시스템 보안
- 마이크로 컴퓨터 동작 모드 - 시스템 콜
- 유저 모드 : 일반 응용 프로그램 실행
- 커널 모드: 하드웨어 제어
- 시스템콜: 유저 모드에서 커널 모드 호출
- 프로파일 파일 위치 - 리눅스 bash 쉘 설정
/etc/profile: 모든 시스템 사용자 공통 적용~/.bash_profile또는~/.profile: 해당 사용자에게만 적용
- 서버 장악 공격: 웹쉘 공격
- 웹쉘: 악성 코드 업로드하여 서버 장악
- PHP: 서버사이드 스크립트 언어
- 커맨드 인젝션: OS 명령어 실행
- 코드 인젝션: 서버 사이드 스크립트 삽입
- 리눅스 기본 권한 설정 - umask
- umask 002
- 파일: 666-002 = 664
- 디렉토리: 777 - 002 = 775
- 디렉토리는 실행 권한 필요
- umask 002
- 환경 변수 설정 - 세션 타임아웃
- TMOUT: 세션 타임아웃 환경 변수
- 권고 사항: 10분(600초)
- 방어 기술 - 버퍼 오버플로우 방어
- ASLR: 메모리 주소 동적 할당
- 스택 가드: 카나리 가능
- SDL: 취약 함수 사용 시 실행 파일 생성 방지
- 안전한 함수 사용 : strcpy → strncpy
- 특수 권한 검색 - SetUID 파일 찾기
find /-perm -4000: SetUIDfind / -perm -2000: SetGIDfind / -perm -1000: Sticky Bit
- 엔드포인트 보안 - NAC, EDR
- NAC (Network Access Control)
- 에이전트 방식: host 취약점 식별
- 에이전트리스 방식: 네트워크 취약점 식별
- EDR (Endpoint Detection and Response)
- PC 애플리케이션 행위 로그 수집
- 이상 행위 차단
- NAC (Network Access Control)
- Wi-Fi 보안 취약점 - 무선 네트워크 공격
- 이블 트윈: 가짜 AP로 정보 탈취
- KRACK 취약점: WPA2 취약점 → WPA3 권장
- 피싱: 메일 공격
- 파밍: DNS 변조
- 사이버 테러 대응 - ISAC
- ISAC(정보공유분석센터): 사이버 테러 공동 대응
- 사이버 킬체인: 공격 단계 정의
- SIEM: 빅데이터 기반 보안 관제
- CTI : 위협 인텔리전스
- 문서 악성코드 방어 - 매크로 바이러스 & CDR
- 매크로 바이러스: 오피스 문서 악성코드
- 운영체제 무관, 간단 제작
- CDR (Content Disarm and Reconstruction): 콘텐츠 무해화 기술
- 매크로 바이러스: 오피스 문서 악성코드
- 로그 순환 저장 - logrotate
logroate: 로그 파일 순환 저장- 6개월 단위 설정 가능
- 도구별 용도 - 보안 도구 분류
- IDS : Snort
- 취약점 분석: Nessus, Nmap
- 무결성 검사: TripWire
- 포맷 문자열 취약점 - 포맷 스트링 공격
%d' :정수,%s: 문자열,%x: 16진수,%hn: 정수형 포인터 절반 인식- 공격: 메모리 열람, 변조, 셸 코드 삽입
- 윈도우 보안 설정 - 널 세션 차단
- Null session: ID/PW 없이 특정 포트 호출
RestrictAnonymous레지스트리 키: 1로 설정
- 사이버 킬체인 단계
- 정찰 → 무기화 → 전달→ 익스플로잇→설치→명령 및 제어 → 행동 개시
- DNS 공격 - 파밍 공격
- 파밍: DNS 공격하여 가짜 사이트 연결
- 시스템 보안 점검 - 무결성 검사 & FTP 로그
- 패스워드 파일, 섀도우 파일 모두 무결성 검사 필요
- xferlog: FTP 서버 로그 파일
- 날짜, IP주소, 전송 바이트, 파일 종류, 성공 여부 기록
네트워크 보안
- 네트워크 접근 제어 - NAC
- NAC : 등록된 단말만 네트워크 사용 허용
- 엔드포인트 보안 기술
- 네트워크 진단 - ICMP 프로토콜
- Ping: ICMP 사용
- Traceroute (리눅스), Tracert(윈도우): ICMP 사용
- IDS 패킷 탐지 - Snort 규칙
depth: 검사할 바이트 수offset: 시작 위치content: 특정 단어uricontent: 웹페이지
- 스니핑 공격 대응 - 스니핑 탐지 & 방어
- 탐지: 허니팟 PC로 목적지 주소 전달
- Promiscuous 모드: 모든 패킷 수신
- 설정:
ifconfig promisc
- 설정:
- 스니핑: 수동적 공격 (정보 획득만)
- DDoS 도구 - 공격 프로그램
Trinoo: UDP Flooding- TFN (Tribe Flood Network)
TripWire: 무결성 검사 도구
- OSI 7계층 - ARP 스푸핑
- ARP 프로토콜: 3계층(네트워크 계층) 동작
- DDoS 공격 - TCP SYN 플러딩
- SYN Flooding : SYN 패킷 과도하게 전송
- 슬로우 공격 기법 - HTTP Slow 공격
- HTTP Slow Read DoS: 슬라이딩 윈도우 사이즈 0 설정
- HTTP Header DoS: 헤더와 바디 사이 개행 문자 삭제
- Slow HTTP POST DoS: Content-Length 크게 설정 후 느리게 전송
- SSH 공격 도구 - Hydra 무작위 공격
- Hydra: 무작위 공격 도구
-l: 계정 고정,-P: 사전 파일 패스워드
- 스캔 기법 - Nmap 포트 스캐닝
-sn: 스캐닝 옵션-sS: SYN 스캔-sT: TCP 3-way 핸드셰이크 스캔-Sa: ACK 스캔 (방화벽 탐색)- 포트 열림 시 응답 없음: Null scan, FIN scan, Xmas scan, UDP scan
- Wi-Fi 암호화 기술 - 무선랜 보안 발전
- WEP: RC4 스트림 - 정적 키 - 취약
- WPA: RC4+TKIP - 동적 키 - 개선
- WPA2: AES+TKIP - 동적 키 - 강화
- 스위치 공격 - 스위치 재밍
- Switch jamming: 스위치를 더미 허브처럼 동작시켜 브로드캐스트
- 네트워크 구조 - 네트워크 토폴로지
- 버스형: 하나의 회선에 여러 노드
- 메시형: 모든 경로 연결
- 스타형: 중앙 허브에 연결
- 경로 결정 방식 - 라우팅 알고리즘
- OSPF: Link State Routing (대규모, 라인 비용)
- RIP: 거리 벡터 라우팅 (소규모, TTL/홉 수)
- 변조 공격 - 스푸핑 공격
- ARP Spoofing: MAC 주소 변조
- DNS Spoofing: IP 주소 변조
- 윈도우 네트워크 포트 - NetBIOS 포트
- NetBIOS: 139번 포트
- 컴퓨터 자원/프린터: 445번 포트 (SMB)
- VPN 보안 요소 - IPSecVPN
- Authentication Header: 인증 정보
- 해시 함수: 무결성 검사
- 시퀀스 번호/타임스탬프: 재생 공격 방지
- MAC(Message Authentication Code): 해시 함수+키
- 보안 시스템 분류 - 보안솔루션
- NAC : 등록되지 않은 단말 차단
- SSO(Single-Sign-On): 한 번 로그인으로 여러 서비스
- SIEM : 통합 보안 관제 (로그 수집/모니터링)
애플리케이션 보안
- 데이터베이스 보안 - 추론 & 다중 인스턴스
- 추론: 낮은 등급 정보로 높은 등급 정보 유추
- 다중 인스턴스: 값을 여러 개 생성하여 추론 방지
- DB 암호화 방식
- 플러그인 방식: 솔루션 설치 후 자동 암호화
- API 방식: 개발자가 직접 호출
- 커널 기반 방식: 테이블 스페이스 단위 암호화
- 암호화폐 특징
- 전자 화폐: 불특정 은행 접속 없이 사용 가능
- 핫 월렛: 인터넷 연결
- 콜드 월렛: 오프라인 매체 저장
- 도메인 이름 해석 - DNS 이름 풀이 순서
- 클라이언트 호스트 파일 → DNS 캐시 테이블 → DNS 서버 질의(순환 쿼리) → 웹 접속
- 웹 서비스 통합 - UDDI
- UDDI (Universal Description, Discovery, and Integration)
- 웹서비스 등록/검색
- WSDL: 문법 URL 제공
- SOAP: 메시지 전달
- 이메일 보안 - PGP 부인 방지
- PGP 기능: 전자 서명, 암호화, 무결성
- 송신자 부인 방지 : 가능
- 수신자 부인 방지 : 불가능
- 악성코드 종류
- 논리 폭탄: 정해진 조건에서 실행
- 키로거: 키보드 입력 탈취
- 백도어: 인증 없는 접근경로
- 트로이 목마: 자기 복제 안함
- 웜: 자기 복제 많이 함
- 보안 취약점 - 버퍼 오버플로우 & 캡챠
- C언어 취약 함수:
strcpy,strcat - CAPTCHA: 사람과 컴퓨터 구분
- C언어 취약 함수:
- DB별 주석 처리 - SQL Injection 주석
- MariaDB:
# - Oracle:
--
- MariaDB:
- 증거 관리 - 디지털 포렌식 원칙
- Chain of Custody : 수집부터 법정 제출까지 단계 관리
- 스팸 필터링
- RBL(Real-time Blockhole List): 블랙리스트
- SPF(Sender Policy Framework): DNS에 스팸 메일 주소 등록
- 이메일 시스템 - 메일 전송 과정
- MUA(Mail User Agent): 메일 클라이언트
- MTA(Mail Transfer Agent): sendmail
- Access 파일: 수신 권한 설정(수락/거부/폐기)
makemap hash: Access 파일 등록
- 웹 취약점 공격
- XSS: 브라우저 공격
- CSRF: 인증된 사용자 정보로 서버 공격
- SSRF: 웹 서버 뒤 다른 서버 공격
- SQL Injection: DB 공격
- C&C 서버 차단 - DNS Sinkhole
- DNS Sinkhole: 감염 PC가 C&C 서버 연결 차단
- 명령어 연결 - 리눅스 특수 문자
|: 이전 명령 결과를 다음 명령으로 전달||: OR 연산자
- 로그 저장 장치 - WORM 스토리지
- WORM(Write Once Read Many)
- 한번 기록 후 보존 기간 동안 삭제/변조 불가
- 메일 전송/수신 - 이메일 프로토콜
- SMTP: 메일 발송
- POP3, IMAP: 메일 수신
SNMP: 네트워크 모니터링
- 침입 탐지 방식 - IDS 오용 탐지
- 오용 탐지: 특정 패턴 일치 시 공격 판단
- False Positive(오탐): 낮음
- False Negative(미탐): 높음
- 최신 랜섬웨어 동향
- RaaS(Ransomware as a Service): 서비스 형태 판매
- 제작 진입 장벽 낮아짐
정보보호 일반
- 암호화 수학적 기법 - 암호화 알고리즘 기법
- 소인수분해: RSA, Rabin
- 이산대수: ECC, ElGamal, Diffie-Hellman
- 인증방법 - 인증 기법 분류
- 지식 기반: PIN, 패스워드
- 소유 기반: 토큰, OTP
- 생체 인증: 지문, 홍채, 얼굴
- 해시 함수 입력 - MD5 해시값
- MD5: 128bit
- 시점별 통제 - 보안 통제 분류
- 예방 통제
- 탐지 통제
- 교정 통제
- 복구 통제
- 공개키 기반 구조 - PKI 구성 요소
- RA (Registry Authority): 등록기관
- CA (Certificate Authority): 인증기관
- PCA: 인증서 정책 기관
LRA: PKI구성요소 아님
- 암호 공격 기법 - 선택 평문 공격
- CPA(Chosen Plaintext Attack): 평문 선택해 암호문 획득
- 키 관리 - 암호화 키 개수
- 대칭키 : n명일 때 n*(n-1)/2 개
- 비대칭키: 개인키 + 공개키 = 2개 (1인당)
- 보안 모델 - 접근 통제 모델
- 벨-라파둘라(BLP): 기밀성
- Biba: 무결성
- Clark-Wilson: 무결성(상업용)
- MAC :강제적 접근통제, 보안 레벨 기반
- DAC: 자율적 접근통제, 사용자 기반
- RBAC: 역할 기반 접근통제, 역할 기반
- 암호화폐 문제점 - 부작용
- 익명성, 은닉 서명 → 자금 세탁 가능성
- 생체 인증 특성 - 생체 인식 지속성
- 지속성: 등록된 생체 정보가 계속 유지되어야 함
- 해시 함수 특성 - 약한 충돌 저항성
- 2차 프리이미지 저항성 (Second Preimage Resistance)
- H(x) = H(x’)인 다른 x’ 찾기 불가능
- 하드웨어 보안 - HSM
- HSM(Hardware Security Module): 하드웨어 암호화 장치
- 한국형 암호화 - 국내 암호 알고리즘
- SEED: Feistel 구조
- ARIA: SPN 구조
- LEA: 경량화
- HIGHT: RFID/USN 센서 데이터
- 전자상거래 보안 - SET
- SET (Secure Electronic Transaction)
- Mastercard, Visa 개발
- 이중 서명: 가맹점 정보와 카드 소유자 정보 분리
- 재생 공격 대응 - 리플레이 어택 방지
- 시퀀스 번호
- 타임스탬프
- 랜덤 넘버
MAC - 직접적 방지 아님
- PGP 사용 알고리즘
- DES, IDEA, RSA, SHA
- 인증서 관리 - CA 상호 인증 & CRL
- CA 상호 인증 프로토콜: OSPF
- 인증서 취소 목록: CRL (Certificate Revocation List)
- 공개키 암호화 - RSA 키 공유
- 송신자 A는 평문을 B의 공개키로 암호화해 전송
- 개인정보 보호 기술 - 가명/익명화 기술
- 차분 프라이버시 : 응답값에 잡음 추가
- 동형 암호화: 암호화 상태로 분석
정보보호 관리 및 법규
- 법류 소관 부처 - 개인정보 관련 법률
- 전자상거래법: 공정거래위원회
- 위치정보보호법: 방송통신위원회
- 정보통신망법: 과학기술정보통신부
- 개인정보보호법: 개인정보보호위원회
- ISO 15408 - CC인증
- CC (Common Criteria) 인증
- 공공 및 주요 정보통신기반 시설: CC인증 또는 보안 기능 확인서 제품 구매
- 재해복구 계획 - DRP
- DRP (Disaster Recovery Plan)
- IT 관련 계획
전체 원가 포함 불필요
- 위험 관리 - 위험 대응 전략
- 회피: 위험 제거
- 감소: 보험 가입, 수탁사 전가
- 수용: 위험 발생 시 대응
- 위험 분석 기법 - 시나리오법
- 알려지지 않은 위협 분석
- 시나리오 작성 및 테스트
- CCTV 열람 제한 - 영상처리기기 열람
- 일반적으로 불가
- 예외: 재산, 생명, 신체 보호 필요 시
- 경찰: 사고 예방 위해 조작(줌인/아웃) 가능
- 재해 복구 시스템 - DRS 종류
- 미러 사이트: 운영 시스템과 동일, 비용 가장 높음
- 핫 사이트: 주요 업무만 구성(Active Standby), 비용 높음
- 웜 사이트: 주요 업무만 DRS 구성, 비용 중간
- 콜드 사이트: 최소한의 시설, 비용 낮음
- 보안 용어 -위협의 정의
- 잠재적 원인/행위
- 결함, 오류, 손실 초래 가능성
- 기반 시설 분류 - 주통기
- 전력, 가스, 국방, 원자력
해당 X : 포털 및 전자상거래
- 정량적 위험 분석 - 연간 손실액 계산
- ALE (연간 예상 손실액) = SLE x ARO
- SLE (단일 손실액) = AV(자산 가치) x EF (노출 꼐수)
- ARO (연간 발생 빈도)
- CCTV 안내판 설치 - 영상처리기기 안내판
- 예외: 군사시설, 보안 시설 등 인가된 사람만 출입하는 곳
- 한국인터넷진흥원 인증 - ISMS-P 인증
- ISMS-P: 정보보호 및 개인정보보호 관리체계 인증
- 개인정보 처리 - 가명 처리 적법성
- 정보 주체 동의 없이 가명 처리 가능
- 통계 작성, 과학적 연구, 공익적 기록물 작성
- 정보 주체 동의 없이 가명 처리 가능
- 정보보안 활동 - 개발/운영 환경 분리
- 형상 관리 서버에서 소스 관리
이전 소스를 운영 서버 보관 - 잘못됨
- 내부 관리 계획 내용 - 개인정보 내부 관리 계획
- 수탁사 교육 및 관리 감독 (포함됨)
위탁 및 제3자 제공 (포함안됨)
- 로그 보관 의무 - 접속 기록 보관 기관
- 정보 주체 5만건 미만 - 보관기관 1년
- 5만건 이상 or 민감/고유식별 정보 - 보관기관 2년
- 기간통신 시설 사업자 - 보관기관 2년(무조건)
- 로그 점검 주기 - 접속 기록 점검
- 매월 점검
연 1회 (틀림)
Whatever I want | Interested in DFIR, Security, Infra, Cloud