1. 패스워드 크래커 1-1. 사전 공격 (Dictionary Attack) 패스워드 사전 파일로 접속 계정을 알아내는 해킹, 일치할 때까지 비교함 개인정보를 알고 있다면 매우 효율적임 1-2. 무차별 공격 (Brute-force Attack) 성공할 때까지 모든 경우의 수를 시도하는 해킹 워다이얼링에도 사용됨 패스워드 하이브리드 공격: 사전 공격과 무차별 공격을 결합 1-3. 레인보우 테이블 공격 레인보우 테이블: 하나의 패스워드에서 변이 함수로 여러 패스워드를 생성한 후, 해시 체인을 무수히 형성한 테이블 윈도우 LM 해시 크래킹에 성공함 사전 공격, 무차별 대입 공격보다 훨씬 빠름 2. 사회공학 (Social Engineering) 신뢰할 수 있는 대상을 사칭해 민감한 정보를 탈취하는 작업 인간 기..
1. 접근통제 모델 1-1. 강제적 접근통제 (MAC, Mandatory Access Control) 객체 소유자가 변경할 수 없는 주체들과 객체들 간 접근통제 관계 정의 즉, 객체의 보안 레벨(Level)과 주체의 보안 취급인가(Clearance)에 근거한 모델 전통적 MAC은 다중수준 보안에 기반 특징 중앙집중형 보안관리 객체 복사 시 MAC의 제약사항이 전파됨 정책이 모든 주체에 대해 일정해, 하나의 단위로 접근제한 설정 불가 문제점 제한적인 사용자 기능으로 상업적 환경이 아닌 군 환경에서 주로 쓰임 많은 관리적 부담과 비용, 성능 저하 등 1-2. 임의적 접근통제 (DAC, Discretionary Access Control) 객체 소유자에 의해 변경 가능한 주체와 객체의 관계를 정의 주체의 신분..
1. 인증 1-1. 메시지 인증 전달되는 메시지의 이상 유무를 확인 암호화 방식 (관용 암호 또는 공개키 인증 모드), MAC, 해시 함수 등을 활용함 1-2. 사용자 인증 정당한 가입자의 접속인지 확인하는 절차 개인 식별 사용자 인증의 발전된 형태 사용자 인증은 A를 확인해준 B가 제3자 D에게 A인 것처럼 가장할 수 있음 사용자 인증 유형 Type 1 (지식), Type 2 (소유), Type 3 (존재, 행위) 위치기반 인증 (위치, IP, 콜백 등 활용) Two Factor: 서로 타입이 다른 인증 방식을 결합 Multi Factor: 세 가지 이상 인증 방식 사용 2. 사용자 인증 기법 2-1. 지식 기반 인증 특징 장점: 다양한 분야에 활용 가능, 검증 확실성, 저렴한 관리 비용 단점: 패스워..
1. 접근통제 개요 1-1. 접근통제 개념 비인가된 사용자의 접근을 막음 인가된 사용자의 비인가된 방식의 접근을 막음 인가된 사용자가 인가된 방식을 사용해도, 실수나 의도적으로 정보를 훼손하는 것을 방지함 구성 주체: 접근을 요청하는 능동적인 개체 객체: 접근대상이 되는 수동적인 개체 접근: 주체와 객체 사이의 정보 흐름 1-2. 접근통제 절차 식별 본인의 정체를 시스템에 밝힘 책임추적성 분석에 중요한 자료가 됨 인증 주체의 신원을 시스템이 검증 인가 인증된 주체에게 권리를 부여 알 필요성에 의해, 즉 최소 권한을 부여해야 함 최근에는 책임추적성 단계가 추가됨 (하나의 계정을 여러 명이 공유하면 추적이 어려움) 1-3. 접근통제 요구사항 입력의 신뢰성 입력되는 사용자 정보를 믿을 수 있어야 함. 따라서 ..
