코린의 도이의 코딩 공부

IoT 보안 공통 가이드 단계 IoT 공통 보안 원칙 IoT 공통 보안 가이드 설계 개발 정보보호와 프라이버시를 고려한 IoT 제품,서비스 설계 1. IoT 장비 특성을 고려하여 보안 서비스의 경량화 구현 2. IoT 서비스 운영 환경에 적합한 접근권한 관리 및 인증, 종단 간 통신 보안, 데이터 암호화 등의 방안 제공 3. 소프트웨어 기술 보안과 하드웨어 보안 기술의 적용 검토 및 안전성이 검증된 보안 기술 활용 4. IoT 제품 및 서비스에서 수집되는 민감 정보(개인정보 등) 보호를 위해 암호화, 비식별화, 접근관리 등의 방안 제공 5. IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성 보잔 안전한 SW 및 HW 개발기술 적용 및 검증 6...

국내뿐만 아니라 국외에서도 IoT 관련 크고 작은 사이버 침해사고가 지속적으로 발생하고 있다. 이에 IoT 기기의 보안 위험성을 사전에 예방하고 안전성 확보를 위한 취약성 분석 방법으로 IoT 기기에 설치되어 있는 펌웨어를 대상으로 정적분석 및 동적분석을 수행하여 취약점을 탐지할 수 있다. 정적분석과 동적분석 어플리케이션을 대상으로 하며, 어떠한 취약점이 존재하고 이를 대처하기 위한 기본적인 근거자료를 수집하는 분석방법의 종류이다. 동적분석 공격자가 사용하는 방식으로 접근하여 웹어플리케이션의 취약점을 분석하는 방법. 즉, 실제 공격자가 어플리케이션을 공격하는 환경을 인위적으로 조성하여 실제 공격이 통하는지의 여부를 발견하는 분석방법이다. 이러한 접근방식 때문에 동적분석은 '웹해킹분석' 혹은 '모의해킹분석..

난독화 프로그램 코드를 읽기 어렵게 일부 또는 전체를 변경하는 것. 난독화의 대상에 따라 크게 '소스 코드 난독화'와 '바이너리 난독화'로 나뉜다. 소스 코드 난독화는 C/C++/자바 등의 프로그램의 소스 코드를 알아보기 힘든 형태로 바꾸는 기술이고, 바이너리 난독화는 컴파일 후에 생성된 바이너리를 역공학을 통해 분석하기 힘들게 변조하는 기술이다. 코드 난독화 유형 배치난독화 실행파일에 포함된 문자열의 내용을 무작위 치환 자료난독화 프로그램 내부 자료 구조 변환 또는 암호화 제어 난독화 : 제어의 흐름을 바꿈으로써 디컴파 난이도 향상 계산 변환 goto분의 loop중간을 가르키게 함으로써 원래의 for문으로 쉽게 디커파일 불가 집합 변환 - inline/outline, 복제(cloning), 루프 해제(..

시큐어코딩(secure coding) 소프트웨어(SW)를 개발함에 있어 개발자의 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있는 보안 취약점(vulnerability)을 배제하기 위한 코딩 기법을 뜻한다. 시큐어코딩의 중요성이 강조되는 이유 비용효율성적인 장점 단기적인 비용절감 측면으로만 보면, 시큐어코딩은 추가적인 비용이 들거나 코딩을 더욱 고된 작업으로 만드는 비효율적인 부분으로 인식될 수 있다. 허나 장기적인 측면에서 본다면, 시큐어코딩은 서비스 이후에 발생할 수 있는 오류나 취약점을 사전에 발견 및 방지하고, 마치 질병 방지하기 위해 예방주사를 맞는 것처럼 좀 더 튼튼하고 건강한 소프트웨어가 탄생할 수 있게 도와주는 아주 의미있는 과정이라고 볼 수 있다. 나날이 다양해져가는 '해킹'방법들과..

렌섬웨어 사용자 디바이스 또는 네트워크 스토리지 디바이스의 파일을 암호화하는 멀웨어의 한가지 유형이다. 암호화된 파일에 대한 접속 권한을 복구하려면 사용자가 일반적으로 추적이 어려워 비트코인과 같은 전자 결제 방식을 통해 '랜섬(몸값)'을 사이버 범죄자에게 지불해야 한다. 보안 전문가들이 비트코인의 거래의 트래픽 흐름을 매핑하는 방법을 파악했지만 비트코인 계정의 소유자를 식별하기는 거의 불가능하다. 멀웨어 정상적인 작동을 방해하거나 사용자의 컴퓨터, 휴대폰, 태플릿 또는 기타 디바이스를 감염시키도록 설계된 악성 코드를 총칭하는 이름이다. 현재 알려진 멀웨어의 대부분은 멀웨어 제작자의 경제적 이득이 주 목적이다. 멀웨어 공격은 사용자 이름, 암호, 신용 카드 세부 정보 똔느 기타 금융 정보와 같이 대외비 ..

동형암호 암호화된 데이터를 복호화하지 않고도 암호문의 연산이 가능한 암호문 동형암호의 문제점 일정한 수준을 넘겨 연산을 수행하면 노이즈가 발생하고 그러면 더 연산을 수행할 수 없어 연산 횟수에 제한이 있다는 문제점을 가지고 있다. 동형암호의 장점 동형암호를 사용하면 암호화된 데이터로 통계 처리뿐만 아니라 검색, 기계학습까지도 가능하게 된다. 데이터가 암호화된 상태로 처리되기 때문에 해커가 데이터를 유출하여도 볼 수 없다는 점에서 안정성이 보장되어 있다. 동형암호의 단점 기존 암호의 확장률(평문 대비 암호문이 커지는 비율)에 비해 10배에서 100배 정도 커질 수 있고, 암복호화 속도가 1ms인 RSA 대비 수십 ms가 소요되며, 암호문 곱셈 연산의 경우, 수백 ms가 소요된다. 한편 노이즈 감소를 위한 ..

기밀성(Confidentiality) 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙 기밀성은 데이터 처리의 모든 접속점에서 필요한 수준의 비밀 엄수가 강제되도록 하고, 허가받지 않은 정보 유출을 예방하는 것을 보장한다. 이러한 수준의 기밀성은 데이터가 네트워크 내의 시스템과 장비에 보관되어 있을 때나 데이터가 전송될 때 그리고 데이터가 목적지에 도달한 이후에도 유지되어야 한다. 기밀성을 보장하기 위한 보안 기술에는 접근 제어, 암호화 등이 있다. 무결성(Integrity) 네트워크를 통해 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질을 말한다. 무결성 왜곡이 항상 악의적인 행동의 결과로 나타나는 ..

DDoS란 '분산 서비스 거부'의 약자이다. DDoS 공격은 해커가 시스템을 압도하고 운영 능력을 붕괴시키기 위해 네트워크 또는 서버에 대량의 트래픽을 전송할 때 발생한다. 이러한 공격은 일반적으로 일시적으로 웹 사이트 또는 응용 프로그램을 오프라인 상태로 만드는 데 사용되며 한번 공격하면 며칠 또는 그 이상 지속될 수 있다. DDoS 공격 유형 응용 프로그램 계층 공격 응용 프로그램 계층 공격은 가장 간단한 DDoS 형태이다. 그들은 정상적인 서버 요청을 모방한다. 다른 말로 일반 사용자와 마찬가지로 봇넷의 컴퓨터나 장치가 함께 서버 또는 웹사이트에 액세스한다. 그러나 DDoS 공격의 규모가 커짐에 따라 겉보기에 합법적인 요청의 양은 서버가 처리하기에 너무 많아져서 파괴된다. 프로토콜 공격 프로토콜 공..

웨어러블 디바이스 시대 웨어러블 디바이스 시장은 삼성전자, 애플, 구글 LG, 소니, 모베아, 가르민, 페블, 마샨, 넵퓬, 퀄콤 등의 다수 기업뿐만 아니라 나이키, 아디다스와 같은 스포츠 용품 업체들까지 다양한 영역에서 제품들이 출시되고 있다. 스마트폰 광풍 이후의 차세대 스마트 디바이스로써 사업자들에게 새로운 사업기회 영역으로 각광받고 있다. 가볍고 사용이 용이한 디바이스 및 기술들의 등장과 함께 시장규모 확대로 가격 하락과 수집된 데이터의 기계학습(Machine Learning) 등의 실시간 분석 기술의 발달로 더욱 활성화 되었다. 웨어러블에 장착된 센서 행동(Behavioral) 영역 - IMU(Inertial Measurement Unit) 센서 - BLE 센서 - 압력 센서 생리(Physiol..

블루투스의 보안 기능 PIN(Personal Information Number)입력 또는 저장된 링크키를 이용해 통신 장치를 식별하는 인증(authentication)기능 도청에 의한 정보유출 방지하기 위해 인증된 장치만 데이터에 접근을 허용하는 기밀성(confidentiality) 기능 통신장치별로 허용 가능 서비스만 제공하여 다른 서비스 이용을 차단하는 인가(authorization) 기능 블루투스는 보안 매니저(security manager)를 통해 '서비스 관련 보안 정보관리'와 장치관련 보안 정보관리', '프로토콜 및 응용프로그램의 보안관련 질의응답', '인증 및 암호화 수행'과 같은 장치 및 서비스에 대한 권한을 통제하기도 한다. 블루투스의 보안을 위해 보안 모드(security mode)를 ..