2025-07-01-Tuesday

오유찬·2025년 7월 2일
daily

daily

목록 보기
10/30

Day planner

  • 면접 준비 - 정보보안 교육

Daily Log

[!error] Habits

  • 보안 기사 공부 || 보안 뉴스 || 보안 논문 읽기
  • CTF || algorithm
  • HTB

공부 기록

정보보안기사 기출

Part.03 접근통제

정책 : 자원에 접근하는 자한 조건을 정의

  • MAC(Mandatory 강제적인 접근 제어), DAC(Discretionary : 임의적 접근 제어), RBAC(Role-Based : 역할 기반 접근 제어)
    모델 : 시스템 보안 요구를 간결하게 표현

  • Biba, Bell-LaPadula
    메커니즘 : 요청을 규칙에 대응시켜 검사 및 제한

  • ACL, CL(Capability List: 권한 리스트)

  • 영지식 인증(Zero-knowledge authentication) : 사용자가 비밀 정보를 서버에게 노출하지 않으면서 비밀 정보를 알고 있다는 사실을 서버에게 확신시킴으로써 인증 받는 방식이다. 이때 임의의 높은 확률로 비밀을 알고 있다는 사실을 입증하는 확률적인 과정이 존재한다.

  • SSO 기술 (Single Sign-On) : 한 번 로그인해두면 다른 서비스에 추가적인 로그인 없이 접근할 수 있도록 하는 통합 인증 기술

  • EAM은 자원의 접근 인증과 이를 기반으로 자원에 대한 접근 권한을 부여, 관리하는 통합 인증 관리 솔루션이다. 하나의 ID와 암호 입력으로 다양한 시스템에 접근할 수 있고 각 ID에 따라 사용 권한을 차등 부여하는 통합 인증과 권한 관리 시스템이다.

Kerbros 프로토콜

  • 패스워드 사전공격에 약하다
  • 비밀키, 세션키가 임시로 단말기에 저장되어 침입자에 의해 탈취당할 수 있다.
  • Timestamp로 인해 시간동기화 프로토콜 필요
  • 비밀키 변경 필요
  • KDC가 단일실패지점(SPoF)가 될 수 있다.
  • KDC는 많은 수의 요청을 처리 가능해야 한다.
  • TGS & AS는 물리적 공격 및 악성코드로부터의 공격에 취약

MAC(Mandatory Access Contorl : 강제적 접근통제)
- 객체에 포함된 정보의 비밀성과 이러한 비밀성에 주체가 접근할 수 있는 권한에 근거하여 객체에 대한 접근을 제한하는 정책
- 한 자원에 접근할 수 있는 허가증을 가진 객체가 단지 자신의 의지만으로 다른 객체도 자원에 접근하게 할 수 없기 때문에 madatory라고 불린다.

  • 접근 규칙 수가 적어 통제가 용이
  • 보안관리자 주도 하에 중앙 집중적 관리 가능
  • 사용자와 데이터는 보안 취급허가를 부여 받아 적용
  • 다단계 보안등급

**DAC(Discretionary Access Control) : 객체의 소유주가 주체와 객체 간의 접근통제 관게를 정의한다.

  • CL과 ACL은 DAC의 특징
  • ACL를 통해 구현
  • 모든 개개의 주체와 객체 단위로 접근 권한 설정

RBAC(Rule-Based Access Control)의 기본 보안정책

  • 특권의 최소화
  • 직무의 분리
  • 데이터 추상화

시스템 보안

TPM(Trusted Platform Module)

  • 민감한 암호연산을 하드웨어로 이동함으로써 시스템 보안을 향상시키고자 나온 개념
  • 인증된 부트, 인증, 암호화와 같은 기본적인 기능을 제공
  • 안전한 입출력에 사용되는 암호 프로세서를 제공
  • TCG 컨소시엄에 의해 작성된 표준

트로이목마의 기능

  • 원격 조정
  • 패스워드 탈취
  • 키보드 입력 가로채기
  • 시스템 파일 파괴

트로이목마를 식별하기 위해서는

  • 안티바이러스 프로그램 등의 도구를 이용하여 탐지
  • 네트워크의 연결 상태 및 자신의 컴퓨터에 열려진 포트를 검사
  • 자신이 설치하지 않은 프로그램이 동작하는지 검사
  • 레지스트리를 검사하여 자동실행 설정되어 있는 프로그램 검사

바이러스 유형들 세대 순서
1. 원시형 바이러스
2. 암호화 바이러스
3. 은폐형 바이러스
4. 갑옷형 바이러스
5. 매크로 바이러스

인터넷 익스플로러에서 웹 콘텐츠 영역을 지정할 때 가능한 곳

  • 로컬 인트라넷
  • 신뢰할 수 있는 사이트
  • 제한된 사이트
  • 인터넷
    웹 콘텐츠 영억에 보안 등급 지정 가능한 사이트는 없다.

보안 뉴스

파라과이 전국민 대상 개인식별정보(PII) 유출 후 추후 대처방안 찾아보고 있는데 나오는 게 없다.

아홀드 델하이즈, 랜섬웨어 공격에 220만명 개인정보 유출…식음료 업계 역대 최대 피해

2025 정보보호공시 올해 보안 톱 3도 삼성전자·KT·쿠팡…IT 투자 대비 보안 투자 비율은 아쉬워

profile
오유찬
열심히 하면 재밌다
이전 포스트

2025-06-29-Sunday

다음 포스트

2025-07-02-Wednesday

0개의 댓글