본문 바로가기

정보보안 일반

 (9)
안전한 암호화 기법 정리 암호화는 데이터를 보호하는 마지막 방어선입니다.단순히 암호화 알고리즘만 사용하는 것이 아니라, 키 관리, 모드 선택, 인증까지 포함한 전체 체계가 안전해야 합니다.1. 분류 체계암호 방식대칭키 (Symmetric)동일한 키로 암호화/복호화 공개키 (비대칭, Asymmetric)공개키로 암호화하고, 개인키로 복호화기능 목적기밀성 (Confidentiality)암호화 자체 무결성 (Integrity)위변조 방지 (예: HMAC) 인증 (Authentication)신원 보장 (예: 서명, TLS handshake)데이터 범위정지 데이터 (At Rest)저장된 파일/DB 전송 중 데이터 (In Transit)네트워크 통신 사용 중 데이터 (In Use)메모리 상 암호화 (Homomorphic 등 고급 영역) 2..
레지스터란 무엇인가? 악성코드 분석에서 자주 등장하는 "레지스터"란 무엇인가?1. 개요악성코드 분석을 하다 보면 다음과 같은 어셈블리 코드나 디버거 로그를 접하게 됩니다. mov eax, 1 cmp eax, ebx push edi call 0x401000 이 코드에서 eax, ebx, edi 같은 단어는 바로 레지스터(Register) 입니다.하지만 ‘레지스터’라는 개념은 초심자에게 낯설고, 변수처럼 보이기 쉽습니다.이 글에서는 레지스터가 무엇인지, 왜 악성코드 분석에서 중요하게 다뤄지는지, 실전에서 어떻게 활용되는지를 정리합니다.2. 레지스터란?레지스터(Register) 는 CPU 내부의 초고속 임시 기억장소입니다.메모리(RAM)보다 훨씬 빠름연산 중간값이나 주소 등을 저장CPU가 직접 접근하며 명령어 실행에 필수비유RAM..
X.509 인증서란 무엇인가? TLS, HTTPS, SAML, VPN 등 거의 모든 보안 프로토콜에서 등장하는 X.509 인증서.이게 정확히 뭐고, 왜 중요한 걸까?1. X.509란 무엇인가?X.509는 사용자의 공개키와 신원을 묶어서, 이를 보증하는 표준화된 형식의 디지털 인증서다.쉽게 말하면, 인터넷 세계의 주민등록증 또는 사원증 역할을 한다.2. 실생활과 비교해서 이해하기이름홍길동www.example.com주민번호123456-XXXXXXX인증서 고유 Serial Number발급기관행정복지센터CA (인증기관)만료일2030년 12월 31일Not After 필드서명도장/전자서명CA의 디지털 서명 인증서는 말한다:“나는 www.example.com이고, 이건 내가 쓴 공개키야. 그리고 CA가 내가 맞다고 보증했어.”3. X.509 인증..
DNS 터널링과 DGA(Domain Generation Algorithms) 1. DNS 터널링 (DNS Tunneling)개념:DNS 프로토콜은 원래 "www.amazon.com이 어떤 IP야?"처럼 도메인명을 IP로 바꿔주는 요청을 처리하는 데 사용됩니다. 하지만 공격자는 이 DNS 요청/응답에 자신들의 데이터를 몰래 심어 보내는 방식으로 악용합니다. 마치 우체국을 통하는 일반 편지에 비밀 메시지를 몰래 끼워 보내는 것과 비슷합니다.비유:회사에서 메일 필터링 시스템이 이메일 첨부파일을 다 검사한다고 가정합시다. 그런데 누군가 회사 복사기에 쓴 문서를 ‘팩스’로 빼돌리는 것처럼, DNS는 ‘인터넷 나가는 길’ 중 덜 감시되는 통로이고, 여기에 데이터를 실어 보내는 것이 바로 DNS 터널링입니다.예시:일반 DNS 요청:www.google.com → 8.8.8.8 (정상적인 IP ..
OSI 계층별 DDoS 공격 유형 정리 DDoS(Distributed Denial of Service, 분산 서비스 거부 공격)는 네트워크 자원을 고갈시켜 정상적인 서비스를 방해하는 공격입니다. 이번 글에서는 OSI 7계층 모델을 기준으로, 각 계층에서 발생할 수 있는 주요 DDoS 공격 유형을 정리해보겠습니다.✅ OSI 7계층과 DDoS의 관계OSI 7계층은 네트워크 통신 과정을 7단계로 나눈 모델로, DDoS 공격은 각 계층의 특성을 악용하여 다양한 방식으로 전개됩니다. 7응용(Application)사용자 인터페이스, HTTP, DNS6표현(Presentation)데이터 형식/암호화5세션(Session)세션 설정/유지4전송(Transport)TCP/UDP 포트, 연결 제어3네트워크(Network)IP 주소 라우팅2데이터링크(Data Li..
위험 분석 접근법 비교 및 장단점 정리 보안 위험 분석 방법에는 여러 가지가 있으며, 각각의 특성과 장단점이 존재한다. 조직의 환경과 목적에 맞는 적절한 방법을 선택하는 것이 중요하다.1. 베이스라인 접근법개념: 기존의 보안 표준과 규정을 기반으로 최소한의 보안 요구사항을 설정하는 방식 장점: 빠르고 간단함, 법규 준수 용이, 적용 쉬움 단점: 맞춤형 적용 어려움, 실제 위험 분석 부족, 과잉 혹은 과소 보호 가능성 있음2. 상세 위험 분석개념: 자산, 위협, 취약점을 체계적으로 분석하여 보안 리스크를 정량적, 정성적으로 평가하는 방식 장점: 맞춤형 보안 가능, 리스크 우선순위 결정 가능, 비용 대비 효과적인 보안 가능 단점: 시간과 비용 소요 큼, 전문가 필요, 데이터 부족 시 분석 어려움3. 비정형 접근법개념: 공식적인 절차 없이 전문가의..
FTP Active Mode vs Passive Mode FTP(File Transfer Protocol)는 클라이언트와 서버 간 파일을 주고받는 데 사용되는 대표적인 프로토콜입니다. FTP는 Active Mode(능동 모드)와 Passive Mode(수동 모드) 두 가지 방식으로 동작합니다. 이번 글에서는 Active Mode와 Passive Mode의 차이점, 동작 방식, 그리고 방화벽 환경에서 어떤 방식을 선택해야 하는지를 알아보겠습니다.1. FTP Active Mode (능동 모드)Active Mode에서는 클라이언트가 서버에 데이터 전송을 요청하면, 서버가 클라이언트에게 직접 연결을 시도한다.Active Mode 동작 과정클라이언트가 서버의 21번 포트로 접속하여 **명령 채널(Control Channel)**을 생성클라이언트는 PORT 명령을 사용하..
포트 스캔 기법 총정리 포트 스캔은 네트워크 보안 및 공격에서 중요한 기술로, 시스템의 열려 있는 포트를 식별하고 잠재적 취약점을 찾는 데 사용됩니다. 아래는 주요 포트 스캔 기법과 그 특징을 정리한 내용입니다. 1. 스텔스 스캔 (Stealth Scan)스텔스 스캔은 탐지를 피하면서 포트 상태를 확인하는 기법입니다.(1) SYN Scan (Half-Open Scan)설명: TCP 3-way handshake를 완전히 완료하지 않고, SYN 패킷을 보내고 SYN/ACK 응답을 기다리는 방식.동작 원리:SYN 패킷 전송 → 응답 분석:SYN/ACK: 포트 열림.RST: 포트 닫힘.응답 없음: 필터링됨.장점:빠르고 효율적.연결을 완전히 맺지 않아 탐지 가능성이 낮음.단점:일부 방화벽이나 IDS에서 탐지될 수 있음.(2) FIN S..
[Snort] HTTP 통신 URI 탐지 옵션 비교 (uricontent vs http.uri) HTTP 통신 URI 탐지 옵션 비교 (uricontent vs http.uri) Snort는 네트워크 침입 탐지 및 방지 시스템으로 다양한 HTTP 트래픽 분석 기능을 제공합니다. 특히 HTTP 요청에서 URI를 탐지하는 기능은 아주 중요합니다. Snort에서 URI 내용을 탐지하기 위해 주로 사용되는 옵션은 http.uri와 uricontent입니다. 이 두 옵션의 차이점과 활용 방법에 대해 자세히 비교해 보겠습니다. uricontent vs http.uri1. uricontent기능: uricontent는 HTTP 요청에서 정규화된 URI 내용을 탐지하는 데 사용됩니다. URI의 인코딩(예: %20으로 표시되는 공백 등)이 일관되게 처리되어 분석됩니다.장점: URI 내에 포함된 다양한 인코딩 형식이..

티스토리툴바