principle) 암호분석가는 암호 방식을 알고 있다는 전제하에 암호 해독을 시도하는 것 암호분석 종류 암호문 단독 공격(COA : Ciphertext Only Attack) 암호문만 가지고 평문과 키를 찾아내는 방법 가장 어렵고 고생이 많음 ex) 앨리스(암호화) → 이브(암호문 분석하여 평문 확보) → 밥(복호화) 기지 평문 공격(KPA : Known Plaintext Attack) 암호문과 평문 쌍을 가지고, 암호문과 평문간의 관계를 이용하여 키나 평문을 추정하면서 해독하는 방법 ex) 앨리스(암호화) → 이브(평문/암호..

암호학 암호기술(암호화 및 복호화)과 암호해독(해독방법 분석)에 관하여 연구하는 학문 암호기술의 분류 암호화 기술 : 대칭키, 공개키 암호 프로토콜 기술 : 개인식별, 인증, 전자서명, 전자화폐, 전자결제 암호학에서 사용하는 이름 앨리스(Alice) : 송신자 밥(Bob) : 수신자 이브(Eve) : 소극적인 공격자 맬로리(Mallory) : 적극적인 공격자

RFC2828에 따라 보안 공격은 아래와 같이 분류된다. 소극적 공격 시스템에 직접적으로 영향을 끼치지 않은 보안 공격으로 탐지가 힘들어 암호화 등을 통해 예방에 힘써야 한다. 기밀성 위협 공격 : 스누핑, 트래픽 분석 적극적 공격 시스템에 직접적으로 영향을 끼치는 보안 공격으로 탐지를 통해 방어에 힘써야 한다. 무결성 위협 공격 : 변경, 가장, 재연, 부인 가용성 위협 공격 : 서비스 거부

방화벽(Firewall) 내외부간 접근제한을 통한 정책으로 정보자산을 보호할 수 있는 장비다. 패킷 필터링 방화벽(Packet Filtering Firewall) 1세대 방화벽으로 4계층에서 동작한다. 송수신 IP 및 Port번호를 이용하여 특정 트래픽을 허용하거나 차단한다. 프록시 방화벽(Proxy Firewall) 2세대 방화벽으로 7계층에서 동작한다. 클라이언트와 외부 네트워크와의 중개인의 역할을 하며 패킷 정보를 7계층까지 확인 후 이상이 없는 패킷만을 목적지로 전달한다. 7계층까지 확인하기 때문에 패킷 필터링 방화벽에 비해 높은 수준에 보호 능력을 제공한다. 응용 게이트웨이 방식(Application Gateway) 7계층에서 동작한다. 각각의 서비스별로 Proxy데몬이 존재하고, 외부에 대한 ..

Open Scan TCP Open 포트가 열려있을 경우 SYN+ACK 응답을 회신한다. UDP Open 포트가 열려있을 경우 응답이 오지 않는다. 포트가 닫혀있을 경우 ICMP Unreachable 응답을 받는다. Stealth Scan TCP FIN 스캔 FIN플래그를 설정하여 보낸다. 포트가 열려있을 경우 응답이 오지 않는다. RST 패킷이 되돌아 오면 닫혀 있는 것이다. TCP ACK 스캔 포트의 오픈 여부를 판단하는 것이 아닌, 방화벽 정책을 테스트하기 위한 스캔이다. 대상 방화벽이 상태 기반(Stateful)인지 여부, 대상 포트가 방화벽에서 필터링되는지 확인한다. NULL 스캔 NULL 플래그(모든 플래그가 0)를 설정하여 보낸다. 포트가 열려있을 경우 응답이 오지 않는다. 포트가 닫혀있을 경..

키 대칭키 암호, 공개키 암호, 전자서명, 메시지 인증 등 평문 메시지에 암호기술에 사용하기 위한 것이다. 키 종류 마스터키 반복적으로 사용하는 대표키로 안전한 보관이 필요하다. 세션키 한번만 사용하는 키로 사용이 종료되면 폐기된다. 공개키 전자서명 및 평문 메시지의 암호화용으로 사용한다. CEK(Contents Encrypting Key) 콘텐츠 암호화 키 KEK(Key Encrypting Key) 키를 암호화하는 키

공개키 인증서 기본 영역 X.509 버전번호 일련번호 인증서 소유자 발급자 유효기간 대상 공개키 공개키 인증서 확장 영역 키와 정책 정보 기관키 식별자, 사용자키 식별자, 키 사용, 인증서 정책 사용자와 발행자 속성 사용자 대체 이름, 발급자 대체 이름 인증 경로 제약 조건 기본 제한 ,이름 제한, 정책 제한

PKI(Public Key Infrastructure) 전자서명에서 서명 검증을 할 때 이용하는 공개키가 진짜 송진자의 공개키여야 한다. 이 때문에 고안된 것이 공개키를 메시지로 간주하고, 신뢰 가능한 다른 사람에게 전자서명을 해서 받는 인증서다. 공개키 암호 및 전자서명의 기술 즉, 공개키 암호화에 기반을 만들어 가는 것이 PKI다. PKI 구성요소 인증기관(CA : Certication Authority) 인증정책 수립 및 인증서 폐기목록 관리 정책 승인기관(PAA : Policy Approving Authority) 정책 인증기관(PCA, Policy Certification Authority) 검증기관(VA : Validation Authority) 인증서의 유효성 확인 사용자와 최종 개체(sub..

전자서명 메시지와 메시지를 생성한 사람과의 인증을 의미하며, 전자 데이터로 되어 있는 메시지에 전자적인 서명을 하는 것을 의미한다. 전자서명은 사용자와 메시지에 대한 인증 기능을 포함한다. 전자서명 기능 위조 불가 인증 부인 방지 변경 불가 재사용 불가 전자서명 검증에 사용되는 키 생성 - 송신자의 개인키 검증 - 송신자의 공개키 전자서명 알고리즘 DSA KCSA ECDSA 전자투표 네트워크망을 통해 무기명 투표를 할 수 있는 방식이다. 전자투표 시스템 요구사항 완전성 익명성 건전성 이중투표방지 정당성 적임성 검증 가능 전자투표 방식 PSEV 방식 정해져있는 투표소에서 투표기로 투표 후 컴퓨터로 결과를 집계 키오스크 방식 임의 투표소에서 전자 투표 후 투표소와 개표소를 온라인으로 연결하여 집계 REV 방..

세션(Session) 개요 사용자의 상태 정보를 서버에 저장하는 기술로 쿠키와 비슷하지만 개인 컴퓨터에 저장하는 쿠키 방식과 다르게 서버에 저장하기 때문에 보안상 안전하다. 세션 장점 쿠키보다 보안에 우수 세션 단점 서버의 부하, 용량 관리가 필요 세션 보안 취약점 HTTP 세션 하이재킹 공격자가 정상적인 세션 ID 정보를 탈취하는 행위

쿠키(Cooklie) 개요 사용자가 인터넷에 접속할 때 생기는 4KB 이하의 작은 파일로 사용자와 웹사이트 간에 연결해 주는 정보 사용자 컴퓨터에 저장한다. 이 쿠키 파일은 나중에 생성된 쿠키 파일으 인터넷에 접속할 때 사용자의 정보를 알 수 있게 해준다. 이 쿠키 파일은 단순 텍스트 파일로 스스로 읽기, 쓰기, 수정, 삭제 등이 불가능하여 사용자 컴퓨터에 피해를 입히지 않으며, 오직 쿠키안에 저장된 도메인 이름을 가진 사이트에서만 유효하기 때문에 다른 웹사이트에선 사용이 불가능하다. 쿠키 생성 단계 웹 사이트 접속 → 사이트에서 사용자의 ID 번호를 사용자 컴퓨터내 쿠키 파일을 저장 → 사용자가 나중에 다시 접속시 기존 정보가 남아있어 계정을 로그인 하지 않아도 로그인 가능 쿠키의 용도 사이트 개인화 ..

웜 네트워크 연결을 통해 자신을 복제한 후 복제본을 전송한다. 복제당한 컴퓨터는 또 다시 복제를 하고 확산시키는 공격이다. 스파이웨어(Spyware) Spy + Softeware 의 합성어로 민감한 정보를 수집하여 주기적으로 특정 원격지 서버로 보내는 프로그램이다. 수집된 정보는 도용, 사기와 같은 악의적 활동에 의해 사용된다. 애드웨어(Adware) 자동으로 광고를 생성하는 프로그램으로 판매 수익을 올리고, 보안 및 사적 권리 논점들을 발생시킬 수 있는 침입적 수단을 사용한다. 크라임웨어(Crimeware) 온라인을 통해 불법적인 행동을 하기 위해 만들어진 프로그램이다. 브라우저 하이재커(Browser Hijacker) 잘못된 주소를 입력하면 자동으로 해커가 만들어 놓은 사이트로 이동하게 만드는 검색 ..

생체 인증 생체적 특성을 둔 인증 기법을 말하며, 생체 관련된 샘플을 데이터에 저장 후 인증시 비교한다. 장점 편리하고, 사용이 쉽다. 손실 및 도난의 우려가 없다. 위조가 어렵다. 단점 판단이 애매한 부분이 존재한다. 생체 정보 데이터의 관리가 어렵다. 생체인증 기술 평가항목 보편성 : 모두 가지고 있나? 유일성 : 유일한가? 지속성 : 시간에 따른 변화가 없는가? 획득성 : 정량적인 측정이 가능한가? 성능 : 정확성이 높은가? 수용성 : 사용자의 거부감은 없는가? 반기만성 : 부정사용으로부터 안전한가? 생체 인증 종류 지문 안정성이 우수하고 비용이 저렴하나 훼손시 인식이 어렵다. ex) 범죄수사, 출입 통제, 일반 산업, 스마트폰 인증 얼굴 거부감이 적고 비용이 저렴하나 주위 조명과 표정 변화에 민감..

OTP(One-Time Password) OTP 프로그램에서 암호화 알고리즘을 사용하여 일회용 패스워드를 생성하는 사용자 인증 방법이다. 토큰 발행하는 유형에는 비동기화방식, 동기화방식, S/Key 방법이 있다. OTP 장점 일정시간마다 비밀번호를 변경하여 패스워드 가로채기를 예방할 수 있다. 스마트폰을 통한 인증으로 편리 및 안정성을 확보한다. OTP 단점 자신의 식별정보를 공유하거나 토큰장치를 분실했을 경우 악용할 수 있다. 토큰장치의 배터리 방전 혹은 오류시 인증이 어렵다. OTP 비동기화 방식(OTP 질의응답 방식) 시도응답 방식(Challenge-Response 방식)이다. 알고리즘 → 사용자 : 인증서버에 로그인 시도 → 인증서버 : 사용자로 질의 값 전송 → 사용자 : 질의 값 입력함에 따라..

i-PIN(internet Personal Identification Number) 인터넷에서 본인확인을 위한 기존 주민등록번호 대체 수단이다. 기존 주민등록번호는 개별 웹사이트에 저장하지만 i-PIN 방식은 주민등록번호를 별도로 저장하지 않아 유출을 예방할 수 있고, 주민등록번호와 더불어 신원확인까지 하므로 본인 확인이 더 강화되었다.