코린의 도이의 코딩 공부

IoT 보안 공통 가이드 단계 IoT 공통 보안 원칙 IoT 공통 보안 가이드 설계 개발 정보보호와 프라이버시를 고려한 IoT 제품,서비스 설계 1. IoT 장비 특성을 고려하여 보안 서비스의 경량화 구현 2. IoT 서비스 운영 환경에 적합한 접근권한 관리 및 인증, 종단 간 통신 보안, 데이터 암호화 등의 방안 제공 3. 소프트웨어 기술 보안과 하드웨어 보안 기술의 적용 검토 및 안전성이 검증된 보안 기술 활용 4. IoT 제품 및 서비스에서 수집되는 민감 정보(개인정보 등) 보호를 위해 암호화, 비식별화, 접근관리 등의 방안 제공 5. IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성 보잔 안전한 SW 및 HW 개발기술 적용 및 검증 6...

국내뿐만 아니라 국외에서도 IoT 관련 크고 작은 사이버 침해사고가 지속적으로 발생하고 있다. 이에 IoT 기기의 보안 위험성을 사전에 예방하고 안전성 확보를 위한 취약성 분석 방법으로 IoT 기기에 설치되어 있는 펌웨어를 대상으로 정적분석 및 동적분석을 수행하여 취약점을 탐지할 수 있다. 정적분석과 동적분석 어플리케이션을 대상으로 하며, 어떠한 취약점이 존재하고 이를 대처하기 위한 기본적인 근거자료를 수집하는 분석방법의 종류이다. 동적분석 공격자가 사용하는 방식으로 접근하여 웹어플리케이션의 취약점을 분석하는 방법. 즉, 실제 공격자가 어플리케이션을 공격하는 환경을 인위적으로 조성하여 실제 공격이 통하는지의 여부를 발견하는 분석방법이다. 이러한 접근방식 때문에 동적분석은 '웹해킹분석' 혹은 '모의해킹분석..

난독화 프로그램 코드를 읽기 어렵게 일부 또는 전체를 변경하는 것. 난독화의 대상에 따라 크게 '소스 코드 난독화'와 '바이너리 난독화'로 나뉜다. 소스 코드 난독화는 C/C++/자바 등의 프로그램의 소스 코드를 알아보기 힘든 형태로 바꾸는 기술이고, 바이너리 난독화는 컴파일 후에 생성된 바이너리를 역공학을 통해 분석하기 힘들게 변조하는 기술이다. 코드 난독화 유형 배치난독화 실행파일에 포함된 문자열의 내용을 무작위 치환 자료난독화 프로그램 내부 자료 구조 변환 또는 암호화 제어 난독화 : 제어의 흐름을 바꿈으로써 디컴파 난이도 향상 계산 변환 goto분의 loop중간을 가르키게 함으로써 원래의 for문으로 쉽게 디커파일 불가 집합 변환 - inline/outline, 복제(cloning), 루프 해제(..

시큐어코딩(secure coding) 소프트웨어(SW)를 개발함에 있어 개발자의 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있는 보안 취약점(vulnerability)을 배제하기 위한 코딩 기법을 뜻한다. 시큐어코딩의 중요성이 강조되는 이유 비용효율성적인 장점 단기적인 비용절감 측면으로만 보면, 시큐어코딩은 추가적인 비용이 들거나 코딩을 더욱 고된 작업으로 만드는 비효율적인 부분으로 인식될 수 있다. 허나 장기적인 측면에서 본다면, 시큐어코딩은 서비스 이후에 발생할 수 있는 오류나 취약점을 사전에 발견 및 방지하고, 마치 질병 방지하기 위해 예방주사를 맞는 것처럼 좀 더 튼튼하고 건강한 소프트웨어가 탄생할 수 있게 도와주는 아주 의미있는 과정이라고 볼 수 있다. 나날이 다양해져가는 '해킹'방법들과..

웨어러블 디바이스 시대 웨어러블 디바이스 시장은 삼성전자, 애플, 구글 LG, 소니, 모베아, 가르민, 페블, 마샨, 넵퓬, 퀄콤 등의 다수 기업뿐만 아니라 나이키, 아디다스와 같은 스포츠 용품 업체들까지 다양한 영역에서 제품들이 출시되고 있다. 스마트폰 광풍 이후의 차세대 스마트 디바이스로써 사업자들에게 새로운 사업기회 영역으로 각광받고 있다. 가볍고 사용이 용이한 디바이스 및 기술들의 등장과 함께 시장규모 확대로 가격 하락과 수집된 데이터의 기계학습(Machine Learning) 등의 실시간 분석 기술의 발달로 더욱 활성화 되었다. 웨어러블에 장착된 센서 행동(Behavioral) 영역 - IMU(Inertial Measurement Unit) 센서 - BLE 센서 - 압력 센서 생리(Physiol..