주요 토픽 정리 241~270 [보안, CAOS]

 

토픽	키워드	두음신공	주요 내용
무선랜 보안	802.1x, 802.11i, WPA3		. 무선랜은 기본적으로 브로드캐스트망, 인증 및 데이터 암호화 부분에 취약함 (취약점) 장비 도난, 도청, 불법AP(Rouge AP), 취약 암호화, 비인가 접근, War Driving (보안 기술) 사용자 인증(802.1x), 데이터 암호화(802.11i), WPA3
IEEE 802.11i	무선랜 보안 표준		(정의) WEP 보안 취약, RC4 취약점 보완하기 위한 EAP 등 보안 기술이 포함된 무선랜 보안 표준(2004) (요소 기술) 인증 : PSK, 802.1x(EAP) / 암호화 : TKIP, CCMP / 키교환 : 4-way Handshake
RFID 보안		킬패액블해리	(위협 요인) 개인 소지품 정보 유출, 개인정보의 프로파일링, 개인 위치 추적, 행동 추적 (공격 기법) 도청, 트래픽 분석, 서비스 거부, 태그 복제/재사용/분실 (대응 방안) Kill Tag(영구적 비활성화), Faraday Cage(금속 박막), Active Jamming(강한 방해신호), Blocker Tag(두 가지 응답), Hash Lock(ID 보호), Re-encryption(정기적), Silent Tree Walking(신호전달 거리 차이)
NFC 보안	URI 검증, NFC-SEC 적용		(보안 취약점) 통신 방해, 정보 유출, 중계 공격, 악성코드, DDoS (대응 방안) 암호화, 보안채널, URI 검증, NFC-SEC 적용(안전한 데이터 교환 보안 프로토콜)
M2M 보안	디바이스, GW, 네트워크		(구성) M2M 디바이스, M2M GW, M2M 네트워크, M2M 어플리케이션 (보안 위협) 데이터 노출/변경/싹제, 불법 도용, DoS, 개인정보 수집/도용, 위치 추적 (대응 방안) 장비 간 인증, 데이터 끼밀성/무결성, 시스템 가용성
VoIP 보안			(VoIP 스팸) Call 스팸(음성), IM 스팸(인스턴트 메시지), 프레즌스 스팸(프레즌스 정보 이용), 비싱(Voip+피싱 사회공학적 방법, 개인정보 취득) (대응 방안) 사용자 인증(Http Digest), 신호 보안(TLS, IPSec, S/MIME), 미디어 보안(SRTP), 키관리(MIKEY, DTLS-SRTP), 암호화(AES, ARIA)
MDM(Mobile Device Management)	OMA-DM, OTA, 모바일 보안관리, App 관리		(구성) 모바일 기기 ↔ OMA-DM(통신 프로토콜, 모바일에 Agent형태로 탑재) ↔ MDM 서버 (기능) OTA(Over The Air, 위치에 상관없이 기기 관리, 원격제어), 실시간 모니터링/인벤토리, 모바일 보안관리, App 관리 * OMA-DM : Open Mobile Alliance-Device Management
스턱스넷	SCADA 대상 악성코드		(정의) SCADA 시스템을 대상으로 침투하여 오작동을 일으키는 악성코드 (특징) 정의한 대상에게만 공격이 일어남, USB/공유폴더/프린트 Splooer로 전파, PLC 코드 블록 변조하여 은닉 (대응 방안) 저장매체 보안 관리, 시스템 패치, 전용 백신, 화이트리스트, 주기적 Password 변경, 보안 감사 실시
클라우드 보안	보안위협	인공하프남내유, 오손유변장, VAS	(클라우드 서비스 보안위협, CSA) . 불완전한 인터페이스, 기술 공유 문제, 계정 또는 서비스 하이잭킹, 알려지지 않은 위협 프로파일 . 클라우드 컴퓨팅의 남용, 악의적인 내부자, 데이터 유실 및 유출 (멀티테넌시 보안위협) 기능오류, 데이터 손실, 내부자 유출, 데이터 변조, 장애 * Multi-Tenancy : SW/HW 등 자원을 여러 사용자가 공유하며 사용자에 맞게 할당하여 사용, Single Instance Multi-Tenancy (기존 보안기술 한계점 및 해결방안) . 한계점 : 물리적인 기존 보안기술로는 하이퍼바이저에 보안사각지대가 생김, 다수 VM에 설치되는 Anti-Virus Agent에 의한 성능 저하 . 해결방안 : VMI(Introspection, 하이퍼바이저 통해 각 VM 감시), 별도 VM에 Agentless 가상 보안 어플라이언스 구성, SecaaS
스마트폰 보안		배과장정크	(모바일 악성코드 분류) 배터리 소모형, 과금 유발형, 장애 유발형, 정보 유출형, 크로스 플랫폼형(PC감염)
앱 보안	코드서명, 정적/동적 검증		(앱 보안 검증) 코드 서명 검증(개발자 코드 서명), 정적 검증(악의적 행위를 사전 정의한 정책 DB와 비교), 동적 검증(앱 실행하여 검사)
USB 보안	파티션/섹터/파일 암복호화		(기술요소) 사용자 인증/식별, 데이터 암/복호화(파티션, 섹터, 파일), 임의복제방지, 분실 시 삭제
DB 보안	DAC, MAC, RBAC, BLP, Biba		(기술요소) 접근통제(DAC, MAC, RBAC), 허가규칙(허가된 데이터), 가상테이블(View), 암호화(MD5, RSA )
DB 암호화	DMZ, 고유식별번호	아하플커	(암호화 대상) 개인정보보호법, 정보통신망법 적용→필수 서버 : DMZ, 정보 : 고유식별번호(주민, 여권, 운전면허, 외국인등록번호) (암호화 방식) API(응용프로그램에 암호 API), 하이브리드(API+Filter), Plug-in(DBMS에 암호모듈), 커널(백그라운드 프로세스가 자동 암복호화)
망분리	논리적/물리적		(망분리 방식) 논리적 : 서버 가상화(SBC), PC 가상화(CBC) / 물리적 : 복수 PC, 망 전환장치(HDD, NIC))
NTP 보안	moonlist		(NTP 분산 서비스 거부 공격) . UDP 공격(소스 IP 위조), 반사 공격, 대용량 DDoS(공개된 NTP서버 이용), monlist 질의(최근 접속한 600개 IP 정보 요청, 요청 대비 20배 용량)
정보보호 거버넌스	EDM 프로세스(평가, 지시, 모니터링)	행성전획준책, 평지모의감	(정의) 기업 거버넌스의 일환으로 전략적 연계, 관련법 준수, 의사결정 권한과 책임 할당을 위한 프로세스 및 실행체계 (6대 원리) . 책임 : 주어진 책임과 권한을 이해하고 수용 / 전략 : 비즈니스 전략과 정보보호 전략의 연계 . 획득 : 투명한 절차를 통한 자산 구매 / 성과 : 요구되는 서비스 품질 유지 . 준거 : 컴플라이언스, 정보보호 규정, 법규 준수 / 행동 : 정보보호 시행에 있어 인간적인 행동방식 이해 (핵심 프로세스 : EDM 프로세스 중심, Evaluate/Direct/Monitoring)) . 평가 : 변경 시 영향도 평가 (평가 결과서) / 지시 : 필요사항 제시(실행 결과서) / 모니터링 : 진단과 점검 수행(모니터링 보고) . 의사소통 : 이해관계자간 공유(EDM 보고서) / 감사 : 감사 의뢰/결과에 대한 문서, 피드백(감사 결과서) (도메인 구성요소) 전략적 연계, 위험관리, 자원관리, 성과관리, 가치전달
통제 활동	정보보호 수준 유지	예탐저교	(정의) 조직의 정보보호 수준을 유지하기 위한 통제 활동 (유형) . 예방 통제 : 사전 대비 / 탐지 통제 : 보안 위협 및 사고 발생 인지 . 저지 통제 : 미비한 통제 조치 보완, 위험 발생 저지 / 교정 통제 : 문제 원인 식별, 분석하여 보완
개인정보 비식별화	비식별 조치 후 적정성 평가, 사후관리	사비적사	(정의) 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 결합하여도 특정 개인을 식별하기 어렵도록 하는 일련의 조치 (배경) 빅데이터 활용 지원을 위해 개인정보 비식별화 처리 필요 (기법) 가명처리, 총계처리, 데이터 값 삭제, 범주화, 데이터 마스킹 (가이드라인 : 절차) 사전 검토→비식별 조치→적정성 평가(K-익명성)→사후관리 (의미) 식별자 : 개인 식별 가능 속성 / 준식별자 : 결합을 통해 개인 식별 가능(비식별화 대상), 민감 정보(개인 사생활이 드러나는 속성)
K-익명성	동질성/배경지식 공격		(정의) 지정된 속성이 가질 수 있는 값을 K개 이상으로 유지하여 프라이버시 누출을 방지 (취약점) . 동질성 공격 : 공격자가 추가 데이터를 확보하고 동치류 내 동일한 민감 속성이 있다면 유추 가능 . 배경지식 공격 : 공격자가 추가 데이터를 확보하고, 공격 대상에 대해 배경지식이 있다면 유추 가능
L-다양성	동치류 내 민감 속성 L개 이상, 쏠림/유사성 공격		(정의) K-익명성 보완, 임의의 동치류 내의 서로 다른 민감한 속성 값이 L개 이상 존재함을 보장 (취약점) . 쏠림 공격 : 각 동치류가 전체 분포, 비율을 고려하지 않고 L-다양성만 만족하여 발생 . 유사성 공격 : 민감한 정보의 의미 유사성을 고려하지 않아 발생
T-근접성	전체/동치류 민감 정보 분포차 T 이하		(정의) L-다양성 보완, 전체 데이터에서 민감한 정보의 분포와 각 동치류에서 민감한 정보 분포의 차이가 T 이하임을 보장 (0<T<1)
PPDM(Private Preserving Data Mining)	프라이버시 보호 데이터 마이닝		(정의) 데이터 소유자의 프라이버시를 보호하면서 데이터를 분석하는 데이터 마이닝 기법, 데이터 전처리 과정에서 의도적으로 데이터 왜곡 (기법) . 시계열 데이터 교란 기법 : 노이즈 추가(원본 X → X+E or X*E), 압축기반 교란(이산 푸리에 변환, 이산 웨이블릿 변환), 기하학적 교란(데이터간 상관관계도 변화가능, 회전, 평행이동), K-익명성 . 분산 프라이버시 보호 기법 : 안전한 스칼라 곱과 유클리디안 거리, 프라이버스 보호 질의 처리, 프라이버시 보호 집계
TOR(The Onion Routing)	Cell, Circuit(3OR), OR, OP		(정의) 인터넷상에서 네트워크 경로를 알 수 없도록 암호화 기법을 사용한 익명성을 보장하는 네트워크 (구성요소) Cell(TOR 통과하는 고정 크기 패킷, 512Byte), Circuit(통상 3개 OR, 입구/중간/출구노드), OR(Onion Router), OP(Onion Proxy, 연결관리), Directory 서버(OR 및 Circuit 정보 저장), 암호화(키교환 : Diffie-Hellman, 데이터 : AES, TLS)
WPA3	Personal, Enterprise, SAE, 192bit		(정의) WPA2 취약점 발견(KRACK, Key Reinstallation Attack, MITM 공격 일종)에 따른 Wi-Fi 보안 강화를 위한 기술 (운영 모드) . WPA3-Personal : SAE(키 교환 과정 강화, 사전 공격 방어), FS(Forward secrecy, 암호 알아도 이전 세션 해독 불가), 자연 암호 선택, 간편한 사용, . WPA3-Enterprise : 192bit 보안 모드, GCMP-256bit, HMAC-SHA384, ECDH, ECDSA (추가 기능) . Wi-Fi Easy Connect : 디스플레이 없는 IoT 기기의 연결 단순화, QR 코드 스캐닝 등 활용 . Wi-Fi Enhanced Open : 비암호화 개방 네트워크에서도 AP와 클라이언트 간 통신을 OWE 기반 암호화 제공 * SAE(Simultaneous Authentication of Equals), * OEW(Opportunistic Wireless Encryption)
암달	병렬처리 한계		(정의) 프로그램은 병렬처리가 가능한 부분과 순차처리 부분으로 구성되므로 프로세서를 아무리 병렬화하더라도 성능에 한계가 있다는 법칙, 4개 CPU면 2.5배 성능 향상 (공식) Sp(성능향상, Speed up) = 1 / ((1-p) + p/n), p : 동시에 처리 할 수 있는 작업의 비율, n : 프로세서의 수
구스타프슨	암달 반대		(정의) 컴퓨터 과학에서 대용량 데이터 처리는 효과적으로 병렬화할 수 있다는 법칙 (공식) Sp(성능향상, Speed up) = p-α*(p-1) : α : 순차처리 비율, p : 프로세서의 수
무어	칩18개월		(정의) 18개월마다 칩의 가격은 절반으로 하락하고, 성능은 배로 발전 (유사) 황의 법칙 : 반도체 집적도는 1년에 2배씩 증가한다.
네트워크 가치 법칙	샤노프, 멧갈프, 리드	샤엔멧제리지	(네트워크 가치 관련 법칙) (샤노프의 법칙) 방송 등 전통매체에서는 시청자(viewer) 수에 비례(n) (멧갈프의 법칙) 사용자(참여자) 수의 제곱에 비례(n^2) (리드의 법칙) 노드의 수의 2^n(지수승)에 비례
요르돈	눈덩이 효과		(정의) Snowball Effects, 산꼭대기의 눈 뭉치가 산 밑에 도달하면 엄청난 눈덩이가 되듯이 많이 사용하고 전달할수록 극대화되는 현상을 의미 (특징) 모든 산업분야에 적용되는 것은 아님(디지털 제품에 최적)