본문 바로가기
[도서 정리] 18. 이중 인증 - 보안의 기본 18. 이중 인증 - 보안의 기본 -이중 인증이란 성질이 다른 두 종류의 정보를 조합하여 인증을 하는 인증 방식이다.예를 들어 비밀번호와 인증코드(시스템이 자동으로 생성하여 등록된 휴대전화나 메일로 송부하는 문자열)의 조합을 말한다. * 이중 인증의 장단점 -최대장점은 한 쪽 정보가 유출되어도 보안이 확보된다는 점에 있다.이중 인증에서 이용하는 두 종류의 정보는 성질이 달라 동시에 약쪽의 정보를 훔치는 것은 더 어렵게 된다. -이중 인증을 구현할 시스템에 비용을 들여 구축해야 한다는 단점이 있다.또한 등록 정보가 복잡해지거나 입력 항목이 늘어난다는 점에서 사용자의 부담도 늘어난다. * 이중 인증이 아닌 ‘자칭’ 이중 인증의 예 -공격자가 한 쪽의 정보를 입수한 후에 그 정보를 사용하여 또 다른 한 쪽의 .. 2019. 10. 19.
[도서 정리] 17. 원타임 비밀번호 - 보안의 기본 17. 원타임 비밀번호 - 보안의 기본 -원타임 비밀번호는 한 번만 사용 가능한 비밀번호이다.이용 가능한 비밀번호는 전용 기기나 소프트웨어로 자동 생성되고, 생성된 비밀번호는 한 번 이용되면 더 이상 사용할 수 없다. * 원타임 비밀번호의 장단점 -원타임 비밀번호에서는 이용자는 비밀번호를 돌려 사용할 수 없다.그래서 대부분의 경우 원타임 비밀번호가 보통의 비밀번호보다 비밀번호의 유출이나 도난에 대한 안전성이 높다.만일 비밀번호가 유출되어도 해당 비밀번호는 이미 이용할 수 없게 되므로 보안이 뚫리는 일이 없다. (돼왕 : MIMA(Man In the Middle Attack) 의 경우는 보안이 뚫릴 수 있지) -원타임 비밀번호 중에는 기술 사양이 표준화되어 있는 것도 있으며 오픈 소스의 인증 시스템에도 구.. 2019. 10. 18.
[도서 정리] 16. 바이오메트릭스 인증 - 보안의 기본 16. 바이오메트릭스 인증 - 보안의 기본 -바이오메트릭스 인증이란 비밀번호 인증과 같이 사용자가 임의로 정하는 정보가 아니라 생체가 갖고 있는 각종 특징을 인증에 사용하는 인증방식의 총칭이다.현재는 얼굴 인증이나 지문 인증, 망막 및 홍채 인증, 정맥인증 등이 사용되고 있다. * 바이오메트릭스 인증의 장단점 -바이오메트릭스 인증은 생체(인간)가 갖고 있는 각종 특징을 인증에 사용하므로 비밀번호 인증 등과 비교하여 위장이 매우 어렵다.또한 인증을 받기 위한 정보(ID 나 비밀번호)를 외우거나 인증 카드 등을 소지할 필요가 없기 때문에 인증을 받는 측의 부담도 줄어든다. -반면 바이오메트릭스 인증을 위한 장치는 비밀번호 인증 등에서 사용하는 시스템이나 장치와 비교하여 매우 비싸기 떄문에 도입에 상당한 비용.. 2019. 10. 17.
[도서 정리] 15. 비밀번호 - 보안의 기본 15. 비밀번호 - 보안의 기본 -시스템에 등록된 사용자를 인증하기 위한 정보이다.쉽게 추측할 수 있는 문자열이나 심플한 문자열로 만들면 악의를 가진 사람이 해독할 우려가 있으므로 주의해야 한다. * 비밀번호를 정할 때의 주의점 -복잡한 비밀번호란 주로 아래와 같은 요건을 만족한다. 영숫자의 대문자,소문자, 기호를 조합한다. 사전에 기재되어 있는 단어나 생일, 이름의 일부 등은 사용하지 않는다. 다른 서비스나 시스템에서 사용하는 비밀번호를 돌려서 사용하지 않는다. * 이용하는 서비스의 보안 레벨을 추측하는 방법 -이용하는 서비스의 보안 대책을 제대로 하고 있는지 추측하려면 비밀번호 재설정 시의 대응 방법을 보면 된다.예를 들어 비밀번호를 잊어버렸다고 알렸을 때 등록된 비밀번호를 평문으로 써서 메일을 보내.. 2019. 10. 16.
[도서 정리] 14. 하드닝(Hardening) - 보안의 기본 하드닝 -하드닝(Hardening)은 ‘경화’라는 뜻을 가진 영단어로, 보안과 관련해서는 ‘굳건하게 한다’라는 뜻으로 사용한다.보호해야 할 정보를 저장하고 있는 컴퓨터나 네트워크 등과 같은 환경이 굳건하게 해야 하는 대상이다.하드닝은 요새화라고 부르는 경우도 있다. 하드닝의 기본은 기본적이고 착실한 대책을 거듭하는 것 -하드닝의 기본은 기본적으로 착실한 대책을 거듭하는 것이다.크게 '외부에 공개하는 서비스의 국소화’, ‘작동하고 있는 것의 파악’, ‘불필요한 프로그램의 실행 정지’, ‘취약함을 수정하는 패치의 신속한 적용’, ‘보안 소프트웨어나 기기의 도입’, ‘OS 나 네트워크 기기 등은 한 군데뿐만 아니라 여러 곳에서 다중 방어를 한다’ 등과 같이 지극히 기본적인 것들로 되어 있지만, 한 번만 하면 .. 2019. 10. 15.
[도서 정리] 13. 해시(Hash) - 보안의 기본 13. 해시(Hash) - 보안의 기본 * 해시란? -해시(Hash)란 어떤 데이터에 대응하는 값을 구하기 위한 방법 중 하나이다.동일한 데이터로부터 생성된 해시 값은 항상 똑같으며, 원래 데이터가 조금이라도 다르면 생성되는 해시 값도 달라진다.이러한 성질을 이용하여 예를 들어 배포 중인 프리웨어의 압축 파일이 변조되지 않았다는 것을 나타낼 수 있다. * 해시 알고리즘 -해시 알고리즘은 해시 값을 계산하기 위한 절차이다.해시 알고리즘이 다르면 데이터는 동일해도 생성되는 해시 값은 달라진다.또한 예전부터 사용되던 해시 알고리즘 중에는 안전상 문제가 있기 때문에 이제는 사용을 권장하지 않는 것도 있다. * 해시 알고리즘의 안정성 -해시 알고리즘의 안전성은 ‘충돌(collision)’이라 부르는 공격에 얼마나.. 2019. 10. 14.
[도서 정리] 12. 암호 - 보안의 기본 12. 암호 - 보안의 기본 * 암호란? -암호는 어떤 데이터를 외부인은 간단히 읽을 수 없도록 하기 위한 수단 중 하나이다. -평문을 외부인만 읽을 수 없는 상태로 만드는 것을 암호화라고 하며, 암호화된 데이터를 원래의 누구나 읽을 수 있는 데이터로 되돌리는 것을 복호화라고 한다.암호화를 하려면 암호 알고리즘과 키가 필요하다.암호 알고리즘이란 암호의 구조를 말한다. * 공통키 암호화 공개키 암호 -암호에는 크게 공통키 암호(symmetric-key cryptography)와 공개키 암호(public-key cryptography)가 있다.공통키 암호에서는 데이터의 암호화와 복호화에 똑같은 키를 사용한다.공개키 암호에서는 데이터를 압호화할 때와 복호화할 때 서로 다른 키를 사용한다. * 암호는 반드시 풀.. 2019. 10. 13.
[도서 정리] 11. 인증과 인가 - 보안의 기본 11. 인증과 인가 - 보안의 기본 * 인증과 인가 - 비슷하지만 다른 두 개념 * 인증은 여러분이 누구인지를 확정시키는 것 -인증(Authentication)은 여러분이 누구인지를 시스템이 식별하는 것. * 인가는 여러분이 해도 되는 일을 체크하는 것 -인가(Authority)는 인증에 의해 식별된 여러분이 무엇을 해도 좋은지를 체크하는 것 * 인증된 누군가의 행동을 인가하는 것이 기본11. 인증과 인가 - 보안의 기본, Authentication, authentication vs authority, Authority, Authorization, 권한, 식별, 인가, 인증, 인증 vs 권한, 인증 vs 인가, 인증과 인가 2019. 10. 12.
[도서 정리] 10. 보안 사고 대응의 4단계 - 보안의 기본 10. 보안 사고 대응의 4단계 - 보안의 기본 -다양한 보안사고(인시던트)가 있지만, 사고 대응에는 크게 4개의 단계(phrase)가 있다.사고의 감지, 초동 대응, 복구, 그리고 사후 대응이다. * 감지 -감지란 실제로 공격에 의한 피해가 발생했다는 것을 여러 가지 단서로부터 검출하여 아는 것을 말한다.감지는 조직이 직접 수행하는 경우도 있는가 하면 외부로부터 보고나 정보를 제공받아 이를 계기로 수행하는 경우도 있다. -인시던트가 발생하기 않도록 하는 것을 ‘억제, 예방’ 이라고 하는데, 인시던트의 발생을 완전히 막는 것을 불가능하다.그래서 보안 대책에서는 인시던트 발생을 억제 및 예방하면서도, 만일에 발생한 경우는 발생부터 감지까지의 시간을 가능한 한 단축시켜, 초동 대응을 신속하게 처리하는 것이 .. 2019. 10. 11.
반응형

티스토리툴바