1. 공개키 기반 구조, PKI (1) PKI (Public Key Interface)의 개념 인증 기관의 전자서명된 인증서 분배를 통해 공중망 상호인증 기반 전자 거래 인터페이스 (2) PKI의 목적 목적 요소 기술 주요 내용 인증 Certificate, X.509 – 사용자 확인, 검증 기밀성 AES, SEED, 3DES – 송수신 정보 암호화 무결성 SHA, MD5 – 송수신 정보 위/변조 방지 부인봉쇄
1. 가변 길이 메시지를 고정 길이 암호화, 암호학적 해시 함수 (1) 암호학적 해시 함수의 개념 해시는 키 값에서 레코드가 저장되어 있는 주소를 직접 계산 후 산출된 주소로 바로 접근 가능하게 하는 방법 (자료구조) 하나의 문자열을 원래의 것을 상징하는 고정된 길이의 값이나 키로 변환하는 방식 (암호화 정의) (2) 암호학적 해시 함수의 구성 원칙 구성 원칙 설명
1. CVE와 CWE 개념 CVE (Common Vulnerabilities and Exposure) CWE (Common Weakness Enumeration) 발견된 보안 취약점을 분석하여 체계적으로 정리한 보안 취약점 고유 번호 CVE를 관리하는 MITRE 프로젝트로 주요 취약점, 보안 문제 정리 프로젝트 CVE 표기방식: CVE + 취약점 발견 년도 + 취약점 고유번호 2. CVE와 CWE 세부 비교 항목 CVE CWE 목적 – 취약점 사전,
1. 정보 자산의 보안인증, ISMS 정보통신망 안전성 확보를 위하여 수립/운영하고 있는 기술적, 물리적 보호 조치 등 종합 관리체계에 대한 인증 제도 2. ISMS 인증체계와 심사종류 (1) ISMS 인증체계 (2) ISMS 심사종류 심사종류 인증기간 설명 최초심사 최초인증 정보보호관리체계 인증 취득 위한 최초 심사 사후심사 1년 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사 갱신심사 3년 유효기간(3년) 만료일
1. 국가 간 평가결과 상호 인증, CC (Common Criteria) (1) CC(Common Criteria) 인증의 개념 국가마다 상이한 평가 기준을 연동시키고, 평가결과를 상호 인증하기 위해 제정된 국제 평가기준 ISO/IEC 15408 국제 표준 (2) CC 인증 구성 체계 구분 구성 체계 설명 Part 1 CC 소개/일반 모델 – 구성요소, 활용방법(PP, ST) Part 2 보안기능 요구사항 – 보안 기능
1. SW 개발 보안, 시큐어코딩 (Secure Coding) (1) 시큐어코딩의 개념 협의 개념 소프트웨어 보안성 강화를 위해 개발 중 소스코드 구현 단계에서 보안 취약점을 해소하기 위한 개발 방법 광의 개념 소프트웨어 보안성 강화를 위해 개발 생명주기(SDLC) 상의 단계별로 요구되는 모든 보안활동 (2) 시큐어코딩의 목적 사이버 공격 예방 – 사이버 공격의 대다수가 응용 프로그램의 취약점을 악용하여 정보를
I. XSS와 CSRF의 개념 XSS CSRF 웹사이트에 악의적 스크립트 삽입하여 쿠키 및 기타 개인정보를 특정 사이트로 유출하는 해킹 기법 로그인된 사용자가 자신의 의미와 무관하게 공격자가 의도한 행위(수정, 삭제 등)를 하게 하는 해킹 기법 II. XSS와 CSRF 구성도 및 세부 비교 가. XSS와 CSRF의 구성도 XSS CSRF 나. XSS와 CSRF 항목 별 비교 항목 XSS
1. 공격자 의도 행위 수행 기법, CSRF (1) CSRF(Cross Site Request Forgery)의 개념 로그인 된 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위 수행 해킹 기법 (2) CSRF의 특징 XSS와 함께 웹 환경에서 가장 효과적인 공격 방법 정상 사용자를 통해 이루어지므로 공격자의 IP 추적 불가능 세션 라이딩, 원클릭 공격, 크로스 사이트 참조와 동일 2. CSRF의
1. 웹사이트 취약점을 이용한 해킹 공격, XSS XSS : Cross Site Scripting 웹 페이지나 메일 등에 악성 Script를 삽입하여 Script를 실행하는 컴퓨터의 정보를 탈취하는 해킹 기법 2. XSS 3가지 공격 유형 (1) Stored XSS의 공격 방식 개념도 – 웹 서버에 악성 스크립트를 영구적으로 저장 – 사용자가 웹 페이지의 링크를 클릭하면 Script가 실행 공격 순서
1. 콘텐츠 무해화 기술, CDR의 개요 CDR: Contents Disarm & Reconstruction 개념 외부에서 유입된 파일 내용 검사 및 악성코드를 제거하여 안전한 요소만 재구성하는 기술 필요성 – 문서, 영상 파일 내 악성코드 위협 증가 – 내부 유입되는 파일 내 콘텐츠 검사 필요 2. CDR 기반 악성코드 무해화 절차 및 대응 체계 (1) CDR기반 악성코드 무해화