PART 03 웹 보안의 세계

CHAPTER 03 웹 보안의 기본 요소

01. 사용자 인증

1. 패스워드

1.1 안전한 패스워드 만들기

• 길이 속성은 '개인정보보호법' 이나 '정보통신망 이용 촉진 및 정보보호에 관한 법률' 등을 통해 정부에서 권고하는 기준이며, 형태 속서의 내용은 각자 패스워드를 생성할 때 참고

1.2 안전하게 패스워드 관리하기

 

실습 10-1 나만의 방식으로 안전하게 패스워드 관리하기

1. 패스워드 변형

• 문자 치환형 변형 방식 중 가장 기초 수준의 ROT13방식을 사용하여 패스워드를 변형해 보자

2. 공인 인증서

• 법적으로 의무화된 공인인증서가 인터넷 뱅킹이나 증권 거래, 인터넷을 통한 카드 결제, 보험 등 금융 업무와 쇼핑몰에서 일정 금액 이상의 물건 구입시 사용자를 인정하는 방법으로 사용되고 있음

3. 생체 인증

• 일반적으로 웹에서 사용자를 인증하는 데 사용되지 않음

3.1 생체 인증의 종류

• 지문
• 손 모양
• 망막
• 홍채
• 서명
• 목소리
• 얼굴
• 뇌파 

3.2 생체 인증의 성능 측정

• FRR
• FAR
  • 권한이 없는 사람이 인증을 시도했으 때 성공하는 비율
• EER
  • FAR은 정확도가 높아짐에 따라 오류율이 내려가고, FRR은 정확도가 높아짐에 따라 오류율이 올라감

02. 접근 통제

• 보안을 위해 첫 번째 단계는 보호하려는 정봉의 가치를 결정하는 것

1. 접근 통제 모델

1.1 DAC

• 임의적 접근 통제라고 하며, 정보 소유자가 정보의 보안 수준을 결정하고 그에 대한 접근 통제까지 설저하는 모델

1.2 MAC

• 강제적 접근 통제라고 하며, 이 방식에는 중앙 집중화된 정보 관리를 위한 몇 가지 모델이 포함됨

1.3 RBAC

• 사람이 아닌 직책에 따라 권한을 부여하는 것

2. 접근 통제 구현 방법

2.1 관리적 접근 통제

• 정책 및 절차를 수립하여 조직에서 보유하고 있는 중요 정보가 무엇인지 식별하고 그에 따른 통제 방안을 수립
• 내부 임원들이 회사의 보안 정책을 준수하도록 하기 위한 직원 통제 활동

2.2 논리적 접근 통제

• 기술적 통제라고도 불리며, 보호해야할 정보에 접근하는 것을 제한하기 위해 사용하는 하드웨어와 소프트웨어 도구를 말함

2.3 물리적 접근 통제

• 네트워크 분리, 경계선 보안, 전산실 통제, 데이터 백업 등이 있음

03. 입력값 검증

1. 다양한 입력값 검증 방법

1.1 SQL 인젝션 공격 코드 입력값 검증

• 로그인 부분처럼 웹 애플리케이션이 사용자가 입력한 값을 받아 데이터베이스와 상호작용을 할 때 입력한 값을 데대로 검증하지 못해서 발생하는 취약점 

1.2 크로스 사이트 스크립팅 공격 코드 입력값 검증

• 공격 예방법 : 외부에서 스크립트 코드를 입력하지 못하도록 방어하는 것이 가장 효과적

1.3 악성 파일 업로드 공격 입력값 검증

• 업로드되는 파일을 저장할 때는 파일명과 학장자를 추측할 수 없도록 문자열값을 변형하여 저장하는 것이 안전

2. 입력값 검증 코드 구현

2.1 서버 측과 클라이언트 측 필터링

• 웹 애플리케이션에서 사용자 입력값 검증 코드를 반드시 JSP, JAVA, ASP와 같은 서버 측 프로그래밍 언어 내에서 구현해야 함

2.2 화이트리스트 방식과 블랙리스트 방식 필터링

• 필터링 방식에는 필요한 특정 입력값만 받아들이고 그 외의 모든 값은 필터링 하는 화이트리스트 방식과 알려진 악성 패턴에 한해서만 필터링을 하는 블랙리스트 방식이 있음

CHAPTER11 웹 서버 보안

01. IIS 웹 서버 보안

1. IIS 웹 서버 설치

윈도우 서버 R2가 다운 링크에 들어가 지지 않는다..

 

02. 아피치 웹 서버 보안

1. 아피치 웹 서버 설치

실습 11-9 아파치 웹 서버 설치하기

실습 11-10 아파치 웹 서버 보안 설정하기

기존 파일이 없어 수정 할 수가 없었고.. 책은 모든 코드가 나와있지 않았다...

 

3. 로그 관리

실습 11-11 access_log확인

는.. 디렉토리가 같이 다운되지 않았나 보다...

 

01 보안정책

1.보안 정책의 필요서과 구조

• 법과 제도가 바르게 서 있어야 국가가 안전하게 유지되고, 나아가 외세의 위협에도 대응할 수 있음

1.1 보안 정책의 필요성 고객이나 직원 및 관련자들의 정보 보호와 관련한 필수적인 법적 요구 사항이며 경영 과 관리의 품질관리의 요건이 되기 때문에 보안 정책이 필요한 것임

 

1.2 보안 정책의 구조

 

2. 보안 정책의 주요 요소

• 정보보호관리체계인 ISO 27001을 기반으로 정보보안 정책을 작성하는 경우가 많음

2.1 정보보호

관리체계

2.2 개인 정보 보호

• 개인 정보를 최대한 많이 그리고 상세하게 수집하여 고객 관리 목적으로 이용하는데, 이렇게 무차별적으로 개인 정보를 수집하다 보니 그에 따른 유출 위험도 지속적으로 증가함

2.3 모바일 보안

• BOOD는 개인적으로 소유한 휴대용 디바이스를 직장에서 사용할 때 회사의 기밀 정보와 애플리케이션에 접근하는 것을 허용하는 모바일 보안 정책임

2.4 사이버 보안

 

02 보안 조직

1. 보안 조직의 필요성

• 2003년 1.25 인터넷 대란이 발생한 이휴 정부는 정보보안을 총괄하는 컨트롤타워의 필요성을 인지하게 됨

2 보안 조직의 구성 사례

• 보안의 중요성이 강조되면서 조직마다 최고 정보보안 책임자인 CISO를 임명하고 있음

3. 보안 업무의 역할과 책임

•  

03 보안 솔루션

1. VPN

• 방화벽, 침입 탐지 시스템과 함께 가장 일반적인 보안 솔루션중 하나임

1.1 인트라넷과 VPN

• 인트라넷 : 기업 내부 간 데이터 통신을 위한 네트워크

1.2 VPN 이용 사례

• 해외에서 국내 온라인 게임 즐기기
• 집에서 회사 내부 시스템에 접근하기
• 원격의 두 지점을 내부 네트워크처럼 이용하기

2.IPS

• 방화벽과 침임 탐지 시스템의 한계로 대두된 보안 솔루션

3. 스팸메일 차단 솔루션

• 메일 서버 앞쪽에 위치하여 프록시 메일 서버로 동작하며, SMTP 프로토콜을 이용한 Dos공격이나 폭탄 메일, 스팸메일 등을 차단함

4.PC 보안 솔루션

• 이는 주로 중앙 집중 관리 형태로 일반 PC에 설치하여 운영자가 모니터링하고 관리함

4.1 PC방화벽과 백신

• 설치하고 반드시 재부팅을 해야 함 > 정상적인 패킷 유입 구조 사이에 방화벽 모듈을 삽입해야 하기 때문

4.2 통합 PC 보안 솔루션의 추가 기능

• 공유 자원 접근 제어
• 패치 보니터링 및 설치
• 파일 암호 및 복호화
• 주변 기기 매체 제어
• 자산 및 IP 관리
• 모니터링

실습 12-1 PC 방화벽 설치하고 사용하기

 

5. DRM

• 기업의 정보 유출 사건을 막을 수 있는 솔루션 중 하나임
• 문서 보안에 초점을 맞춘 보안 기술로, 문서를 열람하고 편집하고 프린트하는 것까지 접근 권한을 설정하여 통제하는 것을 말함

6. ESM

• 여러 종류의 보안 솔루션을 중앙 집중화된 구조로 모니터링하기 위해 만든 솔루션임
• 첫 번째 : 보안 또는 관리 정책에 따른 사용자 및 접근제어를 위해 ESM으로 인증이나 Singl Sign On 기능을 포함하는 경우가 많음
• 두 번째 :  네트워크 및 시스템 취약점이나 위허 요소 등을 분석하고 모니터링하는 관리 도구의 형태를 취하는 것

7. SIEM

• 수많은 IT 시스템 및 보안 시스템에서 발생할는 로그를 분석하여 이상 징후를 파악하고, 그 결과를 경영진에게 보고할 수 있도록 하는 시스템

CHAPTER 13 모바일 보안

01. 모바일 보안의 개요

1. 모바일 환경의 성장

• 모바일 보안의 중요서이 대두도니 것은 아이폰이 세상에 나온 후 스마트폰 열풍이 불기 시작하면서 부터임

2. 모바일 보안 생성 배경

• 모바일을 통한 서비스가 증감함에 따라 자연스럽게 모바일 관련 보안 사고도 증가

 

02. 모바일 보안 위협 요소

1. 모바일 보안 위협의 유형

• 플랫폼 공격 :바이러스/웜, 시스템 언록, 키보드 해킹 
• 네트워크 공격 : 와아파이 도청/변조
• 애플리케이션 공격 : Malicious APP, 피싱앱
• 단말기 공격 : 도난 및 분실

2. 모바일 환경의 위협 요소

• 적절하지 않은 플랫폼 사용
• 안전하지 않은 데이터 저장
• 안전하지 않은 통신
• 안전하지 않은 인증
• 불충분한 암호화
• 안전하지 않은 권한
• 클라이언트 코드 품질
• 역공학
• 코드 변조
• 관련 없는 기능

3. 안드로이드 앱 분석

실습 13-1 안드로이드 앱 정적 분석하기

전용 압출 파일이 다운이 되지 않아서 실패...

 

03 모바일 보안 대응 방안

1. 모바일 위협 요소에 대한 대응 방안

1.1 '안전하지 않은 데이터 저장'에 대한 대응 방안

• ios 환경에서의 대응 방안
  • 모바일 기기의 파일 시스템에 중요한 개인 식별 정보를 저정하지 않는다
• 안드로이드 환경에서
  • 로컬 저장소에 대한 엔터프라이즈 안드로이드 장치 관리자는 APR는 'setStorageCncyyption'을 통해 로컬 파일 저장소를 강제로 암호화 하는데 사용할 수 있음

1.2 '충분하지 않은 전송 계층 보호'에 대한 대응 방안

• 일반적인 고려 사항
  • 네트워크 계층은 안전하지 않기 때문에 잠재적으로 도청이 가능하다는 사실을 항상 염두에 두어야 함
• ios 환경에서의 대응 방안
  • CFNetwork를 사용할 때 신뢰할 수 있는 클라이언트 인증서를 지정하기 위해 안전한 전송 AIP를 사용하는지 확인함안드로이드 환경에서의 대응방안안드로이드 환경에서의 대응방안

1.3'클라이언트 측 인젝션'에 대한 대응 방안

• ios 환경에서의 대응 방안
  • SQLite 인젝션
  • 자바스크립트 인젝션
  • 로컬 파일 포함 
  • XML 인젝션
• 안드로이드 환경에서의 대응 방안
  • SQLiete 인젝션
  • 자바스크립트 인젝션
  • 로컬 파일 포함

2. 모바일 통제와 설계 원칙

• 모바일 장치에 있는 민감함 데이터를 식별하고 보호
• 장치에 있는 패스워드 식별 정보를 안전하게 처리
• 전송 시 민감한 데이터가 보호되는지 확인 
• 사용자 인증, 권한, 세션 관리를 올바르게 구현
• 백 엔드 AP와 플랫폼을 안전하게 유지
• 서드 파티 서비스와 애플리케이션의 데이터 통합을 안전하게 수행
• 사용자 데이터의 수집과 사용 동의를 구할 때는 신중히 터치
• 금융 지불 자원에 불법으로 접근 못하게 통제
• 모바일 애플리케이션을 안전하게 배포
• 에러에 대한 실시간 코드 해석기를 면밀히 확인

CHAPER14 콘텐츠 관리 시스템 보안

• 나모 웹 에디터와 같은 웹 사이트 개발 툴이 만들어져 이를 통해 웹 사이트를 좀 더 편리하게 만들게 되었음

1. 콘텐츠 관리 시스템의 종류

1.1 워드프레스

1.2 줌라

1.3 드루팔

 

02. 콘텐츠 관리 시스템의 취약점과 보안 방안

1. 콘텐츠 관리 시슽템의 취약점

1.1 워드프레스의 취약점

• 다양한 플러그인 기능을 제공하는데, 대부분 공격 코드는 보안이 제대로 설계되지 않은 플러그인에 의해 발생하는 경우가 많음

1.2 줌라이의 취약점

• 대부분 SQL 인젝션 취약점

1.3 드루팔의 취약점

• 공개된 바가 많지 않다

2. 콘텐츠 관리 시스템 보안 방지

2.1 최신 업데이트 및 보안 패치 적용

2.2 검증된 플러그인 및 최신 패치 사용

• 관련된 보안 취약점이 존재하는지 살펴보고 항상 최신 보안 패치를 적용해야 함

2.3 주기적인 백업

• 백업을 해두면 설령 불가항력적인 침해를 당하더라도 복구할 수 있는 여지가 있기 때문

CHAPTER 15 사이버 보안

01 사이버 보안의 개요

1. 사이버 보안의 생성 배경

2. 사이버 보안의 유형

• 크게 사이버 범죄, 사이버 스파이, 사이버 전쟁으로 구별할 수 있음

2.1 사이버 범죄

• 말 그대로 사이버 공간에서 발생하는 범죄

2.2 사이버 스파이

• 인터넷 등의 사이버 공간에서 특정 회사나 국가의 정보를 빼내어 그것을 필요로 하는 회사나 국가에 팔아 넘기는 활동

2.3 사이버 전쟁

• 만약 3차 세계대전이 시작된다면 사이버 전쟁이 될 것이라고 예측함

02 각국의 사이버 보안 동향

1. 미국

• 세계 최초로 네트워크망을 구축한 나라답게 사이버 보안의 중요성도 빨리 인지하고 적극적으로 준비

2. 영국

• 정보보안 분야의 환경 변화에 적극적으로 대처하고 정보보안 관련 활동도 매우 활발하게 진행

3. 유럽

3.1 NATO

• 2012년 10월 부터는 NATO 최고 의사결정 기구인 북대서양이사회 차원에서 사이버 안보 분야에 대한 논의를 본격화 하기 시작함

4. 아시아

4.1 일본

• 1994년에 내각 총리대신을 본부장으로 하는 '고도정보통신사회추진본부'를 설치하고, 2007년 7월에 이를 'IT전략본부로 재편했음

4.2 중국

• 1990년대부터 시작된 중국의 인터넷 정부 주도로 상당히 강력한 사이버 봉안 체계를 유지하고 있음

4.3 우리나라

• 2003년 1.25 인터넷 대란 이후 정부는 구각 정보 기반 시설에 대한 국가 안보 차원의 대응 체계 구축의 필요성을 느끼고, 국가정보원을 주축으로 국가안전보장회의 사무처와 국방부, 정보통신부 등의 관련 기관들이 참여하여 '국가 사이버 테러 대응 체계 구축 기본 계획'을 마련함