[방통대] 정리집 | 컴퓨터 보안

강의	강의 내용
1강	컴퓨터 보안의 개념 컴퓨터 보안: 컴퓨팅 환경이 관여된 모든 상황에 대한 정보보호   정보보호의 목표 (CIA) # 기밀성 - 허락되지 않은 사람이 정보의 내용을 알지 X # 무결성 - 허락되지 않은 사람이 정보를 함부로 수정 X # 가용성 - 허락된 사람은 필요할 때 언제든 정보에 접근하고자 할 때 방해 받지 않고 조회할 수 있도록 하는 것   # 부인방지 - 정보에 관여한 자가 이를 부인하지 못하도록 # 인증 - 실체(정보 or 정보 사용자)가 주장하는 실체가 맞는지 확인하고 신뢰할 수 있는 것 #접근제어 - 정보에 대한 허락된 접근만 허용, 그외 접근 X (접근권한자와 접근 X 자를 구분) 정보화 환경과 역기능 선진화: 과거 정보의 전파가 느렸으나 통신회선 설치 이후 빨라진 속도 새로운 수법의 지속적인 등장: 과거 이메일을 이용하던 피싱은 보이스 피싱과 스미싱 등으로 다양화 컴퓨터 보안의 역사 1950년대 해커라는 용어를 처음 사용(MIT, TMRC 학생들) ARPANET: 컴퓨터를 연결하는 네트워크 개발 1980년대: 인터넷 표준 통신 프로토콜 TCP/IP 개발 2000년대: 분산 서비스 거부(DDOS) 공격 발생
2강	암호의 정의 기밀성을 보장을 위해, 안전하지 않은 채널을 통해 정보를 주고 받아도 제 3자는 정보의 내용을 모르는 것 키: 암호화와 복호화를 위한 열쇠   암호의 역사 고대 암호 스테가노그래피: 전치법, 치환법을 사용 - 밀랍(키)에 중요한 정보를 숨겨 전달하였으며 제 3자가 키를 알고 있기 때문에 암호라 불리기 어려움   전치법 : 평문에 있는 문자들의 순서를 바꿈 - 두 문자씩 앞뒤로 섞는 방법 - ex) 스파르타의 봉 암호 치환법 : 평문의 문자들을 다른 문자로 치환 - 시저 암호 : 각 문자를 알파벳 순서로 세 번째 뒤 문자로 치환 - 시프트 암호 : 각 문자를 알파벳 순서로 K 번째 뒤 문자로 치환 - 비즈네르 암호 : 시프트 암호에서 여러 개의 정수 값을 키로 이용한 것 근대 암호 - 20세기 통신 기술의 발전, 해독에 대한 필요성이 증가 섀넌(1949) : 일회성 암호체계가 안전함으로 혼돈과 확산을 제시 혼돈 : 평문과 암호문 사이의 상관관계를 숨김 확산 : 평문의 통계적 성격을 암호문 전반에 확산시켜 숨김   현대 암호 표준 암호 알고리즘 : DES(대표적인 알고리즘, 1977), AES(2001)   공개키 암호 알고리즘 : 키를 공개하는 암호화와 복호화에 서로 다른 키를 사용하는 암호 - RSA : 공개키 암호 중 하나로 소인수분해 문제 기반의 암호   대칭키 암호의 개념 대칭키 : 암호화와 복호화에 하나의 같은 키를 사용 - 빠른 속도 but 키 분배 문제가 존재 - ex) DES, AES, IDEA 등   블록 암호 : 평문을 고정된 크기의 블록으로 나눠 각 블록마다 암호화 과정을 통해 블록단위로 암호문 스트림 암호 : 평문과 같은 길이의 키 스트림을 생성하여 평문과 키를 비트 단위로 XOR 하여 암호문   공개키 암호의 개념 공캐키 : 암호화와 복호화에 두 개의 서로 다른 키를 사용 - 누구나 공개키를 이용하여 암호화 - 개인키 : 오직 자신만 개인키를 이용하여 복호화 - 키 관리가 쉬우며 키 분배 문제도 해결 but 느린 속도 - ex) RSA, ECC(타원곡선 암호 알고리즘), ElGamal 등
3강	인증의 개념 인증 : 어떤 실체가 정말 그 실체가 맞는지 진실성을 확인   메시지 인증 무결성 확인, 메시지 내용이 전송 도중 불법적으로 변경 X, 정확하고 완전하게 수신되었는지 확인 HMAC: 해시 함수 기반   /   CMAC: 블록 암호 기반 메시지 인증 코드(MAC) - 메시지 위변조 여부 확인이 가능한 코드 - 메시지 크기와 독립적이며 작은 크기 (메시지에 덧붙여 전송) - 송신자는 메시지를 보낼 때 함께 전송, 수신자는 메시지의 변경 여부를 MAC을 통해 확인 - 비밀키 이용 : 제3자가 메시지의 내용을 위변조 X   사용자 인증 시스템에 접근하려는 사용자가 맞는지 확인하는 것 사용자 인증 방식 : 비밀번호, 생체인식, 토근, 2단계 인증 등
4강	사이버 공격의 개요 인터넷을 통해 손상을 입히려는 행동으로 잘못된 설정을 이용해 관리자 권한을 얻는 초보적 방식이 대수   다양한 사이버 공격 악성코드 : 악영향을 끼칠 수 있는 소프트웨어의 총칭 - 목적 : 시스템 손상, 전파, 정보 유출 등 - 무분별한 인터넷 사용으로 감염 - ex) 바이러스, 웜, 트로이 목마, 백도어, 스파이웨어, 랜섬웨어 등 네트워크 공격 스캐닝 : 공격을 위한 사전 정보수집, 미리 자신의 시스템 및 네트워크의 보안 취약점을 점검 스푸핑 : 공격자의 제어 하에 있는 호스트를 피해 호스트가 신뢰하는 호스트로 가장하여 정보를 수집/가로채는 방식 스니핑 : 네트워크상의 데이터를 도청 서비스 거부 (DoS) : 가용성을 떨어트리는 결과를 초래, 대량의 데이터를 전송하거나 네트워크 연결을 요청 - SYN flooding 공격 : TCP 연결들을 생성하여 시스템을 서비스 거부 상태로 만듦 - 분산 서비스 거부 (DDoS) : 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격 - 피싱 : 사칭하여 개인정보나 금융정보를 얻어냄 - 피밍 : 사용자의 PC의 도메인 정보를 조작, 공식적으로 운영하고 있는 도메인 자체를 중간에서 탈취   최근의 사이버 공격 방식 - 에이전트화, 분산화, 자동화, 은닉화가 상호 의존적으로 발전 - 분산 서비스 거부 (DDoS) 공격이 대표적 - APT 방식 : 특정 대상을 목표로 다양한 공격 기술을 이용해 은밀하게 지속적으로 긴 시간동안 공격
5강	서버 보안의 개요 서버의 침입 및 정보유출 단계 서버 공격 유형 서버 보안 대책 서버 보안의 개요 응용 프로그램 계층 : 백도어나 버그 같은 취약성, 목적 : 운영체제에 대한 접근권한을 획득 운영체제 계층 : 실제 시스템의 접근 결정 등 컴퓨터의 모든 행위를 관장, 목적 : 운영체제의 제어권을 확보 네트워크 제어 : 네트워크 트래픽을 제어, 운영체제 내 or 별도의 독립된 장비에서 수행될 수도 있음 전송 데이터 제어 : 정보 기밀은 송신자가 암호화하여 정보를 전송하여 수신자가 복호화하여 확인   서버의 침입 및 정보유출 단계 서버 공격 유형 계정 크랙 공격 네트워크 공격 시스템 취약점을 이용한 공격 : 버퍼 오버플로 사회공학적인 공격 : 사람을 속이거나 내부자의 결탁으로 인한 정보유출   서버 보안 대책 계정 관리 : 그룹별 접근권한 부여, 불필요한 사용자 계정 삭제 패스워드 관리 : 유추 가능한 단어를 패스워드로 사용 X, 조합하여 사용 파일 시스템 보호 : 파일 접근 권한 관리, 암호화, 시스템 백업 및 복구   시스템 파일 설정과 관리 : UNIX 계열, 윈도우 시스템 접근제어 기술 - UNIX 계열의 접근제어 (특정 파일에 R/W 등 가능) - 임의적 접근제어(개별 소유자의 접근권한) - 강제적 접근제어(개별 객체: 비밀등급, 사용자: 허가등급) - 역할기반 접근제어(권한은 역할과 관계)   운영체제 설치 : 작업용도에 따른 시스템 파티션 분리(mount 관리, 필요X기능은 제거) 시스템 최적화 : 자원관리의 최적화, 최소권한의 프로세스 수행(주로 루트 계정 사용, 셀 사용 권한 제거)   시스템 로그 설정과 관리 - UNIX 계열, syslog를 통해 시스템 로그 설정 - 윈도우, 이벤트 뷰어를 통해 시스템 로그 설정 - 로그 파일 분석   서버 관리자의 의무 - 시스템의 시작과 종료 - 사용자 계정 관리 방법 이해 - 프로세스, 메모리, 디스크 등 자원 관리 방법 이해 - 네트워크 연결 관리 및 상태 관리 방법 이해
6강	네트워크 보안의 개요 컴퓨터 네트워크 : 불특정 다수의 상호 접속 및 정보교환의 편리한 창구 역할 목적 : 모든 통신회선상의 정보는 항상 획득 가능   물리적 : 직접적인 파괴나 손상을 입히는 행위 or 도난 기술적 : 수동적, 능동적인 공격이 존재   네트워크 보안의 목표 목표 : 기밀성, 무결성, 가용성, 부인방지, 사용자의 신분확인 및 인증, 데이터 발신처 확인, 접근제어   네트워크 보안 모델 보안 공격을 예방, 탐지 및 복구하기 위한 보안 서비스를 구성하는 기술 서비스 : 인증, 접근제어, 기밀성, 데이터 무결성, 부인방지 매커니즘 : 암호화, 전자서명, 접근제어, 데이터 무결성, 인증교환, 트래픽 패딩, 라우팅 제어, 공증   LAN 보안 개방형 구조 때문에 취약하며 정보의 내용변경, 불법유출, 순서변경, 바이러스 감염 등 위협 제공서비스 : 데이터 발신처 인증, 기밀성, 비접속 무결성, 접근제어 분야: SILS 모델, 안전한 데이터 교환, 키 관리 프로토콜, 시스템 보안 및 관리 프로토콜   TCP/IP 보안 IPsec : IP를 위한 보안 메커니즘 제시 - IP인증헤더 : 데이터 송신자의 인증을 허용 - IP캡슐화보안페이로드 : 송신자의 인증 및 데이터 암호화 지원 - AH 프로토콜 : 인증을 통해 IP 데이터그램의 헤더에 포함 - ESP 프로토콜 : 암호화를 통해 기밀성 보장   SSL/TLS :인터넷 상 정보는 모두 TEXT 기반으로 전송됨으로 SSL : 애플리케이션 계층과 TCP 사이에 위치, 서버/클라이언트 인증, 기밀성 보장 TLS : SSL 3.0을 기반으로 한 업그레이드 프로토콜
7강 & 8강	보안 시스템의 개요 침입차단 시스템(Firewall), 침입탐지 시스템(IDS), 침입방지 시스템(IPS), 가상사설망(VPN) 네트워크 접근제어 (NAC) 기술 통합된 형태의 보안위협 관리기술(UTM)   침입차단 시스템(방화벽) 내부 네트워크 컴퓨터들을 외부로부터 보호
	침입탐지 시스템(IDS) 기밀성, 무결성, 가용성을 저해하는 행위를 실시간으로 탐지하는 시스템 막을 수 없거나 해킹되어도 공격을 탐지   모니터링 부 : 정보수집, 데이터 수집 분석 및 조치부 : 분석 및 침입탐지 단계 관리부 : 모니터링부와 분석 및 조치부에 대해 통제 및 관리, 보안정책 제공 - 통제 및 관리 : -보안정책 : 시스템의 관리부로 전달 응용기반: 애플리케이션 계증 레벨의 정보수집 호스트기반: 특정 시스템에서 발생하는 행위에 대한 정보 수집 목표기반: 목표 객체(데이터, 프로세스)에 대한 무결성 분석 네트워크기반: 무차별 모드를 이용한 패킷 스니핑으로 수집 통합방식: 응용/호스트/네트워크 기반의 센서들을 조합한 기능 제공   침입탐지 시스템(IPS) 기밀성, 무결성, 가용성을 저해하는 행위를 실시간으로 탐지하고 자동으로 대응 작업을 수행 호스트 기반, 네트워크 기반   가상사설망(VPN) 공중망을 이용하여 사설망처럼 직접 운용 관리 목적 : 저렴한 비용으로 안전성, 성능향상, QoS, 보안을 제공 기능 : 보안 및 정보보호, 서비스 품질, 규모, 신뢰성, 유용성, 보안관리, 다중 서비스 공급자 지원, 다중바송
9강	메일 보안의 개요 메일 : 여러 호스트를 거친 후 목적지 도달, 내용까지도 노출   PGP 전자우편 보안도구   인증 : SHA와 RSA의 결합으로 전자서명 기법 제공 기밀성 : IDEA 이용, RSA를 사용하여 키를 분배하며 일회용 비밀키를 세션키로 사용 압축 : 파일의 저장과 이메일 전송, 서명과 암호화 사이에 압축   전송과정 송신자 : 서명문 생성, 평문과 서명문 모두가 압축, 블록은 암호화되고 RSA로 암호화된 관용 암호키가 첨부 수신자 : 2진 형식으로 변환, 세션키를 복구하여 메시지를 복호화, 압축을 해제, 해시코드를 복구하고 비교     S/MIME SMTP: 실행 파일이나 이진 파일을 보낼 수 없음 MIME: 전자우편의 표현, 보호하기 위해 형태를 바꾸는 전달 부호화 S/MIME: 보안 서비스 제공 서명된 영수증, 보안 레이블, 보안 메일링 리스트
10강	웹 보안의 개요 웹 서버와 웹 클라이언트 사이에서 HTTP를 통해 제공되는 서비스 웹 서비스 상에서 일어날 수 있는 다양한 공격으로부터 웹 서비스를 지키기 위한 것 SSL/TLS   웹 보안의 위협 요소 SQL injection : SQL 문에 SQL문을 넣어 우회 크로스 사이트 스크립팅: 자동으로 악성 스크립트가 실행되게 하는 공격, 공격자 사이트로 이동 -저장된 XSS: 특정 게시판에 등록 -반사된 XSS: URL링크를 사용자에게 메일로 전달하여 누르면 바이러스 접근제어 실패: 접근제어가 완벽 X, 링크를 만들어두지 않은 관리자페이지, URL에 사용자 ID를 포함하는 경우 웹 서버 공격: 디렉터리 목록을 보여주는 기능   모바일 보안의 개요 편의성이 좋지만 보안이 취약한 모바일 환경 LAN: Wi-Fi를 통한 무선 네트워크 WAN: 무선 네트워크   모바일 보안 기법 WEP: 무선 LAN 환경에서 기밀성을 제공하기 위한 알고리즘, RC4알고리즘 RSN: 포트 기반, 인증 서버 필요 - 인증, 키 관리, 키 교환, 기밀성, 무결성 등 - TKIP: 임시 키 무결성 프로토콜 - CCMP: 기밀성 (카운터 모드와 AES 알고리즘 이용), 무결성(CBC-MAC) EAP: 확장형 인증 프레임워크 WPA: 무선 LAN 보안 기능을 제공하는 장비를 인증하기 위해 정의된 규격 - Enterprise : 인증서버 이용 - Perosnal : 인증 서버 없이 미리 키를 나눠(PSK) 사용
11강	디지털 포렌식 개요 포렌식 : 범죄 사실을 규명하기 위해 범죄 현장에 남겨진 각종 증거를 과학적으로 분석 수행과정 : 디지털 데이터 수집 => 데이터 분석 및 증거 확보 => 조사결과에 대한 보고서 작성   디지털 증거 유형 내용물 : 사건을 직접적으로 증명, 컴퓨터 저장 증거 특성정보 : 디지털 증거를 식별하거나 분류하는데 도움이 되는 모든 부가적인 메타데이터 정보, 컴퓨터 생성 증거   특성 비가시성 : 디지털 형태이므로 육안으로 식별 불가능 변조 가능성 : 오류에 따른 손상이나 의도적인 변조가 쉬움 복제 용이성 : 원본과 동일한 내용으로 쉽게 복제 대규모성 : 특별한 수집 및 분석도구나 전문인력 X, 증거를 찾기 쉽지 않음 휘발성 : 메모리나 네트워크 상에서만 일시적으로 존재 초국경성 : 디지털 장치들은 인터넷을 비롯한 각종 네트워크를 통해 연결   법적 허용성 요건 인증성 : 증거의 저장 및 수집 과정에서 오류 X, 의도된 결과가 정확히 획득 무결성 : 증거는 수집, 분석, 법정 제출까지 변경이나 훼손 없이 안전하게 보호 신뢰성 : 처리과정에 사용된 장비 및 프로그램의 신뢰성과 조작자의 기술능력과 정확성이 입증 원본성 : 증거를 가시성이 있는 형태로 변환하여 제출 시, 원 데이터와 동일   디지털 포렌식 절차 안티 포렌식 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단
12강	대칭키 암호의 개념 암호화와 복호화에 하나의 같은 비밀키를 사용   블록 암호 평문을 고정된 크기의 블록으로 나눠 각 블록마다 암호화 과정을 수행하여 암호문을 얻는 방식 라운드 함수 : 반복되는 함수 라운드 키 : 라운드 함수에 작용하는 키 키 스케줄 : 키를 입력하여 라운드 키를 발생   파이스텔 구조 -하나의 입력 블록을 분할하여 좌우 두개의 블록으로 구분하여 짝수 번의 라운드를 진행 - 라운드 함수와 관계없이 역변환   SPN 구조 - 하나의 입력 블록을 여러 개의 소블록으로 나눈 후 라운드를 진행 - 라운드 함수가 역변환 가능해야함   블록암호의 사용모드 전자코드북(ECB) : 독립적으로 암호화, 하나의 암호문에 오류가 발생해도 영향 X 암호블록연결(CBC) : 생성한 암호문 블록이 다음 평문에 영향 암호피드백(CFB) : 복호화 함수 X, 메시지 인증에 사용 출력 피드백 (OFB) : 복화화 함수 X, 암호문의 오류는 한 블록만 영향 카운터 (CTR) : 암/복호화 시 병렬처리 가능, 하나의 암호문에 오류가 발생해도 영향 X   스트림 암호 평문과 같은 길이의 키 스트림 생성, 평문과 키를 비트 단위로 XOR 하여 암호문을 얻는 방식 선형 귀한 시프트 레지스터(LFSR) : 쉽게 해독되어 출력 수열을 비선형 결합하여 스트림 암호 구성   대칭키 암호 알고리즘들 DES : 블록 암호 알고리즘 TDEA(3DES) : DES 를 3회 반복하여 사용, 안전성 문제 해결   AES : SPN 구조 - 초기화 함수, N-1개의 라운드, 1개의 라운드, 키 생성
13강	공개키 암호의 개념 암호화와 복호화에 두 개의 서로 다른 키를 사용 공개키 : 누구나 공개키를 이용할 수 있도록 공개 개인키 : 오직 자신만 이용하도록 아무에게도 공개X   기반 문제 소인수분해 : RSA 알고리즘 이산대수 : ElGamal 알고리즘, DSA, KCDSA, Diffie-Hellman 키 교환 프로토콜 등 타원곡선 이산대수 : 타원곡선 상의 점과 타원곡선에서 정의되는 덧셈 연산을 이용, EC-DSA, EC-KCDSA   공개키 암호 알고리즘들 RSA 알고리즘 : 소인수분해 문제 기반 ElGamal 알고리즘 : 유한체상에서의 이산대수 문제 기반 ECC : 타원곡선 군에서의 이산대수 문제 기반
14강 & 15강	해시함수 임의의 길이의 입력 데이터를 고정된 길이의 해시코드로 대응 (약한 일방향성, 강한 일방향성, 충동 저항성)   전자서명 메시지를 보낸 사람의 신원이 진짜임을 증명, 변조 X (개인키 이용, 해시함수 이용)
	키 관리 공개키에서는 개인키는 감추고 공개키는 공개   공개키 기반 구조의 개요 PKI : 공개키 암호에 기반을 둔 중요한 기반 기술의 집합체 인증서 발행, 갱신, 폐지   공개키 기반 구조의 동작원리 제공되는 서비스 기밀성 : 허락 X, 손님이나 객체가 내용을 알 수 없도록 무결성 : 전송 중에 변경되지 않았음을 보장   공개키 기반 구조 모델 인증기관, 등록기관, 디렉터리, 사용자