I. 공개키 기반 구조, PKI 가. PKI(Public Key Interface)의 개념 인증 기관의 전자 서명된 인증서 분배를 통해 공중망 상호인증 기반 전자 거래 인터페이스 나. PKI의 목적 목적 요소 기술 주요 내용 인증 Certificate, X.509 – 사용자 확인, 검증 기밀성 AES, SEED, 3DES – 송수신 정보 암호화 무결성 SHA, MD5 – 송수신 정보 위/변조 방지 부인봉쇄
I. 가변 길이 메시지를 고정 길이 암호화, 해시 함수 가. 해시 함수의 개념 해시는 키 값에서 레코드가 저장되어 있는 주소를 직접 계산 후 산출된 주소로 바로 접근 가능하게 하는 방법 (자료구조) 하나의 문자열을 원래의 것을 상징하는 고정된 길이의 값이나 키로 변환하는 방식 (암호화 정의) 나. 해시 함수의 구성 원칙 구성 원칙 설명 압축성 (Compression) 다양한
I. CVE와 CWE 개념 CVE (Common Vulnerabilities and Exposure) CWE (Common Weakness Enumeration) 발견된 보안 취약점을 분석하여 체계적으로 정리한 보안 취약점 고유 번호 CVE를 관리하는 MITRE 프로젝트로 주요 취약점, 보안 문제 정리 프로젝트 – CVE 표기방식: CVE + 취약점 발견 년도 + 취약점 고유번호 II. CVE와 CWE 세부 비교 항목 CVE CWE 목적 – 취약점
I. 정보 자산의 보안인증, ISMS – 정보통신망 안전성 확보를 위하여 수립/운영하고 있는 기술적, 물리적 보호 조치 등 종합 관리체계에 대한 인증 제도 II. ISMS 인증체계와 심사종류 가. ISMS 인증체계 나. ISMS 심사종류 심사종류 인증기간 설명 최초심사 최초인증 정보보호관리체계 인증 취득 위한 최초 심사 사후심사 1년 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사 갱신심사 3년 유효기간(3년)
I. 국가 간 평가결과 상호 인증, CC (Common Criteria) 가. CC(Common Criteria) 인증의 개념 국가마다 상이한 평가 기준을 연동시키고, 평가결과를 상호 인증하기 위해 제정된 국제 평가기준 ISO/IEC 15408 국제 표준 나. CC인증 구성 체계 구분 구성 체계 설명 Part 1 CC 소개/일반 모델 – 구성요소, 활용방법(PP, ST) Part 2 보안기능 요구사항 – 보안 기능 평가
I. SW 개발 보안, Secure Coding 가. Secure Coding의 개념 협의 개념 소프트웨어 보안성 강화를 위해 개발 중 소스코드 구현 단계에서 보안 취약점을 배제하기 위한 개발 방법 광의 개념 소프트웨어 보안성 강화를 위해 개발 생명주기(SDLC) 상의 단계별로 요구되는 모든 보안활동 나. Secure Coding의 목적 사이버 공격 예방 – 사이버 공격의 대다수가 응용 프로그램의 취약점을 악용하여
I. XSS와 CSRF의 개념 XSS CSRF 웹사이트에 악의적 스크립트 삽입하여 쿠키 및 기타 개인정보를 특정 사이트로 유출하는 해킹 기법 로그인된 사용자가 자신의 의미와 무관하게 공격자가 의도한 행위(수정, 삭제 등)를 하게 하는 해킹 기법 II. XSS와 CSRF 구성도 및 세부 비교 가. XSS와 CSRF의 구성도 XSS CSRF 나. XSS와 CSRF 항목 별 비교 항목 XSS
I. 공격자 의도 행위 수행 기법, CSRF 가. CSRF(Cross Site Request Forgery)의 개념 로그인 된 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위 수행 해킹 기법 나. CSRF의 특징 XSS와 함께 웹 환경에서 가장 효과적인 공격 방법 정상 사용자를 통해 이루어지므로 공격자의 IP 추적 불가능 세션 라이딩, 원클릭 공격, 크로스 사이트 참조와 동일 II. CSRF
I. 웹사이트 취약점을 이용한 해킹 공격, XSS 웹 페이지나 메일 등에 악성 Script를 삽입하여 Script를 실행하는 컴퓨터의 정보를 탈취하는 해킹 기법 II. XSS의 3가지 공격 유형 가. Stored XSS 공격 개념도 – 웹 서버에 악성 스크립트를 영구적으로 저장 – 사용자가 웹 페이지의 링크를 클릭하면 Script가 실행 공격 순서 ① 악성 스크립트 삽입 ② 웹사이트
I. 콘텐츠 무해화 기술, CDR 개념 외부에서 유입된 파일 내용 검사 및 악성코드 제거하여 안전한 요소만 재구성하는 기술 필요성 – 문서, 영상 파일 내 악성코드 위협 증가 – 내부 유입되는 파일 내 콘텐츠 검사 필요 II. CDR 기반 무해화 절차 및 대응 체계 가. CDR 기술 기반 무해화 절차 – 최근 다양한 공격기법(매크로, 자바스크립트,