공부

1. 고통의 피라미드의 개념 고통의 피라미드는 2013년에 제시된 것이다. 고통의 피라미드는 피라미드의 일부 지표가 다른 지표보다 적들을 더 괴롭힌다는 것을 보여준다. 아래로 갈수록 공격자에겐 점점 수월한 일이 되는 것이다. 이를 통해 각 기업의 보안 담당자는 대응 방식에 대해 고안할 수 있다.2. 고통의 피라미드의 각 지표① 해시 값(Hash Values): 특정 의심스럽거나 악성 파일에 해당하는 SHA1, MD5 또는 기타 유사한 해시다. 해시 값은 특정 악성 코드 샘플이나 침입과 관련된 파일에 대한 고유한 참조를 제공하는 데 자주 사용된다. 공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법⑴ 파일 해시값을 기반으로 악성코드 샘플을 검색한다.⑵ 네트워크를 통해 한 엔드포인트에서 다른 엔드포인트로..

1. XSS XSS는 웹 응용 프로그램에서 볼 수 있는 컴퓨터 보안 취약점으로 사이버 범죄자가 사용자가 보는 웹 페이지에 클라이언트 측 스크립트를 주입할 수 있다. 공격자는 신뢰할 수 있는 웹 사이트를 방문할 때 공격자가 주입한 스크립트(대부분 자바스크립트로 작성됨)를 피해자의 브라우저에서 실행하도록 한다. 공격자는 피해자가 신뢰하는 웹 사이트에 자바스크립트를 주입하는 여러 가지 방법을 가지고 있을 것이다. 이는 인증된 세션이 필요하지 않으며, 취약한 웹 사이트가 입력을 확인하거나 탈출하는 기본 작업을 수행하지 않을 때 악용될 수 있다. 2. CSRF 사이트 간 요청 위조는 자신이 모르는 사이에 사용자의 정보를 변경하는 것부터 사용자의 계정에 완전히 액세스하는 것까지 다양한 방식으로 악용될 수 있는 가장..

1. CSRF의 개념 사이트 간 요청 위조(CSRF)는 사용자가 모르는 사이에 사용자의 정보를 변경하는 것부터 사용자의 계정에 완전히 액세스하는 것까지 다양한 방식으로 악용될 수 있는 가장 심각한 취약성 중 하나이다. 현시대에 거의 모든 웹사이트는 사용자의 세션을 유지하기 위해 쿠키를 사용한다. 컴퓨터에 잘 몰라도 쿠키에 대해서는 들어봤을 정도로 유명하니 말 다한 셈이다. HTTP는 사실 "상태 없는" 프로토콜이기 때문에, 일련의 요청에 대해 사용자가 인증된 상태를 유지할 수 있는 내장된 방법이 없다고 할 수 있다. 매 작업마다 사용자에게 자격 증명을 묻는 것은 사용자 경험 측면에서 불편한, 정말이지 불편하기 짝이 없는 아이디어이기 때문에 쿠키가 사용되는 것이다. 쿠키는 이 목적을 위해 매우 효율적이고 ..

1. XSS의 개념 XSS(Cross Site Scripting)는 웹 응용 프로그램의 취약점으로, 웹 응용 프로그램을 대신하여 제3자가 사용자의 브라우저에서 스크립트를 실행할 수 있는 공격의 개념이다. 사이트 간 스크립팅은 현시대의 웹에 존재하는 가장 널리 퍼진 취약점 중 하나이다. 사용자에 대한 XSS의 공격은 계정 손상, 계정 삭제, 권한 상승, 멀웨어 감염 등과 같은 다양한 결과를 초래할 수 있을 것이다. 초창기에는 CSS라고 불렸는데, 지금의 XSS와 완전히 같은 양상을 보인 공격이라고는 할 수 없다. 처음에는 악성 웹사이트가 자바스크립트를 이용하여 다른 웹사이트의 응답을 iframe에 포함시켜 읽고, 스크립트를 실행하여 페이지 내용을 수정하는 방식이었다. 그때는 분명 CSS라고 부르던 시절이다..

1. 웹 보안 개념 웹 보안의 중요성은 아무리 강조해도 부족함이 없다. 웹사이트는 정말이지 항상 보안 위협, 위험에 노출되기 쉽다. 웹 보안은 인터넷 네트워크 또는 웹을 통해 인터넷으로 전송되는 동안 데이터의 보안을 다루는 개념이다. 예를 들어, 클라이언트와 서버 간에 데이터를 전송하고 해당 데이터를 보호해야 하는 경우의 데이터 보안이 웹 보안인 것이다. 웹 사이트를 해킹하면 중요한 고객 데이터가 도난당할 수 있다. 그 데이터 중에는 신용카드 정보나 고객의 로그인 정보가 있을 수도 있고, 공격자가 그 웹사이트를 해킹하는 동안 비즈니스가 파괴되고, 불법 콘텐츠가 사용자에게 전파될 수도 있다. 고객의 중요한 정보를 훔치거나 웹 사이트를 통해 사용자에게 불법 콘텐츠를 전파할 수도 있으므로 웹 보안 측면에서 보..

1. SET의 개념 SET 프로토콜, 이른바 보안 전자 거래는 시나리오에서 신용 카드를 사용하여 수행되는 전자 거래의 보안과 무결성을 보장하는 시스템이다. 여기서 확실히 해야 할 것은, SET는 결제를 가능하게 하는 시스템이 아니라, 해당 결제에 적용되는 보안 프로토콜이라는 점이다. 다양한 암호화 및 해싱 기술을 사용하여 신용 카드를 통해 이루어지는 인터넷 결제를 보호한다. SET 프로토콜은 Visa, Mastercard, STT(Secure Transaction Technology)를 제공하는 Microsoft, SSL(Secure Socket Layer) 기술을 제공하는 Netscape와 같은 주요 조직의 개발을 지원했다. SET 프로토콜은 신용 카드 정보가 판매자에게 공개되는 것을 제한하여 공격을 ..

1. 비즈니스 영향 분석(Business Impact Analysis)의 개념 비즈니스 영향 분석(BIA)은 재해, 사고 또는 긴급 상황으로 인해 중요한 비즈니스 운영이 중단될 때 발생할 수 있는 잠재적 영향을 확인하고 평가하는 체계적인 프로세스이다. BIA에 대해 공부한 적이 있다면, 조직의 비즈니스 연속성 계획(BCP)에서 BIA가 필수 구성 요소임을 알고 있을 것이다. 여기에는 위협과 취약점을 밝히는 탐색의 과정과 위험을 최소화하기 위한 전략을 개발하기 위한 계획의 과정이 포함된다. 그리하여 총 결과는 조직에 특정한 잠재적 위험을 설명하는 비즈니스 영향 분석 보고서로 나오게 된다. BIA의 기본적인 가정 중 하나는 조직의 모든 구성 요소가 다른 모든 구성 요소의 지속적인 기능에 의존한다는 것이다. ..

1. 리눅스 배포판의 개념 배포판이라고 하는 것은 완전한 Linux 시스템 패키지이다. 다양한 리눅스 배포판을 사용하여 가질 수 있는 거의 모든 컴퓨팅 요구사항을 충족할 수 있다. 대부분의 배포는 비즈니스 사용자와 같은 특정 사용자 그룹에 맞게 사용자 정의되곤 한다. 멀티미디어 매니아, 소프트웨어 개발자 또는 일반 대학 학습자에 이르기까지 말이다. 나도 대학에서 처음으로 리눅스에 대해 학습하고 경험할 때 배포판 설치가 시작점이었다. 각각의 맞춤형 배포판에는 멀티미디어 매니아를 위한 오디오 및 비디오 편집 소프트웨어, 소프트웨어 개발자를 위한 컴파일러 및 통합 개발 환경과 같은 특수 기능을 지원하는 데 필요한 소프트웨어 패키지가 포함되어 있다. 다양한 리눅스 배포판은 일반적으로 세 가지 범주로 나뉜다. ①..

1. DRM의 개념지적 자료에 대한 접근을 제한하고 관리하는 기술을 사용하는 것을 디지털 권한 관리, DRM이라고 한다. DRM은 콘텐츠의 불법 배포 및 변조를 방지하여 저작권자의 권리를 보호한다. 간단히 말해서, DRM은 디지털 자료의 저작권을 보호하는 방법이다. 이것을 위해 독점 소프트웨어뿐만 아니라 저작권이 있는 콘텐츠의 복사 및 사용을 제한하는 기술의 사용이 수반된다. P2P 파일 공유, 토렌트 사이트, 온라인 불법 복제를 통해 디지털 자료가 확장됨에 따라 DRM의 중요성은 계속 커지고 있다. 15~20여년 전에는 당나귀, 푸르나 같은 P2P 파일 공유가 유행이었다면, 10여년 전부터는 토렌트 프로그램이 유행하고 있으며 그것은 현재 진행형이다. 그런데 그 둘의 치명적인 단점은 다운로드 받은 사람의..

1. 제로 트러스트 보안의 개념 사이버 보안 시대에는 위치나 액세스 수준에 관계없이 조직 네트워크 외부 또는 내부의 사용자나 장치를 자동으로 신뢰해서는 안 된다. 이는 우리 사회에서 타인을 100% 믿어서는 안 된다는 말과 결국 같다고 할 수 있을 것이다. 이 새로운 정보 보안 개념을 제로 트러스트 보안이라고 한다. 제로 트러스트 보안은 사용자의 행동과 활동을 면밀히 모니터링하여 잠재적인 보안 위협을 찾아 수정하고 각 요청에 대한 액세스를 동적으로 할당한다. 또한, 리소스나 애플리케이션에 대한 액세스 권한을 부여하기 전에 모든 사용자와 장치를 검증하고 승인하는 작업을 거친다. 소위 말해, 끊임없이 의심하는 것이 제로 트러스트의 핵심인 것이다. 1.1 제로 트러스트 보안의 기본 원칙 제로 트러스트 보안 모..