목록IT정보보안 (14)
IT보안따라잡기
[ 보안 및 모의해킹 수행 절차 ] 보안(Security)이란?- 위험/손실/범죄가 발생하지 않도록 방지하는 상태- 가치 있는 유/무형 자산을 위험(도난, 손실, 유출)으로부터 보호하는 행위 - 자산을 보호하기 위한 물리적/관리적/기술적 방법 보안의 3대 요소 (CIA)- 보안의 3원칙 -> 보안의 목표 -> 정보보안을 이루기 위한 3대 요소기밀성(Confidentiality)- 인가받은 사용자에게만 정보 자산에 대한 접근을 보장- 해당 공격으로는 스니핑(Sniffing)이 존재무결성(Integrity)- 권한을 가진 사용자에 인가된 방법으로만 정보 변경을 보장- 해당 공격으로는 스푸핑(Spoofing)이 존재가용성(Availability)- 정보 자산에 대한 적절한 시간에 접근 가능성을 보장- 해당 공..
[ ISMS/PIMS/PIPL ] ISMS(Information Security Management System)란? - 정보통신망 안전성 확보를 위해 수립하는 기술적, 물리적, 관리적 보호조치 등으로 종합적인 정보보호 관리체계에 대한 인증 - 기업 및 조직이 보유한 기업정보, 산업기밀, 개인정보 등의 중요 정보자산이 안전하고 신뢰성있게 관리되고 있음을 국가로부터 인증받는 국가공인 제도- 정책기관은 미래창조과학부이며, 제3의 인증기관은 한국인터넷진흥원(KISA)이 관련 업무를 주관 인증 운영 절차정보보호정책 수립 및 범위 설정 -> 경영진 책임 및 조직 구성 -> 위험관리 -> 정보보호대책 구현 -> 사후관리 5단계 과정을 거쳐 수립 및 운영 -> 정보보호대책 요구사항(선택사항)으로 정보보호 관련 위험 ..
[ 약점과 취약점 ]약점 - 개발 단계에서 발생하는 보안 관련 오류 - 공격에 활용될 여지가 있는 오류- 이론상 존재하는 위험 요소 취약점- 운영 단계에서 발생하는 보안 관련 오류- 실제로 공격 구현이 가능한 오류- 구현이 실제적으로 가능한 것 [ 위험과 위협과 취약성 ]위험- 예상되는 위협에 의한 자산에 발생할 가능성이 있는 손실의 기대치- 자산의 가치 및 취약성과 위협 요소의 능력, 보호 대책 효과 등에 의한 영향을 받음- 위협 요소가 일으킬 수 있는 피해- 줄이는 것이 가능하며, 관리가 가능 위협- 자산의 손실을 발생시키는 원인이나 행위- 보안에 해를 끼치는 행동이나 사건- 위험을 일으킬 소지가 다분한 요소- 보통 제어가 되지 않는다는 것이 특징 취약성- 위협에 의한 손실이 발생하게 되는 자산의 약..
[ 방화벽 (Firewall) - 침입차단시스템 ]- 서로 다른 네트워크를 지나는 데이터를 허용 및 거부하거나 검열 또는 수정- 네트워크에서 보안을 높이기 위한 1차적인 방법- 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나가는 패킷들에 대한 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어 또는 소프트웨어를 뜻함- 관리자는 방화벽을 통과시킬 접근과 그렇지 않은 접근을 명시해야 함- 기본적인 기능은 접근 제어를 룰셋(Role Set)을 통해 이루어짐 * Rule Set이란?- 방화벽을 기준으로 보호하고자 하는 네트워크의 외부와 내부에 존재하는 시스템들의 IP와 PORT 단위로 이루어지는 것 [ 침입탐지시스템 (IDS : Intrusion Detection System) ]..
[ 쿠키와 세션 정의 ]쿠키 ( Cookie )- 클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 4KB내의 작은 데이터 파일- 사용자 인증이 유효한 시간을 명시하며, 유효 시간이 정해지면 브라우저 종료시에도 인증이 유지- 클라이언트의 상태 정보를 로컬에 저장한 후 참조- 최대 300개까지 저장 가능하며, 도메인당 20개의 값만 보유- Response Header에 Set-Cookie 속성을 사용하여 클라이언트 쿠키를 생성 가능 세션 ( Session )- 쿠키를 기반으로 하며, 사용자 정보 파일을 클라이언트(브라우저)에 저장하는 쿠키와 달리 서버 측에서 관리- 클라이언트 구분을 위한 세션 ID를 부여하며, 웹 브라우저가 서버에 접속하여 브라우저 종료시까지 인증 상태를 유지- 접속 시간에 제한을..
[ OWASP 10 2013 vs OWASP 10 2017 ] OWASP 10대 취약점 (2017) 1. 인젝션- SQL, OS, XXE, LDAP 인젝션 등이 존재- 데이터 명령이나 쿼리문의 일부분이 인터프리터로 보내질 때 발생- 공격자가 악의적인 데이터 구문을 이용해 명령을 실행하거나 적절한 권한없이 비정상적으로 데이터에 접근하는 공격 2. 인증 및 세션 관리 취약점- 인증이나 세션 관리 어플리케이션 기능이 잘못 구현되어 공격자에게 취약한 암호, 키 또는 세션 토큰을 제공- 다른 사용자의 권한을 일시 또는 영구적으로 얻게 되는 취약점 3. 크로스 사이트 스크립팅 ( XSS : Cross Site Scripting )- 어플리케이션이 적절한 유효성 검사 또는 이스케이프 처리(문자열처리)를 하지 않음- ..