본문 바로가기

Computer/Computer Security19

공개키 암호 공개키 암호 개념 (Public Key Cryptography)두 개의 키 사용공개키(Public Key): 누구나 사용 가능, 암호화에 사용.개인키(Private Key): 본인만 소유, 복호화에 사용.원리누구나 공개키로 데이터를 암호화할 수 있지만,개인키 없이는 해독 불가능.안전한 키 분배, 인증, 서명, 암호화에 활용.목적: 안전한 키 분배, 전자 서명, 데이터 암호화 등.수학적 기반: 일방향 함수(One-way Function) 이용.기반 문제 (수학적으로 어려운 일방향 함수 기반)→ 일방향 함수:앞으로 계산은 쉽지만, 역으로 해독은 어렵다.소인수분해 문제큰 수를 두 소수의 곱으로 만들기는 쉽다.역으로 소인수분해는 매우 어렵다.→ RSA이산대수 문제a^x mod n은 쉽다.역으로 x를 찾기는 어렵.. 2025. 5. 13.
대칭키 암호 대칭키 암호 (Symmetric Key Encryption)개념암호화와 복호화에 동일한 키 사용빠른 속도, 상대적으로 간단한 알고리즘장점: 효율적, 빠름단점: 키 분배의 어려움암호화: C = EK(P) 복호화: P = DK(C)블록 암호 (Block Cipher)라운드 함수: 반복되는 함수키 스케줄: 키를 입력하여 라운드 키를 발생시키는 과정라운드 키: 라운드 함수에 작용하는 키개념평문 → 고정된 크기 블록으로 나누어 암호화대표 구조Feistel 구조 (DES, SEED 등)SPN 구조 (AES, ARIA 등)Feistel 구조블록을 좌·우로 나눠 XOR 및 라운드 함수 반복 (짝수 번의 라운드를 진행)역변환 용이 (복호화 시 암호화 과정 역순)SPN 구조S-box(치환) → P-box(전치) 순으로 .. 2025. 5. 13.
디지털 포렌식 디지털 포렌식 개요디지털 포렌식:디지털 기기에서 수집된 데이터를 법적 증거로 활용하기 위해 과학적 방법으로 수집·분석·보고하는 과정.→ 컴퓨터, 네트워크, 스마트폰 등 디지털 매체 대상.등장 배경:디지털 범죄 증가, 데이터 대부분이 디지털 형태, 범죄 수사에 필수.디지털 증거 개념 및 특성디지털 증거란?디지털 매체에 저장되거나 네트워크로 전송되는 자료 중 법적 효력을 갖는 정보.기록방식, 저장원리, 프로그램 동작 원리 등에 대한 이해 필수.유형내용물 증거:사건을 직접 증명 (문서, 사진, 메일 등).특성 정보 (메타데이터):생성 시간, 파일명, 해시코드 등.생성 주체 기준컴퓨터 저장 증거: 사람이 작성 (내용물 중심).컴퓨터 생성 증거: 자동 생성 (메타데이터 중심).주요 특성비가시성: 육안으로 식별할 .. 2025. 5. 13.
React Native 보안 체크리스트 취약점 유형❗ 네트워크 평문 통신 (MITM)설명: HTTPS 대신 HTTP 또는 SSL 미설정 시, 중간자 공격에 노출방어전략:✅ 모든 API 요청은 HTTPS 사용✅ SSL 핀닝 적용 (react-native-ssl-pinning)✅ 인증서 유효성 검증 (서명, CN 확인 등)취약점 유형❗ 민감 정보 평문 저장설명: 토큰, 비밀번호, 사용자 정보가 암호화 없이 저장될 경우 노출 위험방어전략:✅ react-native-encrypted-storage, SecureStore, Keychain 사용✅ AsyncStorage에는 민감 정보 절대 저장 금지✅ 저장 시 AES 기반 암호화 적용취약점 유형❗ 디버그 코드 유출설명: __DEV__, console.log, debugger 코드가 빌드에 포함되면 정보.. 2025. 4. 1.
웹 보안 및 모바일 보안 01. 웹 보안의 개요웹 서비스 구조웹 클라이언트 (브라우저) ↓ HTTP웹 서버 ↔ 웹 애플리케이션 ↔ DB보안 필요성모든 구성 요소에서 공격 가능성 존재특히 웹 애플리케이션 ↔ DB 사이에 취약점 많음네트워크 구간은 SSL/TLS로 보호 가능하지만, 애플리케이션과 DB 보안은 별도 대책 필요02. 웹 보안 위협 요소1. SQL Injection (SQL 삽입 공격)쿼리에 악성 SQL문을 삽입해서 인증 우회나 데이터 탈취예시:SELECT * FROM users WHERE id = '$id' AND pw = '$pw';입력값에 ' OR '1'='1 넣으면 무조건 참이 돼서 인증 우회 가능방어법Prepared Statement (매개변수 바인딩)입력값 검증최소 권한 DB 계정 사용2. XSS (Cr.. 2025. 4. 1.
이메일 보안 이메일 보안이메일의 문제점이메일은 여러 서버/라우터를 거쳐 전송되며, 내용이 노출될 수 있음.마치 엽서처럼 내용이 쉽게 도청/변조될 위험이 있음.해결책: 보안 도구PGP (Pretty Good Privacy)S/MIME (Secure/Multipurpose Internet Mail Extension)→ 이메일에 기밀성, 인증, 무결성, 부인방지 기능 제공PGP (Pretty Good Privacy)개요이메일을 암호화 + 전자서명해서 보안 보장대칭키(세션키) + 공개키 암호 방식을 하이브리드로 사용메일 내용 암호화 → 서명 → 압축 → ASCII 변환(Radix-64) 순서로 전송제공 보안 서비스(주요 알고리즘)인증메시지 해시 → 개인키로 서명 → 수신자가 공개키로 검증SHA, DSA, RSA기밀성세션키로.. 2025. 4. 1.
DB(데이터베이스) 환경 보안 체크리스트 취약점 유형❗ SQL Injection설명: 사용자 입력이 SQL 쿼리 문자열로 조작되어 DB를 탈취/삭제하는 공격방어전략:✅ JPA, MyBatis, QueryDSL 등에서 파라미터 바인딩 사용✅ 입력값 직접 SQL에 연결하지 않기✅ PreparedStatement 사용 필수✅ 입력값 escape는 보조 수단 (기본은 바인딩 처리)취약점 유형❗ 과도한 권한 설정설명: DB 사용자에게 모든 권한(ALL PRIVILEGES) 부여 시 데이터 유출/삭제 위험방어전략:✅ 사용자별 최소 권한 부여 (SELECT, INSERT 등 필요한 것만)✅ READ ONLY, READ WRITE 권한 분리✅ 운영/개발/테스트 환경별 계정 분리취약점 유형❗ 비밀번호 평문 저장설명: 사용자 비밀번호를 DB에 그대로 저장할 경우.. 2025. 4. 1.
보안 시스템 II 보안 시스템 II (침입탐지 시스템 IDS / 침입방지 시스템 IPS)01. 침입탐지 시스템 (IDS: Intrusion Detection System)🔹 개념네트워크나 시스템에서 비정상적인 행위나 공격 시도를 탐지하는 시스템탐지만 가능하며, 자동 차단은 ❌ (→ IPS와 차이)🔹 주요 기능사용자/시스템 행위 모니터링시스템 설정과 취약성에 대한 감사기록시스템 무결성 평가 (파일 변조 여부 등)알려진 공격 패턴(시그니처) 탐지통계 분석, 비정상 행위 감지🔹 구성 요소모니터링부센서 → 데이터 수집 (로그, 트래픽 등)분석 및 조치부(모니터링부에서) 수집된 데이터를 (가공, 축약) 분석 → 침입 여부 판단 후 알림 → 조치관리부정책 설정, 전체 IDS 시스템 제어🔹 IDS의 동작 방식별 분류응용 기반애.. 2025. 4. 1.
보안 시스템 I 01. 보안 시스템 개요보안 시스템이란?사이버 공격을 탐지하거나 차단하는 시스템주요 구성:침입차단시스템 (Firewall): 외부로부터 차단침입탐지시스템 (IDS): 공격 탐지침입방지시스템 (IPS): 탐지 + 차단가상사설망 (VPN): 외부에서도 안전한 내부망 사용네트워크 접근제어 시스템 (NAC): 인증 안 된 장치 차단02. 침입차단시스템 (방화벽, Firewall)개념외부에서 내부 네트워크로 접근하려는 불법 사용자나 위협 요소를 차단네트워크 경계에서 트래픽을 검사하고 통제함방화벽 구성 방식① 패킷 필터링 (Packet Filtering)OSI 3~4계층에서 동작 (IP, TCP/UDP 헤더 검사)IP 주소, 포트번호, 프로토콜 기반으로 통과 여부 판단장점속도가 매우 빠름 (단순 검사)사용자에게 투.. 2025. 4. 1.

티스토리툴바