본문 바로가기

정보보호/정보보호론(박승철)

정보보호론-(10) 암호화 기술 개요 정보보호론-(10) 암호화 기술 개요 암호화 알고리즘이란? - 복호화 키가 있을 때는 쉽게 암호문(Ciphertext)으로부터 평문(Plaintext)를 구할 수 있으나 그렇지 않은 경우 평문(Plaintext)을 구하기가 계산상으로 불가능한 트랩도어(trapdoor) 함수 대칭키 암호화(Symmetric Key Encryption) - 메시지의 송신자가 사용하는 암호화 키와 수신자가 사용하는 복호화 키가 동일한 암호화 기법 공개키 암호화(Public Key Encryption) - 공개키(Public Key)를 일반에 공개하고 개인키(Private Key)는 개인적으로 비밀리에 보관하는 비대칭키 암호화(Asymmetric Encryption) 암호화의 기본적인 동작 - 치환(substitution), ..

정보보호론-(9) 정보 보안 목표와 대책 - 2 정보보호론-(9) 정보 보안 목표와 대책 - 2 메시지 인증 코드(MAC, Message Authentication Code) - 사용자B가 사용자A에게 송신한 메시지(M)가 실제로 사용자B가 송신한 것이 맞는지 확인하는 행위(인증성을 확인) - 사용자B는 전송하고자 하는 메시지(M)과 함께 H(M,pwd)의 해시값을 함께 전송함 - 사용자A는 전송받은 메시지(M')를 자신이 갖고 있는 패스워드를 이용하여 H(M',pwd)의 해시값을 생성하고 수신한 해시값과 비교하여 결과가 일치하면 해당 메시지는 사용자B가 보낸 것으로 확신할 수 있음(인증성 확보) - 재현 공격 방지 : 메시지 인증 코드, H(M, pwd), 를 생성할 때 메시지 순서번호(SQE), 타임 스탬프, 임의의 숫자(nonce)를 포함하여 생..

정보보호론-(8) 정보 보안 목표와 대책 - 1 정보보호론-(8) 정보 보안 목표와 대책 - 1 정보 보안(Information Security) - 하드웨어, 소프트웨어, 서비스, 데이터 그리고 네트워크와 같은 정보 자산을 인적, 환경적 그리고 기술적 공격으로 부터 보호하는 것 정보 보안의 3 요소 : CIA 모델 - 기밀성(Credentiality) - 무결성(Integrity) - 가용성(Availability) + 인증성(Authenticity) + 책임성(Accountability) - 부인 방지(non-repudiation) 기밀성(Credentiality) 유지 - 개인이나 조직의 민감한 정보가 허가 받지 않은 사용자에게 노출되지 않도록 하는 것 - 기밀성 훼손 공격 : 스캐닝, 트래픽 스니핑, 패스워드 깨기 공격 - 기밀성 유지 대책 :..

정보보호론-(7) 세션 하이재킹, APT, 스피어 피싱, 스미싱, 랜섬웨어 정보보호론-(7) 세션 하이재킹, APT, 스피어 피싱, 스미싱, 랜섬웨어 세션 하이재킹 공격(Session Hijacking Attak) 세션(Sesson)이란? - 통신 당사자들간에 구별가능한(Identifiable) 통신이 진행중인 상태 - TCP 연결, 쿠키기반의 웹 세션 세션 하이재킹(Session Hijacking)이란? - 인증 작업이 완료되어 정상적으로 통신이 이루어지고 있는 다른 사용자의 세션을 가로채서 별도의 인증 작업없이 가로챈 세션으로 통신을 지속하는 행위 - 생체 인증, OTP, 챌린지/응답 기법등 강력한 사용자 인증 수단을 무력화 시킬 수 있음 - TCP 연결 하이재킹(TCP Connection Hijacking) - 웹 세션 하이재킹(Web Session Hijacking) T..

정보보호론-(6) Dos, DDoS, Amplified DoS 정보보호론-(6) Dos, DDoS, Amplified DoS 서비스 거부 공격(DoS, Denial of Service Attack) - 시스템 자원을 고갈시켜 목표 시스템이 정상적인 서비스를 제공할 수 없게 만드는 행위 - Error Triggering DoS Attack - Flood-based DoS Attack 오류 유발 DoS 공격(Error Triggering DoS Attack) - 시스템의 오류를 유발하는 행위를 의도적으로 수행하여 목표 시스템이 정상적인 서비스를 제공할 수 없게 만드는 행위 - Ping of Death Attack : 65535바이트를 넘는 큰 ICMP 패킷을 전송하여 이를 처리할 수 없는 시스템을 다운 시킴 - Teardrop Attack : 중복된 IP 단편(IP F..

정보보호론-(5) 소프트웨어 취약점 공격, XSS 공격 정보보호론-(5) 소프트웨어 취약점 공격, XSS 공격 소프트웨어 취약점 공격(Software Vulnerability Attack) - 스택 버퍼 오버 플로우 공격(Stack Buffer Overflow Attack) - 힙 버퍼 오버 플로우 공격(Heap Buffer Overflow Attack) - 명령 주입 공격(Command Injection Attack) - SQL 주입 공격(SQL Injection Attack) 크로스 사이트 스크립팅 공격(Cross Site Scripting Attack, XSS) 소프트웨어 취약점 공격이란? - 목표 소프트웨어의 취약한 부분을 이용하여 공격해 공격자가 자신이 원하는 악의적인 코드를 수행시키는 공격기법 스택 버퍼 오버 플로우 공격(Stack Buffer O..

정보보호론-(4) 스푸핑(Spoofing), 패킷 가공, 중간자 공격 정보보호론-(4) 스푸핑(Spoofing), 패킷 가공, 중간자 공격 스푸핑 공격(Spoofing Attack) - ARP Spoofing - IP Spoofing - DNS Spoofing 패킷 가공 공격(Packet Crafting Attack) - 패킷 조합(Packet Assembly) 공격 - 패킷 편집(Packet Editing) 공격 - 패킷 재현(Packet Replay) 공격 중간자 공격(Man-In-the-Middle Attack) ARP(Address Resolution Protocol) - IP 주소에 대응되는 네트워크 상의 MAC 주소를 찾는 프로토콜 - IP Address -> MAC Address - 목표 시스템의 IP 주소를 담은 ARP 요청 메시지를 네트워크에 브로드캐스팅(..

정보보호론-(3) 스니핑(Sniffing) 공격, 악성 소프트웨어 공격 정보보호론-(3) 스니핑(Sniffing) 공격, 악성 소프트웨어 공격 키 로깅(Key Logging) 트래픽 스니핑(Traffic Sniffing) 바이러스(Virus) 웜(Worm) 트로이 목마(Trojan Horse) 키 로깅(Key Logging) - 패스워드 같은 공격 대상자의 민감한 키보드 입력 정보를 시스템이 암호화 같은 보안 기능을 적용하기 전에 몰래 기록한 다음 빼내는 공격 - 즉, 사용자가 패스워드(키 역할을 수행하는 데이터)를 입력할 때 그 정보를 기록한 뒤 탈취하는 수법 - 키 로거(Key Logger) : 키 로깅을 구현한 하드웨어 또는 소프트웨어 - 키 로깅 공격은 주로 트로이 목마 혹은 이메일 형태의 웜(Worm)형태로 이루어진다. 트래픽 스니핑(Traffic Sniffing)..

이전 1 2 3 4 다음

티스토리툴바