기말고사
웹 브라우저(World Wide Web)는 웹페이지를 편리하게 이용할 수 있는 소프트웨어다.
웹 브라우저는 인터넷 탐색 속도의 향상과 동영상 품질 보장 등을 위해 사용자가 접속하는 웹페이지의 모든 자료를 사용자의 하드디스크에 저장한다.
쿠키란 사용자가 특정 홈페이지를 접속할 때 생성되는 정보를 담은 임시파일이다. 웹 서버가 자신이 방문했던 사용자 정보를 잊지 않기 위하여 컴퓨터에 저장해놓는 4KB 이하의 작은 파일이다.
쿠키의 내용은 보통 사용자 로그온 정보, 웹페이지의 방문 기록, 방문 경로 등의 정보를 담고 있다. 다양한 정보들이 쿠키에 담겨 웹서버로 전송될 수 있기 때문에 개인의 사생활을 침해할 소지가 있으며 보안문제를 유발하기도 한다.
쿠키 차단 레벨
'제한'의 의미는 인터넷 익스플로러에서 사이트가 영구 쿠키를 설정하지 못하게 하며, 임시 쿠키만 가능하다.
'압축 개인 정보 보호 정책'이란 쿠키에 의해 보내지거나 브라우저에 의해 읽힐 수 있는 단축 형태의 개인정보보호정책을 의미한다.
'암시적 동의'는 사이트에서 확인 가능한 개인 정보를 사용할 수 있게 허용하는 단계를 거치지 않았음을 의미한다.
'명시적 동의'는 사이트에서 확인 가능한 개인 정보를 사용할 수 있게 허용하는 단계를 거쳤음을 의미한다.
인터넷 익스플로러에서는 InPrivate 브라우징, 크롬은 시크릿 모드 기능을 제공한다.
이 두가지의 기능들은 사용자가 웹 서핑을 하는 동안 생길 수 있는 쿠키, 임시 인터넷 파일, 검색 기록과 같은 사용자의 흔적들을 브라우저 종료와 함께 자동으로 모두 삭제한다.
자바 애플릿 JVM(Java Virtual Machine)이라는 가상 머신을 이용하여 웹 브라우저에서 수행되는 자바 바이트코드이다.
바이트코드는 인터프리터를 통해 어느 플랫폼에서나 수행될 수 있는 명령어들의 집합이므로 웹 브라우저의 종류에 영향을 받지 않는다.
웹 사이트에 접속하였다는 것은 아래 경로들이 모두 접속되어있음을 의미한다.
- 자신의 pc
- 자신이 인터넷에 접속할 때 사용하는 라우터
- 자신이 계약한 인터넷 서비스 제공 사업자
- 웹 서버와 인터넷을 연결하는 인터넷 서비스 제공 사업자
- 웹 사이트가 설치된 웹 서버
- 이용자가 직전에 열람했던 웹사이트의 URL
프록시 서버는 인터넷 접속을 빠르고 안전하게 하기 위해, 유해한 사이트로 접속하는 것을 차단하는 데에 사용한다.
봇넷이란 사용자가 눈치채지 못한 채 탈취된 컴퓨터의 모임이다.
봇넷으로 활용한 공격의 경우 공격이 임의의 컴퓨터로 이루어지고 공격자가 직접 공격하는 것이 아니기 때문에 범인을 추적하기 어렵다. 다수의 컴퓨터를 동시에 동작시켜 대규모의 공격이 가능하다.
- BFA (Brute Force Attack)
공격 대상 ID를 정하여 가능한 모든 문자열을 하나하나 시도해보는 공격방식
- 사전 공격
공격 대상 ID를 정해놓고 미리 준비한 파일에 있는 비밀번호를 시험하는 공격방식
- RBFA (Reverse Brute Force Attack)
비밀번호를 정해놓고 ID를 바꿔가며 시험해보는 공격 (불특정 다수를 공격)
- 비밀번호 리스트 공격
다른 웹사이트 등으로부터 유출된 ID나 비밀번호를 시험하는 공격
- 클릭재킹 공격 (Clickjacking)
버튼이나 링크를 클릭하면 다른 동작을 하도록 만드는 공격
ex) 아마존 웹서비스, 드롭박스, G-Mail, Office 365
클라우드란 이전에는 이용자의 컴퓨터에서 직접 이용하던 데이터나 소프트웨어를 네트워크를 경유해 서비스로 제공하는 것이다.
클라우드 사용으로 인해 자원 낭비, 유지비용을 줄이고 리스크를 분산할 수 있다.
그러나 네트워크에 대한 공격의 가능성이 있으며 방화벽을 경유하지 않아 보안관리가 곤란하다.
이러한 클라우드의 위험에 대비하기 위해 사업자는 SLA(Service Level Agreement) 등을 서비스 개시 전에 제시해야하며 보안 관리 대책, 서비스 내용 개정 등에 대해 정기적 보고서를 제출해야 한다.
- 복수의 서비스 연계
복수의 서비스 조합한 형태의 서비스 제공하는 경우 늘어난다.
API를 호출하고 처리결과를 XML로 받는다. 이용자 측에서 결과를 가공하거나 표시 형식을 바꾸는 등의 처리가 가능해진다.
- 싱글 사인온에 의한 인증
한 번의 인증으로 복수의 OS나 어플리케이션 등에 접근할 수 있는 기능
-
싱글 사인온 구현 방법
- OpenID
이용자 신원을 URL 형식으로 표현 해당 URL의 소유자임을 증명함으로써 여러 웹 서비스에 로그인 가능
- OAuth
웹 서비스 별로 이용자의 정보에 대한 접근 권한 부여 '토큰' 활용
- SAML
사내 시스템 인증 정보 등을 다른 도메인에서도 이용할 수 있도록 한다.
Windows Defender 관리
상용프로그램
- 돈 주고 사서 쓰는 프로그램
프리웨어
- 돈을 안내고 쓸 수 있는 프로그램 (but 광고가 붙는다)
기존의 정보 보호 서비스
데이터의 비밀성, 무결성 및 인증, 부인방지가 중요한 정보 보호의 이슈다.
유비쿼터스 컴퓨팅 환경에서의 서비스
사람과 기계, 기계와 기계, 사물과 사물 간으로 그 대상이 확장
KISA
- 개인을 노리는 공격
스미싱 사기 피해
MITB 수법으로 공격이 더 고도화되었다.
- 기업을 노리는 공격
-
소프트웨어의 보안 취약점
-
보안 패치 적용 미비
-
가짜 웹사이트 피해
21세기 들어 금전 목적으로 변화
개인 정보가 돈이 된다는 인식
- 악성코드
- DOS OR DDOS
- 피싱
- 파밍
- 스패밍
- 스캠
- 스미싱
- 지능형 지속가능위협(APT)
랜섬웨어란 PC의 하드 디스크를 암호화하여 읽을 수 없도록하고 돈을 송금해야 원상 복귀 시켜주는 악성코드의 한 부류이다.
pc가 아닌 스마트폰의 문자를 통해 이루어지는 피싱 공격이다.
파밍은 사용자가 제대로 url을 입력해도 피싱사이트로 연결시킬 수 있는 공격이다.
컴퓨터 소프트웨어나 하드웨어의 취약점 등을 이용하여 공격자가 원하는 악의적 동작을 하도록 하는 공격 방법이다.
- 어나니머스
- 룰즈섹
- 글로벌 케이오스
- 밀웜
- Derp
- CWA
- CCC
- 110호 연구소
- Bureau 121
- 유니콘
- 쿠스와 플러스
- 해커스 랩
- 와우해커
- 널루트
- 쿠시스
- 데프콘
- 코드게이트
- 시큐인사이드
-
CSIRT : 기업들에서 웝인 분석과 영향 범위 파악 작업을 전문으로 하는 부서를 설치
-
CERT
-
KrCERT/CC
-
APCERT
Q. 부정 송금의 피해를 입지 않기 위한 대책으로 확실한 것은?
A. 거래 인증을 사용하기
Q. 소프트웨어의 취약점에 대해 올바른 것은?
A. 모든 기업들이 보안 패치를 적용하고 있다고 단정할 수 없음
암호란 사용자로부터 시스템이나 데이터 파일을 이용할 수 있는 권리를 확인하기 위하여 쓰는 비밀 부호다.
-
도청에 대비
- 서버에 있는 데이터를 허락없이 열람하거나 훔쳐보는 것 등을 방지
-
변조에 대비
- 디지털 데이터는 수정이 쉬워 변조에 의한 피해에 대비하여야 함
-
암호의 종류
- 키고전 암호: 치환 암호, 이동 암호 등
- 현대 암호: 공통 키 암호, 공개 키 암호, 해시
-
키
- 같은 암호화 수법이라도 암호화에 사용하는 키를 달리하여 다른 암호문 생성 가능
자물쇠를 잠글 때 사용하는 키를 '암호화 키', 자물쇠를 열 때 사용하는 키를 '복호화 키'라 한다.
최초의 암호 - 스키테일 암호
암호 알고리즘: 스키테일에 종이를 감아 가로로 편지를 쓴 다음 종이를 푼다는 것
복호 알고리즘: 받은 편지를 스키테일에 종이를 감아 가로로 읽는다는 것
키: 스키테일의 굵기
최초의 암호 - 시저의 암호
치환암호는 메시지에 사용한 문자의 위치를 바꾸는 것이 아니라 메시지의 각 문자들을 다른 문자로 바꾸는 암호를 말한다.
시저암호는 대표적인 치환암호다.
암호 알고리즘: 글자를 오른쪽으로 옮겨 쓴다.
복호 알고리즘: 글자를 왼쪽으로 옮겨 쓴다.
키: 3
최초의 암호 - 비즈네르 암호
암호 알고리즘: 키 단어의 문자와 평문의 문자를 더하여 만든다.
복호 알고리즘: 키 단어를 반복해서 쓴 후 빼기를 수행한다.
키: 키 단어
- 빈도분석
단일 치환의 경우
암호를 해독하기 위한 방법으로 평문에 등장하는 문자의 빈도와 암호문에 나오는 문자의 빈도를 일치시켜서 암호문을 해독한다.
전설적인 여첩보원 마타하리의 악보 암호
회전자는 키보드 알파벳 26자와 디스플레이를 위한 램프보드의 알파벳 26자를 연결하는 원통형 연결배선이다.
이니그마는 기본적으로 고대부터 전해져오던 각 문자를 다른 문자로 치환하는 암호화 방식이다. 그러나 회전자 암호화 장치를 이용하여 같은 자판을 계속 쳐도 매번 다른 램프가 켜지도록 복잡하게 만들었다.
독일의 이니그마 암호문을 해독하기 위해 튜링의 아이디어를 바탕으로 콜로수스가 만들어진다. ('이미테이션 게임'은 이러한 사실을 기반으로 만든 영화다.)
대칭형 암호방식
- 공통 키 암호
암호화와 복호에 동일한 키 사용, 부하가 작아 고속으로 처리할 수 있다, 키가 유출되면 누구나 복호할 수 있기에 키 관리의 부담
DES에서 사용되는 키는 56비트이다. 1997년 AES라는 128비트의 키 길이를 가지며 그 길이도 변경이 가능하고 앞으로 30년 정도 안전하게 사용할 수 있으며 다양한 키 길이를 지원한다는 조건으로 새로운 암호 알고리즘이 나왔고 이는 최종 AES 알고리즘으로 선정되었다.
키 개수: (N*(N-1)/2)
비대칭형 암호방식
- 공개 키 암호
비대칭암호, 암호화와 복호에 서로 쌍을 이루는 각기 다른 키 사용, 이 중 하나는 공개 키로서 제 3자에게 공개하여도 피해없다. (본인임을 증명하는데 사용)
비대칭 암호화 방식에서 암호화 키는 '공개키', 복호화 키는 '개인키(비밀키)'라 부른다.
- RSA 암호
비대칭형 암호 방식보다 대칭형 암호 방식을 이용하는 이유는 속도이다.
두 장점만을 조합하여 하이브리드 암호화 방식을 만들었다.
- 스테가노그라피
비밀정보를 기존의 이미지나 음악 파일 등에 숨겨서 전송하는 정보은닉 기술이다. (OpenStego)
- 워터 마킹
Q. 암호를 사용하는 목적으로 바르지 않은 것은?
A. 발송한 내용을 도중에 수정할 수 없도록 한다.
Q. SSL과 비교해 IPsec을 사용하는 장점은?
A. 애플리케이션에 상관없이 암호화 통신이 가능하다.
Q. 무선랜의 암호화에 대해 바르게 설명한 것은?
A. WPA2로 암호화된 무선랜이라도 바이러스에 감염될 가능성이 있다.
Q. 전자인증서를 사용한 인증방식은?
A. 클라이언트 인증
-
스마트폰이 느려짐
-
(원하지 않는) 광고 팝업 등이 표시됨
-
먹통이 되는 현상
-
배터리 사용이 현저히 증가
-
앱과 스마트폰이 계속 충돌 -> 애플의 경우 앱스토어 등록된 앱은 크게 문제 없으나 주의 필요, 필요 시 공장 초기화 (백업 필요)
- 소셜 엔지니어링
해커가 가장 쉽게 장치에 침투하는 방법은 사용자 스스로 문을 열게 하는 것
Sandbox로 모바일 기기는 pc에 비해 안전, 권한 상승을 위한 승인 요청이 필요 -> 접근 승인을 요청하는 메세지가 너무 많아 다수의 사용자가 이를 무시하고 승인.
ex) 손전등 앱
- 악성 광고
"사용자가 광고를 클릭하게 만드는 것이 목적" 딥 인스팅트 (Deep Instinct) 사이버보안 홍보 책임자 척 에베렛
두라크라는 게임은 안드로이드 스마트폰 사용자가 보안 기능을 끄고 다른 악성 애플리케이션을 설치하게 만드는 수법이다. 이는 구글 플레이 스토어 앱이다 ..
- 스미싱
링크를 사람들이 누르도록 메세지를 전송한다. 잘 속는 사람과 그렇지 않은 사람 모두를 낚을 수 있다.
모바일 브라우저의 '제로데이 취약점 (백신이 없는. 아무도 해결방법을 모르는)'을 악용하는 해커들이 링크 클릭을 유도해 사용자 동의가 없어도 악성 파일을 휴대전화 안에 심을 수 있다.
- 맬웨어
사용자에게 버튼 클릭을 유도해 스마트폰의 보안 장벽을 낮추게 하는 속임수가 통하지 않는다면 기기 제조사의 제한을 해제하는 '탈옥' 또는 '루팅'을 통해 스마트폰 보안 장벽을 일부러 낮춰 놓는 사람이 유일한 타깃이 된다.
해커들은 사용자가 맬웨어를 다운로드 하도록 유도하기 위해 무료 VPN처럼 사용자들의 관심을 끌 만한 애플리케이션을 만든다.
- 프리텍스팅
프리텍스팅은 공격자가 피해자의 개인 정보를 짜집기한 내용으로 사칭하는 수법이다.
- 블루투스를 통한 침투
무선 네트워크에 침투하는 것이다.
- 중간자 와이파이 공격
중간자 와이파이 공격 역시 잠재적인 무선 공격 기법으로 공공 와이파이 연결을 통해 스마트폰에 침투한다.
- 크립토재킹 = 암호화폐와 납치
타인의 스마트폰을 감염시켜 컴퓨팅을 활용하는 방법이다.
- 모바일 랜섬웨어
주로 악성코드가 담긴 url을 클릭해서 악성코드가 핸드폰 내로 침투되거나 허가받지 않은 앱을 설치하지 않았을 때 감염된다.
- 크리덴셜 스터핑을 통한 계정 및 개인정보 탈취
자신이 누른 것이 아닌데 화면이 움직이면서 무엇인가 작동된다면 RAT(Remote Access Trojan)인한 원격 제어의 가능성을 의심해야 한다.
보낸 적이 없는 문자, 전화 기록이 있거나 내가 찍지 않은 사진이 있다면 의심해야 한다. -> 핸드폰의 통신을 차단하기 위해 먼저 비행기모드로 바꾸고 초기화하거나 휴대폰 제조사와 통신사 고객센터에 문의해 도움을 요청한다.
반드시 앱스토어에서 인증된 앱만 설치하기
스마트폰 운영체제를 항상 최신 상태로 유지하기
모바일 백신을 설치하고 자주 검사하며 불필요한 파일들을 정리 및 청소하기
스마트폰 계정의 2단계 인증 설정하기
랜섬웨어 복구를 위해 상시에 핸드폰 백업 해놓기