2016/06 14

방화벽의 종류

방화벽 시스템은 OSI 참조 모델과 관련하여 방화벽 시스템이 동작하는 프로토콜 계층에 따라 분류될 수 있습니다. 계층 3인 네트워크 계층과 계층 4인 트랜스포트 계층에서 패킷 필터링 기능을 수행하는 스크리닝 라우터와 응용 계층에서 패킷 필터링 기능과 인증 기능 등을 수행하는 응용 계층의 게이트웨이로 분류할 수 있습니다. 일반적으로 스크리닝 라우터를 설계할 경우 [명확하게 내부 네트워크로의 진입이 방지되지 않은 트래픽은 네트워크로의 진입을 허용] 하는 패러다임을 사용하고, 게이트웨이 혹은 proxy 서버의 경우 [내부 네트워크로의 진입을 명확하게 허용하지 않은 트래픽은 내부 네트워크로의 진입을 방지]하는 패러다임에 입각하여 설계합니다. 스크리닝 라우터(Screening Router) 스크리닝 라우터는 OS..

보안/CERT 2016.06.30

웹방화벽이란?

웹방화벽(Web Application Firewall, WAF) 은, 일반적인 네트워크 방화벽 (Firewall) 과는 달리 웹 애플리케이션 보안에 특화되어 개발된 솔루션입니다. 웹방화벽의 기본 역할은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site Scripting(XSS) 등과 같은 웹 공격을 탐지하고 차단하는 것입니다. 웹방화벽은 직접적인 웹 공격 대응 이 외에도, 정보 유출 방지 솔루션, 부정 로그인 방지 솔루션, 웹사이트 위변조 방지 솔루션 등으로 활용이 가능합니다. 정보 유출 방지 솔루션으로 웹방화벽을 이용할 경우, 개인 정보가 웹 게시판에 게시되거나 개인 정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해서 탐지하고 이에 대응하는 것이 가능합니..

보안/CERT 2016.06.30

개인정보 보호 인증(PIPL)

개인정보보호 인증제(PIPL: Personal Information Protection Level)란 ‘개인정보 처리기관의 개인정보보호 조치와 활동이 인증심사기준에 부합하는지를 증명하는 과정’으로서, 개인정보처리자가 ‘개인정보보호법’의 도입 취지에 따라 개인정보보호 관리체계 구축 및 개인정보 보호조치 사항을 이행하고 일정한 보호 수준을 갖춘 경우 인증 마크를 부여받는 제도이다. 개인정보보호 인증제(PIPL) 개요 동 인증제는 공공기관이나 민간기업이 개인정보 유출사고 등을 예방하기 위해 추진 중인 개인정보보호 활동들이 체계적이고 지속적으로 이행될 수 있도록 촉진하는 지원체계로서, 개인정보보호 활동에 대해 객관적이고 공신력 있는 검증을 통해 개선 및 보완이 이루어질 수 있도록 자율적인 환경을 조성하는데 그 ..

보안/이슈 2016.06.30

시스템 운영 효율성 높이려면

정보기술(IT)의 편리성 이면에는 많은 사람의 노력과 세심한 관리, 체계적인 감독이 있다. 특히 IT는 서양의 문화적 환경에서 만들어진 산물이다. 동양적인 관습이나 문화로 IT 산업과 환경을 이해하고 접근한다면 많은 시행착오를 할 수밖에 없다.우리 뇌리에서 사라지고 있는 지난해 3·20 전산대란은 대한민국의 주요 언론과 기업 전산망이 마비되고 다수의 컴퓨터가 악성코드에 감염되는 피해를 입은 사건이다. 악성코드 유포로 수 만대의 시스템이 감염된 것으로 알려져 있다. 최근에는 그룹사 전산센터 화재로 일부 금융사 서비스가 중단되는 사태가 벌어졌다. 재해 복구 대책을 제대로 세우지 못해 발생한 사건이다. 은행·병원·기업·관공서처럼 24시간 365일 시스템을 운영하는 환경이 확산하는 가운데 시스템 중단은 기업에 ..

보안/이슈 2016.06.30

DRM이란?

인터넷을 사용하는 일반인도 DRM이라는 용어를 한 번쯤은 들어 본 적이 있을 것이다. DRM은 Digital Rights Management의 줄임말로 우리말로는 ‘디지털 저작권 관리’라고 해석하게 되는데 구체적으로 무엇을 어떻게 한다는 것인지 쉽게 와닿지는 않는다.여기에서는 DRM이 무엇인지 간략하게 이해하는 시간을 갖도록 마련하였다.간단히 말하자면 디지털 환경에서 콘텐츠를 만들어낸 이의 지적 재산권 보호와 그리고 그 창작물을 사용하고자 하는 사용자의 의무와 권리를 보호하기 위한 기술이라고 말할 수 있다. 만약에 오프라인에서 내가 만든 제품이 있다고 하면 이것이 수공예품이건 공장에서 생산된 물건이건 이것이 구매자의 손에 전달되기까지는 유통 구조를 거치게 되고 더 나아가 판매한 제품에 대한 관리도 하게 ..

보안/이슈 2016.06.30

리눅스 종류

1991년은 어쩌면 현재의 안드로이드 계열 스마트폰이 있게 해준 리눅스가 탄생한 해입니다. (안드로이드OS는 리눅스 기반으로 만든 대표적인 운영체제이고 현재 수많은 스마트폰에 탑재되어있죠) 1991년 헬싱키 대학의 학생이었던 리누즈 토발즈가 대형 컴퓨터에서만 작동하던 유닉스를 개인용 컴퓨터(PC)에서도 작동할 수 있도록 만든 것이 리눅스 입니다. 어떤 플랫폼에도 포팅이 가능하기 때문에 수많은 기업과 연구기관 등에서 많이 사용되고 있고 네트워크, 서버, 보안 등의 분야에서도 주로 쓰이고 있습니다. 리눅스는 오픈소스 운영체제이기 때문에 수많은 개발자들이 용도에 맞게 튜닝하여 사용할 수 있어서 수많은 종류(약 300여 가지)의 배포판이 생겨났습니다. 각각의 대표 리눅스 배포판들은 서로 다른 기능과 장/단점을 ..

OS/Linux 2016.06.29

디지털 워터마킹

어느 사진작가가 수년에 걸쳐서, 수많은 필름을 소모하면서, 때로는 목숨을 걸다시피 하면서, 말 그대로 '천신만고' 끝에 작품 사진을 1장 건졌다고 합시다. 작가는 별생각 없이 그 사진을 인터넷을 통해 공개했는데, 이후 문제의 그 사진은 무서운 속도로 전 세계로 퍼져나갔고 누군가 작가의 아무런 사전 동의도 구하지 않고 이를 상업적으로 이용하고, 정작 그 사진을 촬영한 작가는 그로 인한 생활고를 이기지 못하고 파산했다면... 무언가 잘못된 것이 아닐까요? 이른바 저작권이 인정되어야 하는지에 대한 문제를 짚고 넘어가 볼 필요가 있습니다. 워터 마킹에는 보이는 워터마킹과 보이지 않는 워터마킹이 있습니다. 다음에 소개되는 디지털 워터마킹이란 "보이지 않는 워터마킹" 을 의미한다는 것을 밝혀 둡니다. 다음은 월간 ..

보안/CERT 2016.06.29

국정원 8대 취약점

2005년 국가사이버안전센터(NCSC)에서 국내 각 기관에서 홈페이지 해킹에 많이 악용되었던 보안 취약점 8종을 선정하고 발표하였습니다. 1. 디렉토리 리스팅 취약점홈페이지의 속성을 설정하는 “웹사이트 등록정보”에 특정 디렉터리에 대하여 - IIS 웹 서버 : ‘디렉터리 검색’ 항목이 체크 - Apache 웹 서버 : ‘httpd.conf 파일’에서 ‘Indexes’옵션이 on 되어 있는 경우에 인터넷 사용자에게 모든 디렉터리 및 파일 목록이 보이게 되고, 파일의 열람 및 저장도 가능하게 되어 비공개 자료가 유출될 수 있다. 2. 파일 다운로드 취약점 게시판 등에 저장된 자료에 대해 ‘다운로드 스크립트’를 이용하여 다운로드 기능을 제공하면서, 대상 자료 파일의 위치 지정에 제한조건을 부여하지 않았을 경우..

보안/CERT 2016.06.28

OWASP Top 10

1. OWASP TOP 10소개 OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트로, 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 웹 애플리케이션의 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들의 10대 취약점들을 발표하였습니다. 본 문서는 ~2013년 OWASP TOP 10, ~2014년 OWASP TOP 10 Mobile 기준으로 작성되었으며 대부분 내용의 출처는 위키백과(https://ko.wikipedia.org) 입니다. 2. OWASP WEB TOP 10 2.1 A1: Injection (인젝션)인젝션 취약점은 SQL, OS, LDAP 등에 해당되며 ..

보안/CERT 2016.06.28

침투 테스트 방법론

침투 테스트는 최종 단계인 동시에 자격이 있는 전문가(타깃에 관한 사전 지식이 있을 수도 있고 없을 수도 있다)가 수행하는 가장 공격적인 형태의 보안 평가입니다. 침투 테스트에서는 애플리케이션, 네트워크 장비, 운영체제, 통신 매체, 물리 보안, 인간의 심리 등을 포함하는 IT 인프라 구성요소를 모두 평가할 수 있습니다. 테스트를 마친 후 보고서를 작성하는데, 보고서에는 식별된 리스크를 분류한 후 경영진이 이해할 수 있는 수준으로 표현한 보안 평가 결과의 모든 정보를 담아야 합니다. 방법론이란 정보 보안 감사 도중 축적된 규칙, 프랙티스, 절차, 방법 등을 한데 모아 정의한 것입니다. 침투 테스터 입장에서 방법론적인 과정을 따르면 테스트의 각 단계에서 시스템의 현재 방어 상태를 이해하고 비판적으로 분석하..

보안/CERT 2016.06.28