본문 바로가기
반응형

Major/#정보보호(Data protection)28

XSS 공격 (Cross Site Scripting) XSS(크로스 사이트 스크립팅)는 웹 애플리케이션 보안 취약점 중 하나로, 공격자가 악성 스크립트를 이용하여 사용자 브라우저에서 실행되도록 하는 공격입니다. 이 공격을 통해 공격자는 사용자의 쿠키, 세션 등의 정보를 탈취하거나 사용자의 계정을 무단으로 조작할 수 있습니다. 이번 포스팅에서는 XSS 공격의 개념과 종류, 예방 방법 등에 대해 다루어 보겠습니다. 1. XSS 공격의 개념과 종류 XSS 공격은 주로 사용자가 입력하는 값을 악성 스크립트로 변조하여 웹 페이지에 삽입하는 방법으로 이루어집니다. 이러한 악성 스크립트는 사용자가 웹 페이지를 로드할 때 브라우저에서 실행되어 사용자의 정보를 탈취하거나 악의적인 행동을 수행할 수 있습니다. XSS 공격은 크게 세 가지 종류로 나눌 수 있습니다. (1) S.. 2023. 5. 6.
정보보호 시스템 (F/W, IBS/IPS, WAF) 정보보호 시스템은 조직의 정보를 보호하기 위해 설치되는 시스템으로서, 외부에서의 침입, 악성코드, 데이터 유출 등의 위협으로부터 조직의 정보를 안전하게 보호할 수 있도록 돕습니다. 이번에는 그 중에서도 F/W, IBS/IPS, WAF에 대해서 각각 설명해보겠습니다. 1. F/W (Firewall) F/W는 기업이나 조직 내에서 인터넷을 통한 외부와의 통신에서 발생하는 데이터의 이동을 제어하는 시스템입니다. F/W는 보통 라우터나 스위치와 같은 네트워크 장비에 내장되어 있습니다. F/W는 내부 네트워크와 외부 네트워크 사이에 위치하며, 인터넷과 내부 네트워크 간의 트래픽을 검사하고, 허용되지 않은 트래픽을 차단합니다. F/W는 패킷 필터링, 스테이트풀 패킷 필터링, 애플리케이션 게이트웨이 등의 방식으로 동.. 2023. 5. 6.
URL과 URI (URI vs URL Differences) URL과 URI는 웹 상에서 자원을 식별하는 방법을 나타내는 개념으로, 서로 관련이 있지만 다른 개념입니다. 이번 포스팅에서는 URL과 URI의 개념과 차이점, 그리고 각각의 예시를 살펴보겠습니다. ## URI란? URI는 Uniform Resource Identifier의 약자입니다. 웹 상에서 자원을 식별하는데 사용되며, 이를 통해 웹 브라우저 등의 클라이언트가 서버에 요청을 보낼 수 있습니다. URI는 URL과 URN으로 나뉘며, 둘 다 자원을 식별하는 데 사용됩니다. URI는 특정한 프로토콜을 통해 자원에 접근할 수 있는 식별자입니다. 예를 들어 HTTP 프로토콜을 사용하여 웹 페이지에 접근하기 위해서는 그 웹 페이지의 URI를 알아야 합니다. ## URL란? URL은 Uniform Resourc.. 2023. 5. 5.
개인정보의 종류와 보호 필요성 (Types and Necessity of Personal Information) 개인정보의 정의와 유형 개인정보는 개인을 식별할 수 있는 정보를 말합니다. 이는 성명, 생년월일, 주소, 전화번호, 이메일 주소, 주민등록번호, 운전면허번호, 신용카드번호 등의 정보를 말합니다. 개인정보의 유형에는 정적 정보(정태정보), 동적 정보(동태정보) 등이 포함됩니다. 정적 정보(정태정보)는 개인이 과거에 작성하거나 제출한 정보로, 주로 신청서, 계약서, 이력서 등의 서류에 포함되어 있습니다. 이는 개인이 직접 작성한 정보이며, 개인이 자신의 의지로 수정, 삭제, 추가할 수 있는 정보입니다. 동적 정보(동태정보)는 개인이 사용하는 디바이스나 서비스에서 발생하는 정보로, 주로 로그인 기록, 검색 기록, 행동 패턴 등의 정보를 말합니다. 이러한 정보는 개인이 직접 작성하지 않았으며, 삭제하거나 수정할.. 2023. 4. 25.
전자 서명 공격 방법들 (Electronic signature attack methods) 전자 서명은 중요한 정보를 안전하게 전송하고, 정보의 무결성과 인증을 보장하기 위해 사용됩니다. 하지만, 악의적인 공격자가 전자 서명을 위조하거나 변조하여 서비스 거부 공격과 같은 공격을 시도할 수 있습니다. 따라서, 전자 서명에 대한 보안성 강화가 필요합니다. 전자 서명에 대한 공격 방법 중 가장 대표적인 것은 중간자 공격(man-in-the-middle attack)입니다. 이 공격은 공격자가 통신 경로에 끼어들어서, 정보를 도청하거나 변경하는 공격입니다. 중간자 공격은 전자 서명에서 발생할 수 있는 가장 큰 위협 중 하나입니다. 중간자 공격을 막기 위해서는 공개키 인증서를 사용해야 합니다. 공개키 인증서는 서비스 제공자의 공개키를 검증할 수 있는 인증서이며, 이를 통해 공격자가 서버와 클라이언트 사.. 2023. 4. 24.
전자 서명의 공개키 암호 알고리즘 (Public key algorithms for electronic signatures) 전자 서명 매커니즘에서 공개키 암호는 서명 및 인증 기능에 핵심적인 역할을 합니다. 이번 포스팅에서는 전자 서명에서 공개키 암호가 어떻게 사용되는지 자세히 살펴보겠습니다. 전자 서명은 디지털 문서의 무결성을 보장하고, 문서 작성자를 인증하기 위한 기술입니다. 디지털 문서는 누구나 쉽게 생성하거나 변경할 수 있기 때문에, 전자 서명은 문서가 변경되지 않았음을 보장하는 동시에 문서 작성자의 신원을 확인하는 역할을 합니다. 이를 위해 전자 서명은 공개키 암호화 기술을 사용하여 문서를 암호화하고 서명합니다. 전자 서명에서 사용되는 공개키 암호화 기술은 대칭키 암호화와 달리, 서명과 검증에 서로 다른 키를 사용합니다. 즉, 서명에는 개인키를 사용하고, 검증에는 공개키를 사용합니다. 전자 서명의 과정은 다음과 같습.. 2023. 4. 24.
대칭키 암호와 공개키 암호 (Symmetric & Public key encryption) 대칭키 암호와 공개키 암호는 모두 암호화와 복호화를 위해 사용되는 알고리즘입니다. 그러나 이들은 서로 다른 원리를 기반으로 동작합니다. 이 포스트에서는 대칭키 암호, 공개키 암호 및 일회용 패드에 대해 자세히 살펴보겠습니다. 1. 대칭키 암호 대칭키 암호는 암호화와 복호화에 동일한 키를 사용하는 알고리즘입니다. 즉, 암호화와 복호화에 동일한 비밀키를 사용하여 메시지를 암호화하고 복호화합니다. 이러한 알고리즘은 암호화 및 복호화 속도가 빠르고 효율적이며, 데이터 전송 시에도 유용합니다. 그러나 대칭키 암호화 방식의 가장 큰 단점은 키를 안전하게 공유해야 한다는 것입니다. 만약 키가 유출된다면, 누구든지 암호화된 메시지를 복호화할 수 있습니다. 이러한 이유로 대칭키 암호는 보안 강도가 높지 않은 애플리케이션.. 2023. 4. 24.
해시함수의 안전성 (security of hash function) 해시 함수(Hash function)는 임의의 길이의 데이터를 고정된 길이의 데이터로 변환하는 함수입니다. 이러한 해시 함수는 데이터를 식별하기 위한 키(Key) 값으로 사용됩니다. 하지만, 이러한 해시 함수가 안전한지에 대한 문제는 매우 중요합니다. 이번에는 해시 함수의 안전성에 대해 설명하겠습니다. 1. 역상 저항성 (Preimage resistance) 해시 함수에서 역상 저항성은 입력값의 해시 값으로부터 입력값을 찾아내는 것이 어려워야 한다는 것을 의미합니다. 즉, 한번 해시된 값을 이용해서 입력값을 찾아내는 것이 매우 어렵다는 것입니다. 이러한 성질을 만족하면, 해시 함수는 역상 저항성을 갖는다고 합니다. 예를 들어, 해시 함수가 H(x) = y 라면, 역상 저항성은 y 값을 알고 있을 때 x .. 2023. 4. 24.
블록 암호의 모드(Block Encryption Modes) ECB 모드, CBC 모드 및 CTR 모드는 암호화에서 사용되는 블록 암호화 모드 중 세 가지 일반적인 방법입니다. 이 모드들은 메시지 블록을 비트 단위로 처리하며, 비트 블록을 암호화하는 방식에 차이가 있습니다. 각 모드는 자신만의 장단점이 있으며, 적용할 때는 암호화의 목적, 데이터 보안 수준, 처리 속도 등에 대한 고려가 필요합니다. 1. ECB 모드 ECB (Electronic Codebook) 모드는 가장 간단한 블록 암호화 모드 중 하나입니다. 평문 블록을 동일한 크기의 암호문 블록으로 변환합니다. 이 모드는 암호화된 블록이 다른 블록과 독립적이기 때문에 빠른 속도와 간단한 구현이 가능합니다. 하지만, 같은 평문 블록은 항상 동일한 암호문 블록으로 변환되기 때문에 암호문의 패턴을 예측하기 쉬우.. 2023. 4. 24.
IoT 보안 이슈와 대비 방안 (IoT security issues and solutions) IoT(Internet of Things)는 사물인터넷으로, 우리 생활에서 사용되는 가전 제품부터 공장, 농업, 교통 등 다양한 분야에서 사용되고 있습니다. 하지만 IoT는 보안 취약성이 높아, 해커들이 침입해 데이터를 탈취하거나 조작할 수 있는 위험이 있습니다. 이에 IoT 보안 이슈와 대응 방안에 대해서 알아보겠습니다. #IoT 보안 이슈 1. 보안 인증 및 인가\ IoT 장치는 쉽게 설치할 수 있도록 제작되어 있고, 대부분의 경우 인증과 인가 과정이 축소되거나 무시되는 경우가 많습니다. 따라서 이러한 장치들은 보안 수준이 낮아, 악성 코드나 해킹 등의 공격에 취약합니다. 2. 취약한 네트워크 보안 IoT 장치들은 대부분 인터넷에 연결되어 있으며, 이러한 장치들의 대부분은 네트워크 보안에 대한 강력한.. 2023. 4. 23.
블록 암호(Block Cipher) 블록 암호(Block Cipher)는 텍스트의 블록을 고정된 길이의 블록 단위로 분할하여 암호화하는 암호화 방식입니다. 블록 암호는 대표적으로 DES(Data Encryption Standard)과 AES(Advanced Encryption Standard)이 있습니다. 이 글에서는 DES와 AES의 개념, 동작 원리, 보안성 등에 대해 살펴보겠습니다. ## DES (Data Encryption Standard) DES는 1977년에 미국 국가 안보국(NSA)에서 개발한 블록 암호입니다. DES는 64비트의 평문을 64비트의 암호문으로 변환하는데 사용됩니다. DES는 라운드 함수(round function)라고 불리는 암호화 함수를 16번 반복하여 암호화를 수행합니다. DES의 동작 원리는 다음과 같습니.. 2023. 4. 23.
해시함수(Hash function) 해시함수(Hash function)는 임의의 길이를 갖는 메시지를 고정된 길이의 해시값으로 매핑하는 함수입니다. 해시함수는 메시지의 내용을 대표하는 해시값을 생성하는 것이 주된 목적입니다. 해시함수를 사용하여 데이터의 무결성을 검증하거나, 데이터베이스에서 데이터를 검색할 때 빠른 속도로 검색할 수 있도록 인덱싱하는 등 다양한 용도로 사용됩니다. 1. 해시 함수의 기본 원리 해시 함수의 기본 원리는 매우 간단합니다. 임의의 길이를 갖는 메시지를 입력 받아, 해시함수는 고정된 길이의 해시값을 출력합니다. 이 때, 해시 값은 원본 메시지와 매우 다른 형태를 갖습니다. 다시 말해, 해시함수는 입력 받은 메시지를 일종의 암호화 과정을 거쳐 해시 값으로 변환합니다. 이러한 변환 과정은 반복 적으로 수행되어, 같은 .. 2023. 4. 22.
반응형

티스토리툴바