IoT 보안 인터넷에 연결된 장치 수의 증가를 통해 위협 요소가 확장되었다. 물리적 조작을 많이하기 때문에 경제적 피해를 넘어 인명 피해가 발생할 수도 있다. 설계/적용 기기의 오용을 최소화 하면서 경량화 할 수 있는 방안을 고려한다. 프라이버시 보호 방법론을 적용한다. 보안 하드웨어 개발 기술 적용 시큐어 코딩 적용 소프트웨어 보안성 검증 시큐어 하드웨어 장치 활용 소프트웨어 보안 기술과 하드웨어 보안 기술 융합 클라우드 보안 클라우드 특성에 따라 저장된 데이터의 정확한 위치를 파악하기 어렵고, 여러 데이터가 뭉쳐있다는 것이 보안 우려의 출발점이 된다. 클라우드의 보안 위협 하이퍼바이저 감염 가상 머신 공격 공격자 추적 어려움 가상머신의 이동성 위협 대응 방안 송수신 데이터 보호 데이터의 저장 시 암호..

APT 공격 공젹자가 취약한 시스템이나 직원들의 컴퓨터 감염 악성코드를 이용하여 내부 네트워크 침투 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집 및 공격 준비 취약한 시스템으로부터 중요 정보 유출, 시스템 파괴 APT 대응 방안 보안관리 및 운영, 교육 강화 엔드포인트 보안 접근권한 관리 중요정보 암호화 파밍 홈페이지를 접속할 때 가짜 사이트로 유도되어 접속 정보를 탈취하는 사기수법이다. 악성코드가 미리 설치되어 설정을 바꾸어야 성립된다. 파밍 대응방법 웹 브라우저의 보안 수준 강화 백신 프로그램을 업데이트한다 PC의 호스트 파일 위변조 여부를 수시로 확인 큐싱 QR 코드로 악성 링크로 접속하게 하거나 직접 악성코드를 감염시키는 공격기법이다. 파밍과 큐싱의 결합 악성코드가 기존 컴퓨터 인터넷 ..

개요 접근통제란 사용자와 시스템이 상호작용을 하면서 누가 시스템에 접근하여 무슨 작업을 할 수 있는지를 통제하는 것을 말한다. 크게 3단계로 나뉜다. 식별 주체의 고유한 증표를 이용하여 시스템에 신원을 밝히는 과정이다. 인증 주체가 식별된 본인이 맞다는 것을 시스템에 증명해 보이는 과정이다. 인가 시스템이 인증된 사용자로 하여금 어떤 일을 할 수 있고, 어떤 객체에 접근할 수 있는가 제어하는 과정이다. 접근통제 정책 최소권한 정책 시스템 주체들은 그들의 활동을 위하여 필요한 최소 분량의 정보를 사용해야한다. 객체접근에 대하여 강력한 통제를 부여한다. 최대권한 정책 데이터 공유의 장점을 증대시키기 위하여 적용하는 최대 가용성 원리에 기반한다. 데이터 교환의 신뢰성으로 적용한다. 접근통제 정책 종류 강제적 ..

인증 정보의 주체가 되는 송신자와 수신자 간에 교류되는 정보의 내용이 변조 또는 삭제되지 않았는지 확인한다. 사용자 인증 네트워크상에서 사용자가 자신이 진정한 사용자라는 것을 상대방에게 증명하는것을 말한다. 메시지 인증 전송되는 메시지의 내용이 변경이나 수정되지 않고 본래 정보 그대로라는걸 증명한다. 인증 유형 지식기반 인증 사용자가 알고 있는 정보에 기반한 방법으로 PIN, 패스워드 등이 있다. 소유기반 인증 사용자가 소유한 도구에 기반한 방법으로 otp, 스마트카드 등이 있다. 존재기반 인증 사용자의 신체나 특징에 기반한 방법으로 홍채, 지문인식 등이 있다. 인증기술 종류 패스워드 인증 가장 널리 사용되는 인증기술이지만 그만큼 취약하다. 잘 알려진 단어를 사용하게되고 평문으로 전달하기 때문이다. OT..

암호 개념 누구나 볼 수 있는 형태의 평문을 해석하기 불가능한 형태의 암호문으로 변형하는 과정이다. 암호화와 복호화 암호화란 제 3자가 인식할 수 없는 형태로 변환하는 과정이고, 복호화는 다시 평문으로 복원하는 과정을 말한다 암호 알고리즘 평문을 암호화 알고리즘을 통해 암호문으로 만든 뒤에, 수신자에게 전달한다. 그리고 복호키를 소유한 복호화 알고리즘에서 평문으로 변한되고 수신자가 확인한다. 비밀키 암호 비밀키 암호는 암호화 키와 복호화 키가 동일하며 키의 길이가 짧아도 되고 연산 속도가 빠르다. 또한 이 방식은 데이터 처리에 따라 블록과 스트림으로 분류된다. 블록 암호화 평문을 블록이라고 부르는 고정길이의 입력으로 나누어 암호화 수행 평문의 비트열과 키의 비트열을 xor연산 수행을 통해 암호문을 수행한..

정보보안 개요 정보보안이란 정보를 가공, 저장, 전송 등의 과정에서 정보의 훼손, 유출을 막기위해 보호하는것을 의미한다. 정보보안의 목표 3대 목표는 기밀성, 무결성, 가용성이다. 정보보안 용어 인증 인증이란 송신자와 수신자 간에 정보가 변조 또는 삭제되지 않았는지 확인하는 방법이다. 부인 방지 메시지를 송수신한 후 이 사실을 증명함으로써 송수신 여부에 대한 부인을 방지하기 위한 기술이다. 송신 부인 방지 전달 부인 방지 수신 부인 방지 암호화 기술 암호화 키와 복호화 키가 같은지 여부에 따라 대칭키/공개키 암호 방식으로 분류할 수 있다. 암호 프로토콜 암호 기술을 사용하여 프로토콜을 구성하는 기술이다. 송수신자 이외의 제3자가 알지 못하도록 한다. 전자서명 서명자가 특정 문서에 자신의 개인 키를 이용하..