악성 코드(Mailcious Code)

개요 악성 코드는 Malware, Malicious Program 등으로 표기하고, 최근에는 악성 소프트웨어라는 용어를 사용하기도 하며, '악의적인 목적을 위해 작성된 실행 가능한 코드;로 정의함 악성 코드는 프로그램, 매크로, 스크립트뿐만 아니라 취약점을 이용한 형태도 포함하고 있으며, 형태에 따라 바이러스, 웜(Worm), 트로이 목마(Trojan Horse)로 분류 최근 등장하는 악성 코드의 경우 윈도우의 레지스트리에 임의의 명령어를 삽입하는 경우가 많으므로, 악성 코드를 삭제한 후 WIN.INI 파일을 수정하는 등 추가 조치를 취해야 하는 경우가 많아지고 있음 대표적인 악성 코드로는 바이러스, 트로이 목마, 웜, 악성 스크립트(Malicious Script-Java, Active-X, VBS), ..

• format_list_bulleted 정보 보호
• · 2010. 12. 8.
• textsms

취약점 분석

개요 취약점 분석.평가의 목적은 조직의 정보시스템과 정보시스템이 가진 위험을 조사 및 평가하고, 이 위험이 허용 가능한 수준인지 아닌지를 판단하여 효과적인 보호 대책을 제시함으로써, 각 조직이 정보시스템에 대한 보안 정책과 보안 대책 구현 계획을 보다 체계적으로 수립 할 수 있도록 하는 것 취약점 분석.평가는 크게 현황 분석, 자산 분석, 위협 분석, 취약성 분석, 위험 평가,보호 대책 권고로 구성되어 있으며, 이러한 일련의 진행 절차를 통해 조직이 직면하고 있는 위험을 효과적으로 분석하고,이에 대한 대책을 수립하여 실제 위험이 발생했을 때의 손실을 최소화하기 위해 수행됨 현황 분석 조직의 전반적인 업무 현황을 확인하고 현재의 정보 보호 수준 및 정보 보호 요구사항을 파악하는 프로세스로, 이 프로세스에서..

• format_list_bulleted 정보 보호
• · 2010. 12. 8.
• textsms

해커(Hacker)

해킹(Hacking) 넓은 의미에서는 해커들의 모든 불법적인 행위들을 해킹이라고 하고 하며, 좁은 의미에서는 정보 시스템 전산망에서의 보안 침해 사고를 발생시키는 행위들을 의미 불법 침입 : 인가받지 않은 다른 정보시스템에 불법으로 접근 불법 자료 열람 : 허가되지 않은 불법 접근을 통해 주요 정보를 열람 불법 자료 유출 : 개인이나 조직의 주요 정보를 불법으로 유출 불법 자료 변조 : 시스템 내의 자료나 개인의 자료를 변조 불법 자료 파괴 : 시스템의 자료를 불법으로 파괴하는 행위 정상 동작 방해 : 시스템의 정상적인 동작을 방해하거나 정지 다음은 실제 정보 통신 환경에서 해킹 유형과 대상으로 구분하여 어떠한 피해를 입을 수 있는지에 대해 설명함 유형 불법 삽입 불법 유출 불법 변조 파괴.거부 데이터 ..

• format_list_bulleted 정보 보호
• · 2010. 12. 8.
• textsms

해킹 공격 기법

사용자 도용(Impersonation) 가장 일반적인 해킹 방법으로 알려져 있으며, 다른 일반 사용자의 ID 및 패스워드를 도용하는 방법 'sniffer'와 같은 네트워크 도청 프로그램 등을 이용하여 정보를 알아낸 후 시도함 버퍼 오버플로(Buffer Overflow) 시스템의 자원인 버퍼를 오버플로 시키는 방법 자원이 고갈되므로 정당한 사용자가 시스템을 사용하지 못하도록 하는 공격 방법 서비스 거부 공격(Denial of Service Attack) 주로 TCP/IP 프로토콜 자체의 문제점으로 인해 발생하는데, 과도한 네트워크 트래픽을 발생시켜 공격 대상 네트워크나 시스템을 마비시키거나 정상적인 서비스를 하지 못하도록 함 특정 프로그램의 버그를 이용하여 해당 프로그램이 정지하도록 하는 방법도 존재 프로..

• format_list_bulleted 정보 보호
• · 2010. 12. 8.
• textsms

PKI(Public Key Infrastructure; 공개키 기반 구조)

PKI의 출현 배경 공개키 암호 시스템 활용의 한계로 인해 공개키 소유자의 신원 확인의 어려움 공개키 자체의 무결성 보장이 어려움(즉, 공개키 저장소(디렉토리 서버)의 신뢰성 문제) PKI의 개요 공개키 암호 기술의 신뢰성 있는 사용 기반 환경을 제공하기 위해 사용자들의 공개키를 안전하게 관리할 수 있는 공개키 관리 기반 체계 사용자의 공개키를 인증, 관리해주는 인증 기관들의 네트워크 PKI 서비스 프라이버시 : 정보의 기밀성을 유지 접근 제어 : 선택된 수신자만이 정보에 접근하도록 허락 무결성 : 정보가 전송 중에 변경되지 않았음을 보장 인증 : 정보의 원천지를 보장 부인 봉쇄 : 정보가 송신자에 의해 전송되었음을 보장 PKI 구성 요소 정책 승인 기관(PAA; Policy Approval Author..

• format_list_bulleted 정보 보호
• · 2010. 9. 24.
• textsms

피싱(Phishing)

개요 사적 데이터(Private Data)와 낚시(Fishing)의 합성어로 금융기관 등의 웹 사이트나 또는 그곳에서 보내온 메일로 위장하여 개인의 인증 번호나 신용카드 번호, 계좌 정보 등을 빼내어 이를 불법적으로 이용하는 시기 수법 피싱의 유형 스팸 메일을 통한 피싱 DNS 해킹 후 URL 변경을 통한 피싱 사용자의 입력 실수를 이용한 피싱 피싱 예방을 위한 기술적 대안 피싱 웹 사이트를 포함한 DB를 사용하는 주소 직접 비교 방식 DB 매칭 방식에 피싱 의심 주소 분석 엔진을 추가한 방식

• format_list_bulleted 정보 보호
• · 2010. 9. 24.
• textsms

커버로스(Kerberos)

개요 MIT에서 개발한 인증 시스템으로, 사용자의 로그인을 인증한 후 그 사용자의 신원을 네트워크에 흩어져 있는 서버 호스트에 증명 커버로스는 rlogin, mail, NFS 등에 다양한 보안 기능을 제공 서비스를 받기 위한 티켓 발급 서버로부터 발급받은 티켓을 사용해 서버로부터, 인증을 받음 인증 절차 클라이언트가 서비스를 받기 위해서는 클라이언트 자신의 신원을 커버로스의 인증 서버로 부터 인증(로그인 과정 또는 초기 인증 과정)을 받음 인증 메시지인 티켓의 발급 과정과 클라이언트가 이것을 이용하여 서비스를 받는 과정 인증 매커니즘 Authentication Service(AS)의 교환 클라이언트의 비밀키를 알고 있는 커버로스 인증 서버와 클라이언트 사이의 최초의 교환 클라이언트는 AS교환을 통해 몇몇..

• format_list_bulleted 정보 보호
• · 2010. 9. 24.
• textsms

전자 서명(Electronic Signature)

개요 전자 문서를 작성한 자의 신원과 전자문서의 변경 여부를 확인할 수 있도록 비대칭 암호화 방식을 이용하여 전자 서명 생성키를 생성한 정보로, 그 전자문서에 고유한 것을 의미(전자서명법 제2조) 지금까지 널리 일반화되어 종이 표기되던 서명이나 인장의 효과를 전자적으로 부여하는 전자적 서명 방식 공인인증 기관이 전자 서명법 제15조의 규정에 의해 발급한 인증서에 포함된 전자 서명 검증키에 합치하는 전자 서명은 법령이 정한 서명 또는 기명 날인으로 봄(전자서명법 제3조) 공개키 암호를 이용한 전자 서명 방식 공개키 암호의 역 활용을 통한 전자 서명 공개키에 의한 암호화 ⇒ 개인키에 의한 복호화 개인키에 의한 전자 서명 ⇒ 공개키에 의한 서명 검증 A의 개인키는 A만 알고 있으므로 A는 추후에 메시지 전송 ..

• format_list_bulleted 정보 보호
• · 2010. 9. 24.
• textsms

무선 LAN 보안 기술

무선 LAN 문선 LAN 시스템에서는 배선이 필요 없고, 단말기의 재배치가 용이하다는 것 외에 이동 통신 시스템이 가지는 낮은 전송 속도를 극복할 수 있으며, 또한 무선 LAN 시스템의 보안 기술 개발이 활발하게 전개되면서 무선 LAN 사용자의 안전한 통신을 보장 무선 LAN의 구성요소 무선 단말 무선 LAN 카드가 장착된 노트북 컴퓨터 등 엑세스 포인트(Access Point) 이동 통신 시스템의 기지국처럼 다수의 무선 단말을 접속시키는 역할을 하고, 무선 데이터를 유선 인터넷으로 연결 시켜 주는 허브/브리지 역할도 수행하는 장치 인증 서버 사용자 인증 여부를 결정짓는 역할을 수행하는 서버 무선 단말과 엑세스 포인트 사이가 무선 구간이며, 엑세스 포인트와 인증서버 사이는 유선 구간 무선 LAN 보안 무..

• format_list_bulleted 정보 보호
• · 2010. 9. 24.
• textsms

전자 화폐

개요 IC 카드 또는 네트워크에 연결된 컴퓨터에 은행 예금이나 돈 등이 전자적인 방법으로 저장된 화폐적 가치 전자 화폐의 기본 요구사항 전통적인 화폐는 교환 수단, 가치 척도, 연지급 수단, 가치 저장 수단 등 4가지 기능을 수행하며, 전자 화폐가 이런 전통적인 화폐의 기능을 완벽하게 구현하는 것은 불가능할 수 있으나 이를 위해 전자 화폐가 갖추어야 할 기본적인 특성은 다음과 같음 안정성 전자 화폐의 안전성은 다음과 같이 2가지 관점으로 분류될 수 있지만, 일반적으로 안전성이라 함은 논리적 안정성을 의미 물리적 안정성(Physical Security) 전자 화폐 자체에 대한 위조의 어려움을 의미하는 것으로, 전자 화폐가 쉽게 위조될 수 없어야 한다는 것을 의미 일반적으로 전자 화폐는 스마트 카드라는 물리..

• format_list_bulleted 정보 보호
• · 2010. 9. 24.
• textsms