본문 바로가기

전체 글

웹 3.0 (Web 3.0) 웹 1.0 최초 팀 버너스리로 부터 공개된 WWW 월드 와이드 웹을 웹 통신의 시작인 1.0의 시대이다. 웹 1.0의 경우 문서를 공개하는 사용자, 공개된 문서를 읽을 수 있는 사용자로 나누어져 있으며 정적인 웹 페이지이다. 웹 2.0 웹 2.0 부터는 현재 우리가 잘 알고 사용하고 있는 형태의 웹 서비스이다. 서비스 공급자가 제공하는 웹 페이지에서 이용자와 상호작용을 하며 데이터를 주고 받고 그에 따른 서비스를 이용할 수 있는 형태이다. 큰 특징은 이용자가 상호작용을 할 수 있다는 점, 데이터가 배포자의 서버로부터 중앙집중형으로 관리된다는 점이다. 여기서 중요하게 볼 것은 중앙집중형 형태의 데이터 관리 체계이다. 우리는 배포자의 서비스를 이용할 때 우리의 개인정보와 데이터들을 제공한다. 여기서 우리는 .. 더보기
공급망 공격(Supply Chain Attack) 공급망 공격(Supply Chain Attack) 공급망 공격은 정상 소프트웨어를 개발사에서 배포하는 과정에서 배포 서버의 취약점을 이용하여 공격하는 기법이다. 즉, 배포 서버를 공격하여 공격자가 악성코드를 삽입하여 악성코드 삽입 이후 배포되는 모든 소프트웨어는 공격자의 악성코드에 감염된다. 국내 사례로는 ASUS 업데이트 서버 해킹이 있다. 당시 해당 악성코드는 ASUS의 업데이트 서버 취약점을 익스플로잇하여 정상코드를 위,변조 하였으며 이후 감염된 PC의 MAC주소를 목록화하여 공격자가 해당 PC에 접근할 수 있도록 하는 악성코드이다. 이처럼 공급망 공격은 보안이 잘되어 있는 애플리케이션을 직접적으로 공격하는 것이 아닌 배포하는 서버를 공격하는 방식으로 공격이 이루어진다. 이것이 보안에서 자주 언급하.. 더보기
MQTT(Message Queuing Telemetry Transport) MQTT(Message Queuing Telemetry Transport) - 메시지 큐잉 텔레메트리 트랜스포트 ISO 표준으로 발행-구독 기반의 메시징 프로토콜이다. 해당 프로토콜은 TCP/IP 프로토콜 위에서 동작한다. 작은 코드 공간이 필요하거나 네트워크 대역폭이 제한되는 원격 위치와의 연결을 위해 설계되어 있다. 즉, 소형 센서 및 모바일 기기와의 통신, 경량 메시지를 전달하기 위한 프로토콜이다. 여기서 발행-구독 기반은 비동기 메시징 패러다임으로 해당 모델에서 발신자의 메시지는 특별한 수신자가 정해져 있지 않다. 대신 발행된 메시지는 정해진 범주에 따라, 각 범주에 대한 구독을 신청한 수신자에게 전달된다. 즉, 발신자에 대해 구독한 대상에게 메시지를 전달하는 모델이다. 구독자에게만 정보를 제공하.. 더보기
퍼징(Fuzzing) - 테스트 퍼징(Fuzzing) 퍼징, 퍼즈 테스팅(Fuzz Testing)은 소프트웨어 테스트 기법이다. 컴퓨터 프로그램에 유효한, 예상치 않은 값들을 무작위 대입하여 데이터를 입력한다. 해당 과정을 통해 충돌, 버그 등을 찾아낸다. 퍼징은 화이트, 그레이, 블랙 박스 테스팅에 사용 된다. 화이트 박스 테스트는 프로그램의 소스코드를 보며 테스트를 진행하는 것으로 조건문, 반복문 등의 코드 결함을 찾아낼 때 주로 사용된다. 그레이 박스 테스트는 프로그램의 코드 일부만 알고 진행하는 테스트 기법이다. 테스트 케이스를 만들 때 내부 구조를 참고하여 설계하며 이후 테스트는 블랙박스 기반으로 진행된다. 블랙박스 테스트는 프로그램 내부를 보지않고 기능들이 정상적으로 잘 동작하는지 확인하는 테스트이다. 즉, 프로그램이 동작할.. 더보기
SET(Secure Electronic Transaction) SET(Secure Electronic Transaction) SET은 인터넷에서 신용카드 사용 촉진을 위하여 VISA와 MASTER CARD 사에서 공동으로 개발한 프로토콜이다. 전자 서명과 인증서를 이용하여 안전한 거래를 할 수 있다. SET 프로토콜 이용시 기밀성, 무결성, 인증, 부인봉쇄를 지원한다. SET은 신용카드의 정보 노출을 최소화하고 인증과 암호화 방법을 정의하여 인터넷에서 카드 정보의 안전한 송수신을 보장한다. SET의 구성요소 Cardholder(카드 소지자) : 인터넷에서 상품을 구매하는 개인 및 기업이다. Issuer(카드 발급사) : Cardholder에게 신용카드를 발급하고 그 계정을 관리하는 기관이다. Merchant(카드 가맹점) : Cardholder에게 상품과 서비스를 .. 더보기
FDS(Fraud Detection System) - 이상거래탐지 FDS(Fraud Detection System) FDS는 전자금융거래에서 사용되는 단말정보, 접속로그, 거래정보 등을 분석하여 금전 및 사적인 이득을 취하려는 부정한 거래 행위를 탐지, 분석하고 예방하는 시스템이다. 거래에 필요한 여러 정보들을 바탕으로 분석하기 때문에 탐지 및 분석 방법은 각 기업마다 기밀로 유지되고 있다. 대표적으로 탐지에 사용하는 방법은 위치정보를 이용한 이상 거래판단, 고객 정보와 평소 거래 패턴 분석, 고객 접속 환경, 기존의 통계 데이터를 이용한 분석 등으로 나눠진다. 이러한 분석 방법을 조합하여 이상 거래를 확인하고 예방할 수 있게 해주는 시스템이다. 이상 패턴을 사용할 때는 앞에 설명한 여러 방법들과 더불어 기업에서 수집하는 정보 등을 바탕으로 판단할 수 있다. 예를 들어.. 더보기
크리덴셜 스터핑(Credential Stuffing) 크리덴셜 스터핑(Credential Stuffing) 크리덴셜 스터핑은 사용자가 여러 사이트, 서비스에서 동일한 ID와 패스워드를 사용할 때 당할 수 있는 공격이다. 예를 들어 비교적 취약한 사이트에서 여러 공격을 통해 특정 사용자의 계정 정보를 얻어내고 해당 계정 정보를 다른 사이트에 적용해 보는 것이다. 이때, 여러 사이트를 동일한 ID, 패스워드를 사용하는 사용자의 경우 크리덴셜 스터핑 공격에 당할 수 있다. 이러한 크리덴셜 스터핑은 보안이 잘 되어있는 대규모 사이트에도 충분히 적용될 수 있기 때문에 위험하다. 아무리 보안이 잘되어 있는 사이트여도 사용자가 모두 동일한 계정 정보를 사용한다면 타 사이트에서 탈취 당한 계정임에도 불구하고 보안이 잘 되어있는 사이트의 계정이 공격당할 수 있기 때문이다... 더보기
DNS 싱크홀(SinkHole) DNS(Domain Name Service) DNS는 URL을 IP로 변환하여 사용자가 원하는 사이트, 서비스에 접속할 수 있도록 해주는 서비스이다. 만약 우리가 DNS를 사용하지 않는 다면 네이버, 구글, 다음 등의 사이트를 접근할 때 IP 주소를 입력하여 접속해야할 것이다. 우리에게 친숙한 www.naver.com 의 형태가 아닌 https://125.209.222.142/ 의 형태로 접근해야 할 것이다. 이러한 DNS는 우리 시스템에 있는 hosts 파일을 검사하고 로컬 DNS, Root Domain Server, Top Level, Second Level, Subdomains 의 순서로 URL과 IP 정보가 들어있는 각 서버들을 참조하여 URL을 통해 사이트, 서비스에 접근할 수 있도록 해준다. .. 더보기