본문 바로가기
[도서 정리] 19. 싱글 사인온 - 보안의 기본 19. 싱글 사인온 - 보안의 기본 -싱글 사인온(Single sign-on : SSO)란 말 그대로 한 번의 사인온(인증)으로 여러 시스템을 이용할 수 있도록 하기 위한 장치이다. * 싱글 사이온의 장단점 -인증 정보를 관리하는 시스템을 일원화할 수 있어 인증 정보의 관리성이 향상된다.기존의 시스템처럼 시스템별로 또는 서비스별로 인증 정보를 관리하는 방법의 경우 이용자 측도 귀찮지만 서비스 제공자 측도 힘이 든다. -반면 싱글 사인온에서는 그 성질상 인증 정보나 인증 시스템의 보안 확보가 보통의 시스템 이상으로 중요해진다.싱글 사인온 인증 시스템의 보안이 불충분하면 여러 시스템에 부정으로 액세스 당하거나 최악의 경우 인증 정보가 유출되는 일로 이어진다.싱글 사이온의 이용을 검토할 때는 사전에 그 구조를.. 2019. 10. 19.
[도서 정리] 18. 이중 인증 - 보안의 기본 18. 이중 인증 - 보안의 기본 -이중 인증이란 성질이 다른 두 종류의 정보를 조합하여 인증을 하는 인증 방식이다.예를 들어 비밀번호와 인증코드(시스템이 자동으로 생성하여 등록된 휴대전화나 메일로 송부하는 문자열)의 조합을 말한다. * 이중 인증의 장단점 -최대장점은 한 쪽 정보가 유출되어도 보안이 확보된다는 점에 있다.이중 인증에서 이용하는 두 종류의 정보는 성질이 달라 동시에 약쪽의 정보를 훔치는 것은 더 어렵게 된다. -이중 인증을 구현할 시스템에 비용을 들여 구축해야 한다는 단점이 있다.또한 등록 정보가 복잡해지거나 입력 항목이 늘어난다는 점에서 사용자의 부담도 늘어난다. * 이중 인증이 아닌 ‘자칭’ 이중 인증의 예 -공격자가 한 쪽의 정보를 입수한 후에 그 정보를 사용하여 또 다른 한 쪽의 .. 2019. 10. 19.
[도서 정리] 17. 원타임 비밀번호 - 보안의 기본 17. 원타임 비밀번호 - 보안의 기본 -원타임 비밀번호는 한 번만 사용 가능한 비밀번호이다.이용 가능한 비밀번호는 전용 기기나 소프트웨어로 자동 생성되고, 생성된 비밀번호는 한 번 이용되면 더 이상 사용할 수 없다. * 원타임 비밀번호의 장단점 -원타임 비밀번호에서는 이용자는 비밀번호를 돌려 사용할 수 없다.그래서 대부분의 경우 원타임 비밀번호가 보통의 비밀번호보다 비밀번호의 유출이나 도난에 대한 안전성이 높다.만일 비밀번호가 유출되어도 해당 비밀번호는 이미 이용할 수 없게 되므로 보안이 뚫리는 일이 없다. (돼왕 : MIMA(Man In the Middle Attack) 의 경우는 보안이 뚫릴 수 있지) -원타임 비밀번호 중에는 기술 사양이 표준화되어 있는 것도 있으며 오픈 소스의 인증 시스템에도 구.. 2019. 10. 18.
[도서 정리] 16. 바이오메트릭스 인증 - 보안의 기본 16. 바이오메트릭스 인증 - 보안의 기본 -바이오메트릭스 인증이란 비밀번호 인증과 같이 사용자가 임의로 정하는 정보가 아니라 생체가 갖고 있는 각종 특징을 인증에 사용하는 인증방식의 총칭이다.현재는 얼굴 인증이나 지문 인증, 망막 및 홍채 인증, 정맥인증 등이 사용되고 있다. * 바이오메트릭스 인증의 장단점 -바이오메트릭스 인증은 생체(인간)가 갖고 있는 각종 특징을 인증에 사용하므로 비밀번호 인증 등과 비교하여 위장이 매우 어렵다.또한 인증을 받기 위한 정보(ID 나 비밀번호)를 외우거나 인증 카드 등을 소지할 필요가 없기 때문에 인증을 받는 측의 부담도 줄어든다. -반면 바이오메트릭스 인증을 위한 장치는 비밀번호 인증 등에서 사용하는 시스템이나 장치와 비교하여 매우 비싸기 떄문에 도입에 상당한 비용.. 2019. 10. 17.
[도서 정리] 15. 비밀번호 - 보안의 기본 15. 비밀번호 - 보안의 기본 -시스템에 등록된 사용자를 인증하기 위한 정보이다.쉽게 추측할 수 있는 문자열이나 심플한 문자열로 만들면 악의를 가진 사람이 해독할 우려가 있으므로 주의해야 한다. * 비밀번호를 정할 때의 주의점 -복잡한 비밀번호란 주로 아래와 같은 요건을 만족한다. 영숫자의 대문자,소문자, 기호를 조합한다. 사전에 기재되어 있는 단어나 생일, 이름의 일부 등은 사용하지 않는다. 다른 서비스나 시스템에서 사용하는 비밀번호를 돌려서 사용하지 않는다. * 이용하는 서비스의 보안 레벨을 추측하는 방법 -이용하는 서비스의 보안 대책을 제대로 하고 있는지 추측하려면 비밀번호 재설정 시의 대응 방법을 보면 된다.예를 들어 비밀번호를 잊어버렸다고 알렸을 때 등록된 비밀번호를 평문으로 써서 메일을 보내.. 2019. 10. 16.
[도서 정리] 14. 하드닝(Hardening) - 보안의 기본 하드닝 -하드닝(Hardening)은 ‘경화’라는 뜻을 가진 영단어로, 보안과 관련해서는 ‘굳건하게 한다’라는 뜻으로 사용한다.보호해야 할 정보를 저장하고 있는 컴퓨터나 네트워크 등과 같은 환경이 굳건하게 해야 하는 대상이다.하드닝은 요새화라고 부르는 경우도 있다. 하드닝의 기본은 기본적이고 착실한 대책을 거듭하는 것 -하드닝의 기본은 기본적으로 착실한 대책을 거듭하는 것이다.크게 '외부에 공개하는 서비스의 국소화’, ‘작동하고 있는 것의 파악’, ‘불필요한 프로그램의 실행 정지’, ‘취약함을 수정하는 패치의 신속한 적용’, ‘보안 소프트웨어나 기기의 도입’, ‘OS 나 네트워크 기기 등은 한 군데뿐만 아니라 여러 곳에서 다중 방어를 한다’ 등과 같이 지극히 기본적인 것들로 되어 있지만, 한 번만 하면 .. 2019. 10. 15.
[도서 정리] 13. 해시(Hash) - 보안의 기본 13. 해시(Hash) - 보안의 기본 * 해시란? -해시(Hash)란 어떤 데이터에 대응하는 값을 구하기 위한 방법 중 하나이다.동일한 데이터로부터 생성된 해시 값은 항상 똑같으며, 원래 데이터가 조금이라도 다르면 생성되는 해시 값도 달라진다.이러한 성질을 이용하여 예를 들어 배포 중인 프리웨어의 압축 파일이 변조되지 않았다는 것을 나타낼 수 있다. * 해시 알고리즘 -해시 알고리즘은 해시 값을 계산하기 위한 절차이다.해시 알고리즘이 다르면 데이터는 동일해도 생성되는 해시 값은 달라진다.또한 예전부터 사용되던 해시 알고리즘 중에는 안전상 문제가 있기 때문에 이제는 사용을 권장하지 않는 것도 있다. * 해시 알고리즘의 안정성 -해시 알고리즘의 안전성은 ‘충돌(collision)’이라 부르는 공격에 얼마나.. 2019. 10. 14.
[도서 정리] 12. 암호 - 보안의 기본 12. 암호 - 보안의 기본 * 암호란? -암호는 어떤 데이터를 외부인은 간단히 읽을 수 없도록 하기 위한 수단 중 하나이다. -평문을 외부인만 읽을 수 없는 상태로 만드는 것을 암호화라고 하며, 암호화된 데이터를 원래의 누구나 읽을 수 있는 데이터로 되돌리는 것을 복호화라고 한다.암호화를 하려면 암호 알고리즘과 키가 필요하다.암호 알고리즘이란 암호의 구조를 말한다. * 공통키 암호화 공개키 암호 -암호에는 크게 공통키 암호(symmetric-key cryptography)와 공개키 암호(public-key cryptography)가 있다.공통키 암호에서는 데이터의 암호화와 복호화에 똑같은 키를 사용한다.공개키 암호에서는 데이터를 압호화할 때와 복호화할 때 서로 다른 키를 사용한다. * 암호는 반드시 풀.. 2019. 10. 13.
[도서 정리] 11. 인증과 인가 - 보안의 기본 11. 인증과 인가 - 보안의 기본 * 인증과 인가 - 비슷하지만 다른 두 개념 * 인증은 여러분이 누구인지를 확정시키는 것 -인증(Authentication)은 여러분이 누구인지를 시스템이 식별하는 것. * 인가는 여러분이 해도 되는 일을 체크하는 것 -인가(Authority)는 인증에 의해 식별된 여러분이 무엇을 해도 좋은지를 체크하는 것 * 인증된 누군가의 행동을 인가하는 것이 기본11. 인증과 인가 - 보안의 기본, Authentication, authentication vs authority, Authority, Authorization, 권한, 식별, 인가, 인증, 인증 vs 권한, 인증 vs 인가, 인증과 인가 2019. 10. 12.
반응형

티스토리툴바