703. 세션 계층 (Session Layer)
- 양 끝단의 응용 프로세스 간의 논리적 연결을 확립하고 관리하는 계층
- 세션 계층의 주요 기능
- 동시 송/수신 방식 (duplex), 반이중 방식 (half-duplex), 전이중 방식 (Full Duplex) 의 통신 수행
- TCP / IP 세션을 만들고 없애는 역할 수행
- 통신하는 사용자들을 동기화하고 오류 복구 명령들을 일괄적으로 다룸
705. TCP/IP 프로토콜
- Network Access Layer
- OSI 7 Layer : 물리 계층, 데이터 링크 계층
- 하드웨어적인 요소와 관련된 모든 것들을 지원하는 계층
- 송신 측 컴퓨터 : 상위 계층으로부터 전달 받은 패킷에 물리적인 주소는 MAC 주소 정보를 가지고 있는 헤더를 추가하여 프레임을 만들고, 프레임을 하위 계층인 물리 계층으로 전달
- 수신 측 컴퓨터 : 데이터 링크 계층에서 추가된 헤더를 제거하여 상위 계층인 네트워크 계층으로 전달
- Internet Layer
- OSI 7 Layer : 네트워크 계층
- 상위 트랜스포트 계층으로부터 받은 데이터에 IP 패킷 헤더를 붙여 IP 패킷을 만들고 전송
- Transport Layer
- OSI 7 Layer : 전송 계층
- 네트워크 양단의 송수신 호스트 사이에서 신뢰성 있는 전송 기능을 제공
- 시스템의 논리주소와 포트를 가지고 있어서 각 상위 계층의 프로세스를 연결해서 통신을 수행
- 정확한 패킷의 전송을 보장하는 TCP와 정확한 전송을 보장하지 않는 UDP 프로토콜을 이용
- 데이터의 정확한 전송보다 빠른 속도의 전송이 필요한 멀티미디어 통신에서 UDP를 사용하면 TCP보다 유용함
- Application Layer
- OSI 7 Layer : 세션 계층, 프레젠테이션 계층, 애플리케이션 계층
- 응용 프로그램들이 네트워크 서비스, 메일 서비스, 웹 서비스 등을 할 수 있도록 표준적인 인터페이스를 제공
708. 링형 토폴로지
- 모든 노드가 하나의 링에 순차적으로 연결되는 형태
- 데이터가 한 쪽 방향으로만 흐름
- 구조가 단순하고 장애 발생 시의 복구가 빠름
- 병목 현상이 드뭄
- 링을 제어하는 절차가 복잡
- 노드의 추가가 어려운 단점을 가지고 있음
- 두 노드 사이의 채널이 고장나면 전체 네트워크가 손상
710. 라우터 IOS 모드
모드 | 설명 | 프롬프트 |
사용자 모드 (User Mode) | 제한된 라우터 검사, 원격 접속 | Router> |
관리자 모드 (Priviledged Mode) | 제한된 라우터 검사, 디버깅과 시험, 파일 조작, 원격 접속 | Router# |
전역 설정 모드 (Global Configuration Mode) | 전역 설정 명령어 | Router(config)# |
711. BGP
- AS 내부의 구조
- AS 내부 : RIP, OSPF, EIGRP 라우팅 프로토콜이 사용
- AS와 AS 간 : BGP (Border Gateway Protocol)이 사용
- BGP의 유형
- eBGP : 서로 다른 AS 간의 BGP session에서 사용 (External BGP)
- iBGP : 동일 AS 내의 BGP router 간의 BGP session (Internal BGP)
712. OSPF 라우팅 프로토콜
- OSPF (Open Shortest Path First) 라우팅 프로토콜 개념
- 자치 시스템 (Atonomous System) 내부의 라우터들 간의 라우팅 정보를 교환하는 링크 상태 라우팅 프로토콜
- 경로 설정 시 Hop Count만 고려한 RIP에 비해서 대역폭 및 이용도를 계산해서 최적 경로 계산
- OSPF 라우팅 프로토콜의 장점
- 컨버전스 타임
- 라우터 간에 서로 변경된 정보를 주고 받는데 걸리는 시간
- RIP의 경우 30초마다 업데이트가 발생하므로 컨버전스에 많은 시간이 걸리지만 OSPF는 변화가 생길 때 바로 전달하기 때문에 훨씬 빠름
- Area (영역) 사용
- 전체 네트워크를 작은 영역으로 나누어 관리
- 작은 영역으로 나누어진 부분에서 변화가 일어나더라도 ABR 라우터를 통해 다른 영역과 연결이 가능하다면 다른 영역이 그 변화를 알 필요가 없음
- VLSM 지원
- VLSM을 지원해 IP 주소를 효과적으로 사용할 수 있음
- 네트워크 크기
- RIP는 홉카운트가 15로 제한되어 있기 때문에 네트워크 크기가 제한적이지만 OSPF는 이런 제한이 없음
- 경로 결정
- RIP의 경우 홉카운트만 따지기 때문에 속도나 딜레이 지연 등의 요소와 상관없이 홉 카운트가 적은 것을 선호
- OSPF는 속도나 딜레이를 감안해 경로를 선택하기 때문에 정확한 경로 선택이 가능
- 컨버전스 타임
- OSPF 라우팅 프로토콜의 구성도
- Backbone Area
- 각 Area에서 라우팅 정보를 전달받아 다른 Area로 전달
- Leaf Area
- Backbone Area를 제외한 나머지 Area
- 반드시 Backbone Area에 연결되어야 함
- Internal Router (IR)
- Area 내부에 있는 라우터
- Area Border Router (ABR)
- 두 개 이상의 Area에 속한 경계 라우터
- AS Boundary Router (ASBR)
- 다른 라우팅 프로토콜이 구동되는 네트워크와 연결되는 라우터
- Designate Router / Backup DR (DR / BDR)
- Ethernet 등 Multi-access Broadcast Network 환경에서 Segment 내의 라우팅 정보를 중계하는 라우터
- Link State Advertisements (LSA)
- Link State에 변화가 있을 경우 이것을 모든 라우터에게 즉시 전달하는데 이러한 Link State를 전달하는 Message
- Backbone Area
- VLSM (Variable Length Subnet Mask)
- 네트워크 주소와 서브넷 마스크를 통한 네트워크 표현방식으로 서브넷 마스크를 이용하여 IP 분할 가능
- Class C 주소를 할당 시 256개 호스트 주소가 가능, 이보다 작은 수의 주소만이 필요할 때 적은 수의 주소를 할당 가능하여 주소의 낭비를 막음
713. 소프트웨어 개발 보안 체계
- SW 개발 보안 관련 활동 주체 : 행정안전부, 발주기관(행정기관 등), 한국인터넷진흥원, 사업자, 감리법인 등
714. <행정기관 및 공공기관 정보 시스템 구축 운영 지침>의 소프트웨어 개발 보안 원칙
- 행정 기관 등이 제 71조 제 1항에 해당하는 정보화 사업을 추진할 때는 소프트웨어 보안 약점이 없도록 소프트웨어를 개발 또는 변경 (이하 '소프트웨어 개발보안')하여야 한다. 다만, 제 71조 제 1항에 해당하지 않는 정보화 사업도 소프트웨어 개발 보안을 적용할 수 있다.
- 제 1항에 따라 행정 기관 등의 장이 정보화 사업 추진 시 적용해야 할 소프트웨어 개발 보안의 범위는 다음 각 호와 같다.
- 신규 개발의 경우 : 설계 단계 산출물 및 소스 코드 전체
- 유지 보수의 경우 : 유지 보수로 인해 변경된 설계 단계 산출물 및 소스 코드 전체
- 제 2항에 따라 소프트웨어 개발 보안 적용 시 상용 소프트웨어는 제외한다.
718. 참조 모니터
- 승인되지 않은 접근으로부터 객체를 보호하기 위해 객체에 대한 모든 주체의 접근을 통제하는 방법
- 참조 모니터 3가지 규칙
- 격리성 (Isolation) : 반드시 부정 조작이 없어야 함
- 완전성 (Completeness, 우회불가능) : 항상 무시되지 않고 호출되어야 함
- 검증가능성 (Veritiability) : 분석하고 테스트 할 정도로 충분히 작아야 함
719. 참조 모니터 (Reference Monitor) 규칙
- 격리성 (Isolation) : 반드시 부정 조작이 없어야 함
- 완전성 (Completeness, 우회불가능) : 항상 무시되지 않고 호출되어야 함
- 검증가능성 (Veritiability) : 분석하고 테스트 할 정도로 충분히 작아야 함
720. 고가용성 유형
- Hot Standby
- 가장 단순하면서 많이 사용되는 방식
- 평상시 백업시스템을 구성하여 대기상태를 유지하다가 장애 발생 시 자원을 Take - over 함
- Mutual Takeover
- 2개 시스템이 각각의 고유한 가동 업무 서비스를 수행하다가 한 서버에 장애가 발생하면 상대 시스템의 자원을 Failover하여 동시에 2개의 업무를 수행하는 방식
- 장애 발생 시 Failover에 대비해 각 시스템 2개의 업무를 동시에 서비스할 수 있는 시스템 용량을 갖추도록 고려
- 외장 디스크는 해당 시스템에서만 접근 가능
- Concurrent Access
- 여러 개의 시스템이 동시에 업무를 나누어 병렬 처리하는 방식
- HA에 참여하는 시스템 전체가 Active 한 상태로 업무 수행
- 한 시스템에 장애가 발생하여도 다른 시스템으로 Failover 하지 않고 가용성 보장
721. 저장장치 (스토리지)의 유형
- DAS (Direct Attached Storage)
- 서버와 저장장치를 전용 케이블로 직접 연결하는 방식 : 일반 가정에서 컴퓨터에 외장하드를 연결하는 것이 해당
- 서버에서 저장장치를 관리
- 저장장치를 직접 연결하므로 속도가 빠르고 설치 및 운영이 쉬움
- 초기 구축 비용 및 유지보수 비용이 저렴
- 직접 연결 방식이므로 다른 서버에서 접근할 수 없고 파일을 공유할 수 없음
- 확장성 및 유연성이 상대적으로 떨어짐
- 저장 데이터가 적고 공유가 필요 없는 환경에서 적합
- NAS (Network Attached Storage)
- 서버와 저장장치를 네트워크를 통해 연결하는 방식
- 별도의 파일 관리 기능이 있는 NAS Storage가 내장된 저장장치를 직접 관리
- Ethernet 스위치를 통해 다른 서버에서도 스토리지에 접근할 수 있어 파일 공유가 가능, 장소에 구애 받지 않고 저장장치에 쉽게 접근 가능
- DAS에 비해 확장성 및 유연성 우수
- 접속 증가 시 성능이 저하될 수 있음
- SAN (Storage Area Network)
- DAS의 빠른 처리와 NAS의 파일 공유 장점을 혼합한 방식
- 서버와 저장 장치를 연결하는 전용 네트워크를 별도로 구성하는 방식
- 광 채널 (FC) 스위치를 이용하여 네트워크 구성
- 광 채널 스위치는 서버나 저장장치를 광케이블로 연결하므로 처리 속도가 빠름
- 저장장치를 공유함으로써 여러 개의 저장장치나 백업 장비를 단일화시킬 수 있음
- 확장성, 유연성, 가용성이 뛰어남
- 높은 트랜잭션 처리에 효과적이나 기존 시스템의 경우 장비의 업그레이드가 필요하고, 초기 설치 시에는 별도의 네트워크를 구축해야 하므로 비용이 많이 듦
722. 분석 데이터 베이스
- ETL을 이용하지 않음
- ETL 과정을 통해서 만들어진 데이터베이스 = 분석 데이터 베이스
- ETL : 조직 내 외부의 복수의 데이터 소스들로부터 분석을 위한 저장소로 데이터를 이동시키는 프로세스
724. 데이터 베이스 표준화
- 데이터 명칭
- 해당 기업 내에서 데이터를 유일하게 구별해주는 이름
- 데이터 명칭에 대한 표준화는 동음이의어 및 이음동의어 조정을 필요로 함
- 데이터 명칭의 원칙 : 유일성, 업무적 관점의 보편성, 의미 전달의 충분성
- 데이터 정의
- 해당 데이터가 의미하는 범위 및 자격 요건 규정
- 사용자가 데이터의 의미를 가장 잘 이해할 수 있도록 업무 관점에서 범위와 자격 요건 명시
- 데이터 명치만으로는 사용자에게 전달하기 어려운 기타 사항들을 전달
- 데이터 소유자를 결정하는 기준
- 데이터 정의의 원칙
- 데이터 사용자가 데이터의 의미를 잘 이해할 수 있도록 관련 업무를 모르는 제 3자의 입장에서 기술
- 서술식 정의만으로 데이터 의미 전달이 어려울 경우 실제 발생할 수 있는 데이터의 값도 같이 기술
- 데이터 명칭을 그대로 서술하거나 약어, 전문용어를 이용한 정의 기술은 가급적 자제
- 데이터 형식
- 데이터 표현 형태의 정의를 통해 데이터 입력 오류와 통제 위험 최소화
- 업무 규칙 및 사용 목적과 일관되도록 정의
- 데이터 규칙
- 발생 가능한 데이터 값을 사전에 정의
- 데이터의 입력 오류와 통제 위험 최소화
- 데이터의 정합성 및 완전성 향상
- 데이터 규칙의 유형 : 기본 값, 허용 값, 허용 범위
726. 동시성 제어 기능 유형
- Locking (2PL)
- 모든 트랜잭션들이 lock과 unlock 연산을 확장 단계와 수축 단계로 구분하여 수행함으로써 동시성 제어를 수행하는 기법
- 장점 : 데이터 오류 가능성 사전 예방 가능
- 단점 : Lock 대기시간 발생, Deadlock 발생
- Timestamp
- 트랜잭션 식별 위해 Timestamp를 지정, 트랜잭션 간의 순서를 미리 선택하여 수행하는 동시성 제어 기법
- 장점 : Deadlock 발생 없음
- 단점 : Rollback 발생 확률 높음
- Validation (낙관성 검증)
- 트랜잭션 수행 동안 어떠한 검사도 하지 않고 트랜잭션 종료 시 확인 단계를 거쳐 직렬 가능성에 위반되지 않으면 실행, 위반되면 복귀하는 기법
- 장점 : 작업 속도 빠름
- 단점 : 트랜잭션 철회 비용이 큼
728. Bell-LaPadula 모델
- 미 국방부에서 개발한 정책
- 군사 보안 요구사항을 만족시키기 위한 모델
- 정보의 불법적인 유출을 막기 위해 개발된 최조의 수학적 모델
- 특정 객체에 대한 접근은 특정 직무가 접근을 요구하는 경우에만 분류된 수준에 대하여 허가되는 정책
- Bell-LaPadula 모델의 주요 특징
- No Read Up : 사용자는 주어진 보안 등급보다 높은 등급의 데이터는 읽을 수 없다
- No Write Down : 사용자는 주어진 보안 등급보다 낮은 등급의 데이터에 기록할 수 없다
729. 공통평가기준
- CC (Common Criteria)
- ISO 15408 표준으로 채택된 정보 보호 제품 평가 기준과 정보화의 순기능 역할을 보장하기 위한 정보보호 기술 기준
- 정보화 제품의 정보 보호 기능과 이에 대한 사용 환경 등급을 정한 표준 및 인증 체계
- 공통 평가 기준 구성
- 1부 : 소개 및 일반 모델 - 용어 정의, 보안성 평가 개념 정의, PP/ST 구조 정의
- 2부 : 보안 기능 요구사항 (SFR) - 보안 기능 요구 사항 정의 및 해석
- 3부 : 보안 요구 사항 (SAR) - 보증 요구 사항 및 평가 보증 등급 정의
- 평가 수행 지침 : CEM (CC Evalution Methodology)
- 공통 평가 기준 취득 시 혜택 : 국제상호인정협정 (CCRA) 에 따라서 평가 인증 결과를 회원국 간에 상호 인정
731. 코드오류 보안 약점
- Null Poiner 역참조 : Null로 설정된 변수의 주소값을 참조했을 때 발생하는 보안 약점 (obj가 null이고, elt가 null이 아닐 경우 Null.equals가 되어 널 포인터 역참조가 발생함)
- 부적절한 자원 해제 : 사용된 자원을 적절히 해제하지 않으면 자원 누수 등이 발생, 자원이 부족하여 새로운 입력을 처리할 수 없게 되는 보안 약점
- 해제된 자원 사용 : 메모리 등 해제된 자원을 참조하여 예기치 않은 오류가 발생될 수 있는 보안 약점
- 초기화되지 않은 변수 사용 : 변수를 초기화하지 않고 사용하여 예기치 않은 오류가 발생될 수 있는 보안 약점
732. Null Poiner 역참조
- Null Poiner 역참조 : Null로 설정된 변수의 주소값을 참조했을 때 발생하는 보안 약점 (obj가 null이고, elt가 null이 아닐 경우 Null.equals가 되어 널 포인터 역참조가 발생함)
- Null Poiner 역참조의 해결 방안 : 널이 될 수 있는 레퍼런스는 참조하기 전에 널값인지를 검사하여 안전한 경우에만 사용하도록 변경
733. 개발 보안 생명주기 (Secure SDLC) 절차
- 요구사항 분석 단계
- 요구사항 중 보안 항목 식별
- 요구사항 명세서
- 설계
- 위협원 도출을 위한 위협 모델링
- 보안설계 검토 및 보안 설계서 작성
- 보안 통제 수립
- 구현
- 표준 코딩 정의서 및 SW 개발 보안 가이드를 준수해 개발
- 소스코드 보안 약점 진단 및 개선
- 테스트
- 모의 침투 테스트
- 동적 분석을 통한 보안 취약점 진단 및 개선
- 유지보수
- 지속적인 개선
- 보안 패치
734. Seven Touchpoints
악용사례 | 요구사항과 Use Cases | |
보안 요구사항 | ||
위험분석 | ||
구조 설계 | ||
위험 기반 보안 테스트 | 테스트 계획 | |
코드 검토 (tools) | 코드 | |
침투 테스트 | 위험분석 | 테스트, 테스트 결과 |
보안 운영 | 현장과의 피드백 |
- 실무적으로 검증된 개발 보안 방법론 중 하나
- SW 보안의 모범 사례를 SDLC에 통합한 방법론
- MS-SDL과 동일하게 7개의 보안 강화 활동을 정의
735. CWE(Common Weakness Enumeration) 보안 약점
- 입력 데이터 검증 및 표현 : XSS, SQL 삽입, 버퍼 오버 플로우 등
- 보안 기능 : 중요 정보 평문 저장, 하드 코딩된 패스워드
- 시간 및 상태 : Deadlock 자원에 대한 경쟁 조건, 세션 고착
- 에러 처리 : 처리 루틴 누착, 정보 노출
- 코드 품질 : 널 포인트 역참조, 부적절한 자원 해제
- 캡슐화 : 디버거 코드, 시스템 데이터 정보
- API 악용 : DNS Lookup에 의존한 보안 결정
736. SQL 삽입
- 데이터베이스와 연동된 웹 어플리케이션에서 입력된 데이터의 유효성 검증을 하지 않은 경우 발생
- 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 약점을 말함
738. 암호화 기법
- DES
- Data Encryption Standard)
- 1972년 미 상무부의 NBS에서 정보보호를 목적으로 공모한 대칭키 기반 블록 암호화 알고리즘
- PKI (공개키 기반 구조)
- 각 개인이 공개 키와 개인 키를 소유하는 구조의 비대칭 키 기반 구조 (x. 509 표준)
- 개인 키로 암호화하고 공개 키로 복호화하는 구조
- 전자 서명, 공인 인증서 검증을 통해 부인 방지, 인증, 무결성, 기밀성 제공
- RSA
- 주요 정보를 두 개의 소수로 표현한 후 두 소수의 곱을 힌트와 함께 전송해 암호로 사용하는 비대칭키 암호화 알고리즘
- 전자서명, 공개키 기반 구조에서 사용
739. 공개키 (Public Key) System, PKI
- 공개키 암호화 기법
- 공개키로 암호화한 평문을 개인키로 복호화 하는 비대칭키 구조
- 암호화 키와 복호화 키가 다르므로 키 분배가 용이
- 부인방지, 인증, 무결성, 기밀성 제공이 가능하여 전자서명, 전자봉투 등에 활용
- 인증서는 x.509 표준에 따라 인증서 저장소 (Certiticte Repository)에 저장하여 공개
- 대표적인 비대칭키 암호화 알고리즘 : 디피/헬만, RSA, ECC
- PKI (Public Key Infrasructure)
- 인증 기관(CA)에서 공개 키와 개인 키를 포함하는 인증서를 받아 네트워크 상에서 안전하게 비밀통신을 가능하게 하는 기반 구조
- PKI의 구성 요소
- 사용자 : 인증서를 신청하고 인증서를 사용하는 주체
- 등록기관 (RA) : 사용자 요청 시, 신원을 확인하고 CA에 인증서 발급 요청
- 인증기관 (CA) : 인증서 등록, 발급 등의 관리 총괄, 인증서 폐기 목록 (CRL) 생성
- Certificate Repository : 인증서 및 CRL 보관
- Directory : 인증서 관련 서비스, LDAP
- PKI의 관리 대상
- 인증서 (X.509) 구조 : 버전, 일련번호, 서명 알고리즘, 유효기간 시작_종료, 주체, 공개 키, 다이제스트 알고리즘, 데이터 다이제스트, 이름, 키
- 인증서 검증방식 (CRL, OCSP, SCVP)
- 인증서 취소 목록 (CRL) : Certificate Revocation List
- 유효성 (OCSP) : Online Certifivate Status Protocol
- 인증서 체인 (SCVP) : Simple Certificate Validation Protocol
740. 암호화 알고리즘, 양방향 암호화 기법
- 암호화 알고리즘
- 평문을 암호문으로 만드는 과정
- 암호화의 원리 : 치환, 전치, 혼합, 블록화, 확장, 압축 등의 기법
- 양방향 암호화 기법
- 암호화키와 복호화 키의 상호 관계에 따라 대칭키와 비대칭키 가능
구분 | 대칭 키 알고리즘 | 비대칭 키 알고리즘 |
키의 상호관계 | 암호화 키 = 복호화 키 | 암호화키 ≠ 복호화키 |
암호화 키 | 비밀 키 | 공개 키 |
복호화 키 | 비밀 키 | 개인 키 |
비밀키 전송 여부 | 필요 | 불필요 |
키 고나리 | 복잡 - 모든 전송 당사자 간 암복호화 키 공유 | 단순 - 인증기관을 통해 전송 당사자 별 개인키 발급 |
안전한 인증 | 곤란 | 용이 |
암호화 속도 | 고속 | 저속 |
경제성 | 높음 | 낮음 |
부인방지 여부 | 불가능 : 대칭키로 인해서 | 가능 - 키의 2원화 |
속도 | 빠름 | 느림 |
구현 방식 | 블록, 스트림 암호화 | 소인수분해, 이산대수 |
적용 알고리즘 | DES, 3DES, SEED, AES, IDEA | RSA, ECC |
장점 | 구현 용이, 변형 가능 | 암호해독이 어려움, 전자서명 |
단점 | 쉽게 해독, 키 관리의 어려움 | 해독시간이 많이 걸림 |
741. 암호화 알고리즘, 양방향 암호화 기법
- 암호화 알고리즘
- 평문을 암호문으로 만드는 과정
- 암호화의 원리 : 치환, 전치, 혼합, 블록화, 확장, 압축 등의 기법
- 양방향 암호화 기법
- 암호화키와 복호화 키의 상호 관계에 따라 대칭키와 비대칭키 가능
구분 | 대칭 키 알고리즘 | 비대칭 키 알고리즘 |
키의 상호관계 | 암호화 키 = 복호화 키 | 암호화키 ≠ 복호화키 |
암호화 키 | 비밀 키 | 공개 키 |
복호화 키 | 비밀 키 | 개인 키 |
비밀키 전송 여부 | 필요 | 불필요 |
키 고나리 | 복잡 - 모든 전송 당사자 간 암복호화 키 공유 | 단순 - 인증기관을 통해 전송 당사자 별 개인키 발급 |
안전한 인증 | 곤란 | 용이 |
암호화 속도 | 고속 | 저속 |
경제성 | 높음 | 낮음 |
부인방지 여부 | 불가능 : 대칭키로 인해서 | 가능 - 키의 2원화 |
속도 | 빠름 | 느림 |
구현 방식 | 블록, 스트림 암호화 | 소인수분해, 이산대수 |
적용 알고리즘 | DES, 3DES, SEED, AES, IDEA | RSA, ECC |
장점 | 구현 용이, 변형 가능 | 암호해독이 어려움, 전자서명 |
단점 | 쉽게 해독, 키 관리의 어려움 | 해독시간이 많이 걸림 |
743. 양방향 대칭키 알고리즘의 종류
- AES
- 1998년 미국의 표준 기술 연구소 (NIST)에 의해서 수행된 암호화 알고리즘 공모전에 선정된 암호화 기술
- 대칭키 암호
- 세 종류의 키 사용 : 128비트, 192 비트, 256 비트
- 활용 : WPA2 무선 인증 등
- ARIA
- Academy(학계) Research Institute, Agency (정부 기관) 합작
- 경량 환경 및 하드웨어 구현을 위해 최적화된 Involutional SPN 구조를 갖는 범용 블록 암호화 알고리즘
- 활용 : 국내 공공기관
- IDEA
- 128비트의 키를 사용해 64비트의 평문을 8 라운드에 거쳐 64 비트의 암호문으로만 구성
- 모든 연산이 16비트 단위로 이루어지도록 하여 16비트 프로세서에서 구현이 용이
- 주로 키 교환에 사용
- 활용 : PGP 메일 암호 등
- RC5
- 1994년 미국 RSA 연구소의 리베스트가 개발
- 비교적 간단한 연산으로 빠른 암호화와 복호화 기능을 제공하여 모든 하드웨어에 적합
- 입출력, Key, 라운드 수가 가변인 블록 알고리즘
- 32, 54, 128 비트의 키를 사용
- 활용 : PC4 개선
746. Dos의 공격기법
공격기법 | 설명 | 대응방안 |
Bonk | 처음 패킷의 시퀀스 번호를 1로 보내고 다음에 보내는 패킷의 시퀀스 번호로 1로 조작해서 보내는 공격 | 패치 적용, 반복적인 패킷 차단 |
Boink | Bonk를 조작한 방법으로 처음에는 순서대로 시퀀스 번호를 순서대로 보내다가 중간부터 반복되는 시퀀스 번호를 보내는 공격 | |
TearDrop | UDP를 이용하여 Bonk, Boink보다 복잡하게 시퀀스 번호를 조작 | 운영체제 패치, 방화벽 . IPS 등 이용 차단 |
LAND | 패킷을 전송할 때 출발지 IP 주소와 목적지 IP 주소를 똑같이 만들어서 공격 대상에게 보내는 공격 |
747. 사회 공학적 해킹 기법
- 피싱
- 개인정보 + 낚시의 합성어
- 위장 사이트를 만든 후 인터넷 이용자들에게 이메일, SMS를 통해 보내 개인의 인증 번호 등을 획득하여 이를 불법적으로 이용하는 범죄 행위
- 파밍
- 다른 사용자의 도에인을 탈취하거나 도메인 네임 시스템의 이름을 속여 인터넷 사용자들이 진짜 사이트로 오인하도록 유도하여 개인 정보를 탈취하는 해킹 기법
- 랜섬웨어
- ransom + ware
- 시스템을 잠그거나 데이터를 암호화 해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램
- 랜섬웹
- 웹 서버에 저장된 DB를 암호화하고 백업 데이터 역시 암호화
749. DRDos (분산 반사 서비스 거부 공격)
- DRDos의 정의
- 정상적인 서비스를 작동 중인 서버를 reflection으로 트래픽을 증폭시켜 공격하는 기법
- DDoS 공격의 에이전트 설치 상의 어려움을 보완하여 TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용
- 정상 서버를 에이전트화 하여 공격하는 기법
- DRDos의 공격 원리 및 대응방안
- TCP 취약성 (3-Way Handshake), BGP 취약성, Reflection 서버 (다수 라우터, 대용량 대역폭 서비스)
- 서버보호, 클라이언트 보호, ISP 업체를 통한 통제
- DRDos의 대표적 공격 루틴
- 악의를 가진 해커가 타겟을 찾은 후 해당 타겟으로 자신을 위조
- 위조된 신분으로 인터넷 서비스를 정상적으로 사용 중인 서버나 웹 서비스 요청
- 웹 서비스를 요청받은 서버, 라우터 등이 위조된 목적지로 응답
- 실제 타겟은 아무것도 모른 채 엄청난 양의 응답을 받고 서비스 거부
'자격증 > 정보처리기사' 카테고리의 다른 글
[정보처리기사 필기] 기출문제 - 651 ~ 700. 오답노트 (0) | 2025.03.18 |
---|---|
[정보처리기사 필기] 기출문제 - 551 ~ 600. 오답노트 (0) | 2025.03.17 |
[정보처리기사 필기] 기출문제 - 601 ~ 650. 오답노트 (0) | 2025.03.17 |
[정보처리기사 실기] 정보처리기사 2020년 1회 실기문제 (0) | 2025.03.14 |
[정보처리기사 필기] 기출문제 - 501 ~ 550. 오답노트 (0) | 2025.03.13 |