반응형 IT/보안157 [정보보안 일반] 기본 보안용어 정의 1. 자산(Asset) - 조직이 보호해야 할 대상으로서 데이터 혹은 자산 소유자가 가치를 부여한 실체이다. 2. 취약점(취약성, Vulnerability) - 컴퓨터나 네트워크에 침입하여 환경 내의 리소스에 대한 허가되지 않은 접근을 시도하려는 공격자에게 열린 문을 제공할 수 있는 소프트웨어, 하드웨어, 절차 혹은 인력상의 약점을 가리킨다. 즉, 위협의 이용대상으로 관리적 물리적 기술적 약점이다. 3. 위협(Treat) - 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합니다. - 보안에 해를 끼치는 행동이나 사건이다. - 임의의 위협은 네가지로 구분된다. [기밀성에 영향] ■ 가로채기(interception) : 비인가된 당사자가 자산으로의 접근을 획득한 것을 의미(불법 복사, 도청 등) [가.. IT/보안 2019. 11. 11. 더보기 ›› [정보보안 일반] 보안 공격(security attack) 1. 개요 (1) 보안의 세 가지 목표(기밀성, 무결성, 가용성)는 보안 공격에 의해 위협받을 수 있다. 보안 목표와 관련하여 세 개의 그룹으로 먼저 나누고, 다시 그 공격을 시스템에 미치는 영향에 따라 두 개의 유형으로 나눈다. 2. 기밀성을 위혀하는 공격 (1) 스누핑(Snooping) ① 스누핑은 데이터에 대한 비인가 접근 또는 탈취를 의미한다. 예를 들어, 전송하는 메시지를 가로채고 자신의 이익을 위하여 그 내용을 사용할 수 있다. (2) 트래픽분석(Traffic Analysis) ① 비록 데이터를 암호화하여 도청자가 그 데이터를 이해할 수 없게 해도 도청자는 온라인 트래픽을 분석함으로써 다른 형태의 정보를 얻을 수 있다. ② 예를 들어, 도청자는 수신자 또는 송신자의(이메일 주소 같은) 전자 주.. IT/보안 2019. 11. 8. 더보기 ›› [정보보안 일반] 정보보호의 목표 - 기밀성, 무결성, 가용성, 인증성, 책임추적성 정보보호의 목표 1. 기밀성(Confidentiality) (1) 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙. (2) 기밀성은 데이터 처리의 모든 접속점에서 필요한 수준의 비밀 엄수가 강제되도록 하고, 허가받지 않은 정보 유출을 예방하는 것을 보장한다. 이러한 수준의 기밀성은 데이터가 네트워크 내의 시스템과 장비에 보관되어 있을 때나 데이터가 전송될 때 그리고 데이터가 목적지에 도달한 이후에도 유지되어야 한다. (3) 기밀성을 보장하기 위한 보안 기술에는 접근 제어, 암호화 등이 있다. 2. 무결성(Integrity) (1) 네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질을 말.. IT/보안 2019. 11. 8. 더보기 ›› 제로 데이 공격 제로 데이 공격(또는 제로 데이 위협, Zero-Day Attack) 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다. 이러한 시점에서 만들어진 취약점 공격(익스플로잇)을 제로 데이 취약점 공격이라고도 한다. 제로 데이 공격 대상물이 되는 프로그램은 공식적으로 패치가 배포되기 전에 감행된다. 이런 프로그램들은 보통 대중들에게 공개되기 전 공격자들에게로 배포된다. 단어의 어원은 공격이 감행되는 시점에서 유래한 것이다. 제로 데이 공격 대상물은 대중과 프로그램 배포자들이 잘 모르는 것이 보통이다. 공격 매개 요소 맬웨어 제작자들은 제로 데이 대상물의 취약점을 여러 가지 경로로 공략할 수 있다. 예를 들면, 사용자들이 허위 (혹은.. IT/보안 2019. 10. 7. 더보기 ›› [정보보안기사] 시스템 보안 - 패스워드 크래킹(Dictionary Attack, Brute Force Attack, Hybrid Attack, Rainbow Table) 패스워드 크래킹 사전 공격/사전 대입 공격 (Dictionary Attack) 패스워드로 자주 사용되는 사전에 있는 단어, 키보드 자판의 입력순(ex. asdf, qwer 등), 주민등록번호, 이름 등을 미리 사전(Dictionary) 파일로 만든 후 이를 하나씩 대입하여 패스워드 일치 여부를 확인하는 패스워드 크래킹 방법 무차별 공격/무작위 대입 공격(Brute Force Attack) 패스워드에 사용될 수 있는 문자열의 범위를 정하고, 그 범위 내에서 생성 가능한 모든 패스워드를 생성하여 이를 하나씩 대입, 패스워드 일치 여부를 확인하는 패스워드 크래킹 방법 일반적으로 사전 대입 공격 실패 후 무차별 공격을 진행한다. 혼합 공격(Hybrid Attack) 사전 대입 공격(Dictionary Attac.. IT/보안 2019. 9. 17. 더보기 ›› 반응형 이전 1 ··· 6 7 8 9 10 11 12 ··· 32 다음