암호화 및 소프트웨어 보안 요약
2020 정보처리기사 실기 요약 - 운영체제
1. 디지털 저작권 관리 용어
콘텐츠 제공자 : 콘텐츠를 제공하는 저작권자
패키저 : 콘텐츠를 메타 데이터(데이터에 대한 속성정보)와 함께 배포 가능한 형태로 묶어 암호화 하는 프로그램
콘텐츠 분배자 : 암호화된 콘텐츠를 유통하는 곳이나 사람
콘텐츠 소비자 : 콘텐츠를 구매해서 사용하는 주체
DRM 컨트롤러 : 배포된 콘텐츠의 이용 권한을 통제하는 프로그램
보안 컨테이너 : 콘텐츠 원본을 안전하게 유통하기 위한 전자적 보안 장치
클리어링 하우스 : 저작권 관리에서 키관리 및 라이선스 발급 관리를 수행하는 것
DOI(Digital Object Identifier) : 디지털 저작물에 특정 번호를 부여하는 일종의 바코드 시스템
2. 디지털 저작권 관리의 기술 요소
암호화 : 콘텐츠 및 라이선스를 암호화하고 전자서명할 수 있는 기술
키관리 : 암호화한 키에 대한 저장 및 분배 기술
암호화 파일 생성 : 암호화된 콘텐츠로 생성
식별 기술 : 콘텐츠에 대한 식별 체계 표현 기술
저작권 표현 : 라이선스의 내용 표현 기술
정책 관리 : 라이선스 발급 및 사용에 대한 정책 표현 및 관리 기술
크랙 방지 : 크랙에 의한 콘텐츠 사용 방지 기술
인증 : 라이선스 발급 및 사용자 기준이 되는 기술
3. 암호 알고리즘
Stream 암호화 방식 : 평문과 동일한 길이의 스트림을 생성하여 비트 단위로 암호화 ex) LFSR, RC4
Block 암호화 방식 : 한 번에 하나의 데이터 블록을 암호화 ex) DES, SEED, AES, ARIA
Hash 단방향 암호화 방식 : 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변한하는 것 : SHA, MD5, N-NASH, SNEFRU
4. 암호화 종류
[Stream]
LFSR(Linear Feedback Shift Register) : 현재 상태의 선형 연산을 통해 다음 상태를 생성하는 레지스터, XOR함수를 사용함
RC4(Rivest Cipher 4) : 평문 1바이트와 암호키 1바이트가 XOR 처리 되어 암호문 1바이트를 생성. 옥텟 단위 기반. 로널드 라이베스트가 제작. 전송보안계층(TLS/SSL)이나 WEB 등의 여러 프로토콜에 사용
[Block]
DES : 미국 NBS에서 발표한 개인키 암호화 알고리즘. 블록크기는 64비트이며 키길이는 56비트. 비공개키 알고리즘.
SEED : 한국인터넷진흥원(KISA)에서 개발한 블록 암호화 알고리즘. 블록 크기 128비트이며, 키 길이에 따라 128, 256으로 분류
AES : 미국 표준 기술 연구소(NIST)에서 발표한 개인키 암호화 알고리즘. 블록크기는 128비트이며, 키 길이에 따라 128, 192, 256으로 분류
ARIA : 국가 정보원과 산학연협회가 개발한 블록 암호화 알고리즘. 학계, 연구기관, 정부의 영문 앞글자로 구성되었으며 블록 크기는 128비트, 키 길이에 따라 128, 192, 256으로 분류
RSA : MIT의 라이베스트, 샤미르, 애들먼에 의해 제안된 공개키 암호화 알고리즘. 큰 숫자를 소인수 분해하기 어렵다는 것에 기반해 만들어짐.
[Hash]
SHA(Secure Hash Algorithm) : 미국 국가 안보국(NSA)이 1993년 처음으로 설계 했으며, 미국 국가 표준으로 지정된 해시 암호화 알고리즘
MD5(Message-Digest algorithm 5) : 128비트 암호화 해시 함수로, RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다. 1991년에 로널드 라이베스트가 예전에 쓰이던 MD4를 대체하기 위해 고안함.
HAS-160 : 국내 표준 전자서명 알고리즘인 KCDSA에 사용되는 160비트 암호학적 해시 함수로 SHA-1과 비슷한 구조를 가지고 있음.
소프트웨어 개발 보안 3대 요소[기무가]
기밀성 : 인가되지 않은 사용자와 애플리케이션의 접근에 따른 정보 노출 차단
무결성 : 완전성, 일관성. 데이터 훼손 및 파손이 되지 않아야 함.
가용성 : 지속적인 서비스 유지
5. 서비스 거부 공격 유형
Ping of Death : Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위(65,536 바이트) 이상으로 전송해 공격 대상의 네트워크를 마비 시킴
Smurfing(스머핑) : IP나 ICMP의 특성을 악용해 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로 네트워크 상태를 불능으로 만듬. ICMP Echo 패킷을 직접 브로드 캐스팅, 바운스 사이트라는 제 3의 사이트를 이용함.
SYN Flooding : TCP는 신뢰성 있는 전송을 위해 3-way-handshake를 거친 후에 데이터를 전송하는데, SYN Flooding은 공격자가 가상의 클라이언트로 위장해 3-way-handshake 과정을 의도적으로 중단시킴으로 공격 대상지인 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 만듬
TearDrop : 데이터의 송수신 과정에서 패킷의 크기가 커 여러 개로 분할되어 전송될 때, 분할 순서를 알 수 있도록 Fragment Offset 값을 함께 전송하는데, TearDrop은 이 Offset값을 변경시켜 수신 측에서 패킷을 재조합할 때 오류로 인한 과부하를 초래함
Land Attack : 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 공격대상에게 전송하는 것. 공격 대상은 송신 측이 자신이기 때문에 자신에게 무한히 응답하게 된다.
DDos : 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것으로, 네트워크에서 취약점이 있는 호스트들을 탐색한 후 이들 호스트에 분산 서비스 공격용 툴을 설치해 에이전트로 만든 후 DDoS 공격에 이용함
6. 네트워크 침해 공격 관련 용어
스미싱 : 각종 행사 안내 등 문자 메시지를 이용해 사용자의 개인 신용 정보를 빼내는 수법
스피어 피싱 : 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송해 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 개인정보 탈취
APT(지능형 지속 위협) : 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화하고 정보를 수집한 다음 외부로 빼돌리는 공격
무작위 대입 공격(Brute Force Attack) 암호화된 문서의 암호키를 찾아내기 위해 적용가능한 모든 값을 대입해 공격하는 방식
SQL 삽입 공격 : 전문 스캐너 프로그램 혹 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이터베이스 등의 데이터를 조작하는 공격 방식
크로스사이트 스크립팅(XSS) : 웹페이지에 악의적인 스크립트를 삽입해 방문자들의 정보를 탈취하거나 비정상적인 기능 수행을 유발하는 공격
7. 정보 보안 침해 공격 관련 요소
좀비 PC : 악성 코드에 감염되 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터. C&C(Command & Control) 서버의 제어를 받아 DDoS공격에 이용됨
C&C 서버 : 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버
봇넷 : 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
웜 : 네트워크를 연속적으로 자신을 복제해 시스템의 부하를 높임으로 결국 시스템을 다운 시키는 바이러스의 일종.
제로 데이 공격 : 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기도 전에 해당 취약점을 통해 이루어지는 보안 공격으로 공격의 신속성을 의미
키로거 공격 : 컴퓨터 사용자의 키보드 움직임을 탐지해 ID, 패스워드 같은 개인정보를 빼가는 해킹 공격
백도어 : 시스템 설계자가 서비스 기술자나 유지보수 프로그램 작성자의 액세스 편의를 위해 시스템 보안을 제거해 만들어 놓은 비밀 통로
- 백도어 탐지 방법 : 무결성 검사, 로그 분석, SetUID 파일 검사
트로이 목마 : 정상적인 기능을 하는 프로그램으로 위장해 프로그램 내에 숨어 있다가 해당프로그램이 동작할때 활성화 되어 부작용을 일으키는 것. 자기 복제 능력은 없음.
8. 그외 보안 관련
데이터 유출 방지(DLP) : 내부 정보의 외부 유출을 방지하는 보안 솔루션으로 사내 직원이 이용하는 PC와 네트워크 상의 모든 정보를 검색하고 사용자의 행위를 탐지, 통제해 사전 유출 방지함.
침입 방지 시스템(IPS) : 방화벽과 침입 탐지 시스템을 결합한 것으로, 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등의 방어 조치를 취하는 보안 솔루션
일방향 암호화 : 암호화 수행을 하지만 절대로 복호화가 불가능한 알고리즘
솔트(Salt) : 일방향 해시함수에서 다이제스트를 생성할 경우 추가되는 임의의 문자열
세션 하이재킹 : 세션을 가로채서 정상적인 인증 절차를 무시하고 불법적으로 시스템을 접속하는 것.
tripwire : 크래커가 침입해 백도어를 만들어 놓거나 설정 파일을 변경했을때 분석하는 도구
Secure DB : 커널 암호화 방식으로 데이터베이스 파일을 직접 암호화 하고, 접근 제어와 감사 기록이 추가된 데이터베이스 보안 강화 기술
Seven Touchpoints : 실무적으로 검증된 개발 보안 방법론 중 하나로 SW 보안의 모범 사례를 SDLC에 통합한 소프트웨어 개발 보안 주기 방법론
코드 난독화 : 역공학을 통한 공격을 막기 위해 프로그램 소스를 알아보기 힘든 코드로 바꾸는 기술
CWE(Common Weakness Enumeration) : 소프트웨어 취약점 및 취약점에 대한 범주 시스템으로, 소프트웨어의 결함을 이해하고 이러한 결함을 식별·수정 및 방지하는데 사용할 수 있는 자동화된 도구를 작성하는 시스템
9. CLASP(Comprehensive, Lightweight Application Security Process)
개념 관점, 역할기반 관점, 활동평가 관점, 활동구현 관점, 취약성 관점 등의 활동중심, 역할 기반의 프로세스로 구성된 집합체로서 이미 운영중인 시스템에 적용하기 적당한 소프트웨어 개발 보안 방법론
10. 각종 재해 관련
BCP(Business Continuity Planning) : BCP는 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계이다.
RTO(Recovery Time Objective) : RTO는 업무중단 시점부터 업무가 복구되어 다시 가동 될 때까지의 시간이다. 재해 시 복구 목표 시간의 선정
RPO(Recovery Point Objective) : RPO는 업무중단 시점부터 데이터가 복구되어 다시 정상가동 될 때 데이터의 손실 허용 시점이다. 재해 시 복구 목표 지점의 선정
BIA(Business Impact Analysis) : BIA는 장애나 재해로 인해 운영상의 주요 손실을 입을 것을 가정하여 시간흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석이다.
DRS(Disaster Recovery System) : DRS는 재해복구계획의 원활한 수행을 지원하기 위하여 평상시에 확보하여 두는 인적,물적 자원 및 이들에 대한 지속적인 관리체계가 통합된 재해 복구 센터이다.
'2020 정보처리기사 실기 > 실기요약' 카테고리의 다른 글
| 2020 정보처리기사 실기 요약 - 요구사항 설계 및 개발 프로세스 (0) | 2020.11.27 |
|---|---|
| 2020 정보처리기사 실기 요약 - 애플리케이션 테스트 (0) | 2020.11.27 |
| 2020 정보처리기사 실기 요약 - 사용자 인터페이스 설계 요약 (0) | 2020.11.27 |
| 2020 정보처리기사 실기 요약 - 프로토콜 네트워크 요약 (0) | 2020.11.27 |
| 2020 정보처리기사 실기 요약 - 운영체제 (0) | 2020.11.26 |