[2023] 지방경기대회 - 1과제 연습 Part2

👍모두 달달 외울 필요 없이 키워드를 중심으로 암기하시면 됩니다.

---

애플리케이션 보안

Basic

• SMTP(Simple Mail Transfer Protocol)

전자 메일 전송 인터넷 표준 통신 프로토콜(25 port)로써,
메일 서버 및 기타 메시지 전송 에이전트는 SMTP를 이용해 메일 메시지를 통신함

 

• HTTP(Hyper Text Transfer Protocol)

W3상의 정보를 주고 받는 프로토콜(80port)로 주로 .html과 같은 문서 전송에 사용
애플리케이션(L7)계층에서 사용되는 프로토콜

 

• SSL/TLS

전송계층 상에 클라, 서버의 인증 및 데이터를 암호화함

HTTP(HTTPS), FTP(FTPS), TELNET, SMTP, SIP, POP, MAP 등에서 사용 가능

 

- 오픈 소스 구현 OpenSSL

- 클라이언트/서버 기반의 프로토콜

- 응용 계층 자체에서 구현 가능(다른 보안 프로토콜은 보통, OS와 밀접히 행동)

- 응용 계층과 전송 계층 사이에 존재하나, 전송 계층과 더 가깝게 동작함 

---

 

SSL(Secure Sockets Layer)란?

 웹 사이트와 브라우저(혹은 두 서버 이상) 사이에 전송된 데이터를 암호화해 인터넷 연결 보안을 유지하는 표준 기술 해커가 여러 정보를 열람/조작 방지 가능

TLS(Transport Layer Security)란?

SSL의 더 강력한 최신 버전이지만 SSL이 일반적으로 자주 사용되어 여전히 보안 인증서는 SSL이라고 칭하기도 함

 

• HTTP와 S-HTTP

HTTP는 위에 내용과 같습니다.

 

 S-HTTP는 기존의 HTTP에서 Security가 포함된 계념, HTTPS라고 불립니다.(443 port) 보안규약 적용에 대표적으로는 TLS(SSL)의 형식을 사용합니다.

---

OWASP top 10(2022)

   - 1. Broken Access Control(액세스 제어 오류): 

인가되지 않은 사용자가 권한이 있는 정보나 기능에 접근할 수 있는 취약점
        
    - 2. Cryptographic Failures(암호화 실패): 

민감 데이터 노출의 원인이 암호화의 실패(또는 부족)라고 분석되어 보다 근본적인 원인으로 명칭이 변경된 취약점
        
    - 3. Injection(인젝션): 

사용자 입력 값에 대한 검증이 충분하지 않거나, 입력값을 통해 SQL 쿼리, 명령어, 스크립트 등이 실행될 수 있는 경우, 공격자가 악의적인 코드를 삽입해 공격하는 취약점

---

        
    - 4. Insecure Design(불안전한 설계): 

보안을 고려하지 않은 설계로 인해 취약점이 발생하는 취약점
        
    - 5. Security Misconfiguration(보안 구성 오류): 

제대로 구성되지 않은 서버나 애플리케이션 설정으로 인해 취약점이 발생하는 취약점
        
    - 6. Outdated or Vulnerable Components(오래된 버전 또는 취약한 구성 요소):
        
        오래된 버전이나 취약한 라이브러리, 프레임워크 등을 사용하여 공격자가 악의적인 코드를 삽입할 수 있는 취약점

---

    - 7. Identification and Authentication failures(인증 및 세션 관리 취약점):
        
        애플리케이션에서 제공하는 인증과 세션 관리 기능이 제대로 동작하지 않아 인증 정보가 탈취될 수 있는 취약점
        
    - 8. Software oR Data integrity failures(소프트웨어 또는 데이터 무결성 부족):
        
        악의적인 의도, 예기치 않은 하드웨어 오류 및 인적 오류를 포함하여 스토리지, 검색 또는 처리 결과로 의도하지 않은 데이터 변경은 데이터 무결성의 실패
        
    - 9. Security logging and Monitoring failures(충분하지 않은 로깅/모니터링):
        
        충분하지 않은 로깅/모니터링으로 인해 보안 위협 대응 능력이 저하되는 취약점
        
    - 10. Server-side request forgery (서버 측 요청 위조): 서버 측에서 위조된 HTTP
        
        요청을 발생시켜 직접적인 접근이 제한된 서버 내부 자원에 접근하여 외부로 데이터 유출 및 오동작을 유발하는 공격

---

Web Attack Skill(Simple)

• SQL Injection

 웹 사이트의 보안상 허점을 이용하여 특정 SQL 쿼리 문을 전송하여 공격자가 원하는 데이터베이스의 중요한 정보를 가져오는 해킹 기법

• Cross Site Scripting(XSS)

 XSS는 웹 어플리케이션에서 발생하는 취약점으로, 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법 


 XSS는 Reflected(URL 파라미터 등에 스크립트를 넣어 바로 실행, 보통 브라우저에 차단), Stored(서버에 저장, 다른 사용자가 읽을 때 실행), DOM(Document) Based XSS 세 가지로 구분됨

 

• 어플리케이션 보안 위협

 프레임워크 내의 특정 모듈과 기능은 App의 플랫폼 보안을 손상시킴(취약함) 따라서 자동화 된 도구인 App Secu를 사용하지 않으면 가능한 공격 백터 검사 및 방지가 사실상 불가능하여 지속적인 유지보수 및 관리가 필요

• 디지털 포렌식의 개념(기본 원칙, 절차)
  
  1. 개념 : 범죄 해결을 위해 증거 수집/분석하는 법의학 분야
     - 디지털 증거에 대한 사실 확인, 복구, 조사, 검증 및 제시를 포함 
  2. 기본 원칙 : 세 가지 필수 원칙이 있으며, 모든 장비(HW, SW, etc..)는 이런 요구사항 준수함
     - 증거는 변경 X
     - 입증 가능해야함
     - 분석은 책임 있고 반복 가능해야함
  3. 절차 : 주로 PC 및 모바일 법의학 조사에 사용/획득/북석 및 보고의 단계로 구성됨

 

---

정보보안 일반

암호 기법

암호화는 정보를 인코딩하는 과정으로 평문 → 암호문으로 변환함(알려진 정보)

 

• 지적 재산권 보호(디지털 저작권 관리)

저작권 보호를 위한 기술과 시스템을 사용(저작권자의 권리보호[무단 수정/배포 방지])

• 현대 블록 암호화 방식

현대 블록 암호화 방식은 대부분 대칭키 암호화 방식과 공개키 암호화 방식을 결합해 사용함

 

『현대 블록 암호화 방식』 

대칭키 암호 알고리즘(DES)

- 대칭키 암호화 알고리즘 중 하나-

 

DES는 키의 길이가 짧아서 보안성이 약해진 단점이 있어 나온 AES..

 

AES는 특정길이의 키를 사용해 데이터를 암·복호화하는데 사용하며,

보안성이 높은 대칭키 암호화 알고리즘으로 대체되어 사용됨

---

블록 암호의 운영 모드

- 고정 길이의 블록 단위로 데이터를 처리 -

 

대부분 대칭키 암호화 알고리즘을 분류함..

 

블록 암호는 블록 단위로 데이터를 암·복호화로 블록 크기와 암호화 키의 길이가 중요

운영 방식으로 ECB, CBC, CFB, OFB, CTR 등이 존재합니다. 

암호키 방식

1. 대칭키 암호화★

암·복호화에 동일한 비밀키를 사용

 

해당 방식은 암·복호화가 빠르며, 적은 계산 리소스로 대량의 데이터 처리 가능

하지만 키의 유출 시 보안성 ↓, 키 교환의 문제점이 있음

---

2. 블록키★

기밀성의 정보를 정해진 블록 단위로 암호화하는 대칭키 암호화

 

암호화하려는 정보 길이 < 블록 길이의 경우 특정한 운용 모드 사용

안전성 증명 방법으론 선택평문공격(차분공격) 과 선형 공격 등이 있음

---

3. 세션 키★

통신 세션에서 모든 메시지를 암호화하기 위해 사용하는 1회용 대칭키

 

하나의 키를 사용한 암호문이 많으면 분석하는 키 가능성 ↑

이를 보완하기 위해 사용하는 임시적인 키(웹에서 주로 사용함)

---

4. 마스터키

세션 키가 마스터기의 의해 암호화되어 전달됨

 

개인의 원장화된 디지털 자산을 보호하기 위한 프라이빗키

즉, 비밀 키 값 복구 및 회수 서비스에 사용(고로 여러 세션키의 생성의 핵심)

---

5. 스트림키

대칭키 암호의 구조 중 하나,
유사 난수를 연속적으로 생성 암호화 자료와 결합한 구조

 

일반적인 스트림 암호는 유사 난수를 1비트 단위로 생성하고,

생성된 값과 암호화하려는 각 값을 XOR하여 1비트의 암호화 자료를 얻음

---

6. 공개키(비대칭키)

암호화/복호화키가 각각 다른 형식

 

암호화에 사용되는 공개키는 공개

복호화에 사용되는 개인키는 소유자만 확인 가능

 

따라서 보안성 ↑/계산 리소스 ↑의 특징으로,
대량 데이터 처리에는 적합 X, 키 관리와 인증의 문제가 존재함

---

6-1. 개인키

소유자(개인)만 알고 있는 키

 

비대칭키에서 사용되며, 데이터를 암호화하고 공개키와 함께 데이터를 전달함

---

7. 디지털 서명★

전자 문서나 메시지에 대한 인증 및 무결성 검증을 위한 방식
공개키 암호화 기술을 사용함

 

발신 측은 개인키로 서명을 생성, 수신은 공개키로 해당 서명을 검증

디지털 서명은 위변조 방지와 송신자 인증 등에 사용함

 

암호화에 직접적으로 사용되진 않으나, 암호화에서 중요한 역할이며,

비밀번호나 데이터의 무결성 검증 등에 많이 사용됨

---

• 해시함수

개념

: 임의의 길이를 갖는 메시지를 입력받아 고정된 길이의 해시값 출력함수
암호화 알고리즘의 Key가 사용되나, 해시 함수에선 key가 사용되지 않음

같은 입력에 대해 항상 같은 출력이 나옴

특성

1. 어떤 입력 값에도 항상 고정된 길이의 해시값 출력
: 길이가 같음

2. 눈사태 효과 : 입력 값의 아주 일부만 변경되도 전혀 다른 결과 값 출력
: 무결성 검증

3. 출력된 결과 값을 토대로 입력값을 유추할 수 없음
: 유추 불가