본문으로 건너뛰기

"pe/security" 태그로 연결된 81개 게시물개의 게시물이 있습니다.

기술사 보안 토픽

모든 태그 보기

SBOM, Software Bill of Materials

· 약 3분

SBOM의 개념

  • SW개발 및 배포 과정에 사용된 모든 오픈소스, 라이브러리, 패키지, 모듈 등의 구성요소를 체계화한 SW자재 명세서
  • SW복잡성의 증가로 인한 보안취약점, OSS라이센스 관리, SW공급망 투명성 확보, 구성요소들의 품질 관리를 위해 필요

SBOM의 개념도, 구성요소, 적용사례

SBOM의 개념도

  • SW 공급망에 대한 SBOM 유통체계를 구축하고 SDLC 전체에서 SW 공급망 보안 관리

SBOM의 구성요소

구분내용비고
지침, 절차SBOM 요청, 생성, 사용에 관한 절차 정의생성 빈도, 분석 깊이, 접근 제어 등
컴포넌트 명세추적해야할 각 컴포넌트의 식별정보, 관계정보이름, 버전, 고유식별자, 의존관계, 라이센스
자동화 지원기계 가독성 데이터포맷으로 자동화된 추적관리SPDX, CycloneDX 등 SBOM 프로토콜

SBOM 적용사례

구분사례비고
국내디지털 플랫폼 정부SW공급망 보안 가이드라인
국외바이든 행정부행정명령 통한 주요 인프라SW SBOM 의무화
리눅스 재단SPDX 표준 관리 통한 SBOM 정보 교환 및 활용 지원
EU사이버복원력법 제정, 유통되는 모든 디지털 기기의 SBOM 의무화

SBOM 도입 후 고려사항

  • SW구성요소 변경시 SBOM을 최신상태로 유지하여 정보 정확성을 확보하고, 주기적인 오픈소스 버전 업데이트로 보안 취약점 개선

참조

크리덴셜 스터핑

· 약 3분

크리덴셜 스터핑의 개념

  • 공격자가 미리 확보한 사용자의 계정, 인증정보를 이용하여 다른 사이트에 무작위로 대입하여 정보를 탈취하는 사이버 공격
  • 인터넷 사용자가 동일 로그인 정보를 여러 사이트에서 사용한다는 점을 노린 자동화 공격

크리덴셜 스터핑 개념도, 공격절차, 대응방안

크리덴셜 스터핑 개념도

  • 무차별 대입 공격으로 탈취한 정보를 판매하여 2차 피해 발생

크리덴셜 스터핑 공격절차

구분절차설명
수집백도어 삽입취약점 이용 백도어 삽입
개인정보 탈취내부시스템의 계정, 인증 정보 탈취
공격무차별 대입 공격계정정보로 무차별 로그인, 권한 획득
중요정보 탈취중요정보 탈취 후 협박, 유포, 금전 요구
반복중요정보 판매정보를 다크웹에 판매, 공개
추가피해 발생공개된 정보로 추가 공격 수행

크리덴셜 스터핑의 대응방안

구분방안설명
개인사이트별 고유 계정 사용동일 정보 사용 지양
다단계 인증 활성화MFA 등 2단계 인증 활성화
회사 이메일 사용 지양가입시 개인 이메일 사용
기업보안 모니터링트래픽 탐지로 동일 IP 차단
로그인 시도 제한자동화 공격 방지
대응 계획 수립개인 보안 조치, 주기적 교육
  • 크리덴셜 스터핑 공격은 자동화되어있으므로, 트래픽 변화, 로그인 실패 빈도 증가 등 선행 징조 확인 필요

크리덴셜 스터핑 대응시 고려사항

  • 공격을 사전에 예방하기 위해 IP보안, 2단계 인증 등 사용성을 고려한 보안 정책 도입 필요

TPM, 신뢰할 수 있는 플랫폼 모듈

· 약 3분

TPM의 개념

Trusted Platform Module

  • 무결성 검증을 위해 키, 패스워드, 인증서를 안전하게 저장하기 위한 기능을 주로 하드웨어 기반으로 구현한 보안 암호화 프로세서

TPM의 구성도, 구성요소, 적용사례

TPM의 구성도

TPM의 구성요소

구분내용비고
I/O 버퍼입출력을 위한 버퍼호스트 시스템 간 인터페이스
암호화 하위시스템암호화 기능을 담당하는 하드웨어 모듈RSA, HMAC, 해시, 서명 연산, 키 생성
인증 하위시스템인증 기능을 담당하는 하드웨어 모듈명령어 실행 전후 호출 권한 확인
랜덤 액세스 메모리임시 데이터 저장을 위한 메모리PCR, 객체, 세션
비휘발성 메모리영구 데이터 저장을 위한 메모리TPM 상태, 시드, 증명 값
전원 감지 모듈전원 상태 모니터링 모듈전원 변동시 적절한 조치 수행

TPM 적용사례

구분내용비고
국내삼성전자, 자사 노트북에 TPM 모듈 포함윈도우11 대응
해외TPM 스펙 표준화 지정Trusted Computing Group
해외마이크로소프트, 구글 등 주요 IT 기업에서 TPM 활용윈도우11, 크롬OS

TPM 2.0 개선 내용

  • ECC 타원곡선 암호화 지원, Windows7 지원 종료

큐싱

· 약 2분

큐싱의 개념

  • QR Code와 Phishing의 합성어로 QR코드를 활용하여 개인정보, 결제정보 등을 탈취하는 공격 기법

큐싱의 개념도, 공격흐름

큐싱의 개념도

큐싱의 공격 흐름

구분내용비고
QR코드과금, 결제, 링크QR
피싱사이트UI카피, XSS
해커개인, 범죄조직
다크웹2차 피해

큐싱 대응방안

구분내용비고
공공큐싱 URL 차단DNS 우회
금융결제시 2차인증, 홍보 강화FIDO, 2FA
민간URL 재확인, 신뢰할 수 없는 인증서 확인외부링크 재확인
  • 큐싱 피해를 줄이기 위해 정부, 기업, 개인의 지속적인 관심 필요

만리장성 모델

· 약 2분

만리장성 모델의 개념

  • 정보의 이해 상충 문제를 해결하기 위해 고안된 접근 통제 모델로 동일 조직 내에서 서로 다른 이해관계자가 특정 정보에 접근하는 것을 제한하여 정보 유출 및 오용 방지.
  • 직무 분리, 이익 충돌 방지

만리장성 모델의 구성도, 구성요소

만리장성 모델 구성도

만리장성 모델 구성요소

구분내용비고
주체정보에 접근하는 개인 또는 그룹컨설턴트, 변호사 등
객체접근이 제한되는 정보 자원 고객 정보기업 비밀, 사건 자료
충돌 집합서로 이해 상충 관계에 있는 객체들의 집합동일 업종, 경쟁 기업 정보 등
접근 기록주체의 과거 정보 접근 이력이해 상충 여부 판단

만리장성 모델 적용시 고려사항

구분내용비고
정보 분류이해 상충 관계의 명확한 정의모호할 경우 오류 발생 가능
유연성새로운 정보 유형 발생, 권한 변경 시 모델 수정지속적인 업데이트

대칭 암호화, 비대칭 암호화

· 약 4분

대칭 암호화와 비대칭 암호화의 개념

  • 대칭 암호화: 암호화 때 사용하는 키와 암호문을 복호화할 때 사용하는 키가 동일한 암호화 알고리즘
  • 비대칭 암호화: 암호화 때 사용하는 키와 암호문을 복호화할 때 사용하는 키가 서로 다른 암호화 알고리즘

대칭 암호화와 비대칭 암호화의 구성도, 구성요소

대칭 암호화의 구성도, 구성요소

비대칭 암호화의 구성도, 구성요소

  • 비대칭 암호화는 대칭키를 암호화하기 위해 전자봉투로서 사용

대칭 암호화와 비대칭 암호화 비교

비교 항목대칭(Symmetric) 암호화비대칭(Asymmetric) 암호화
키의 관계암호키 = 복호키암호키 ≠ 복호키
키의 수두 사람 이상이 한 개의 동일한 비밀키 공유전송 당사자 간에 각각 키 생성 (Private Key, Public Key) 공유
키의 종류비밀키(Secret Key)공개키(Public Key), 개인키(Private Key)
키의 관리복잡 (거래 당사자 전부 관리 필요)인증기관을 통해 전송 당사자 별 Private Key 발급 (상대적 단순)
부인방지 여부대칭키로 인하여 부인방지 불가키의 이원화로 부인방지 가능
속도비트 단위 암호화로 빠른 속도 제공큰 소수를 처리하거나 곡률 방정식 등이 있어 속도가 느림
용도개인파일 암호화, 특정 그룹 내의 파일 등의 통신에 사용다수의 사용자와 주로 사용
장점- 키의 분배가 용이함
- 사용자 수 증가에 따라 관리할 키의 개수가 상대적으로 적음
- 키 변화의 빈도가 적음
- 여러 가지 분야에서 응용 가능
- 암호화/복호화 속도가 빠름
- 키의 길이가 짧음
- 구현이 빠름
- 대칭키로 인하여 부인방지 가능
단점- 암호화/복호화 속도가 느림
- 키의 길이가 김
- 사용자 수 증가에 따른 키 관리 포인트 증가
- 키 변화의 빈도가 많음
대표 알고리즘AES, SEED, DESRSA, ECC

암호화 고려사항

  • 양자컴퓨터의 등장으로 RSA, ECC 같은 비대칭 암호화는 Shor 알고리즘에 취약, PQC(양자 내성 암호)로 점진적 전환 필요

접근제어

· 약 5분

접근제어 개념

  • 접근 제어정책(Policy), 메커니즘(Mechanism), 모델(Model)로 구성되어 사용자(주체)의 신원을 식별/인증하여 객체의 접근, 사용수준을 인가하는 기법

접근제어 유형

접근제어 유형도

접근제어 유형 상세설명

구분개념도설명
MAC, 강제적mac객체별로 정의된 권한을 근거로 접근 제어
군에서 사용, 중앙집중식
DAC, 임의적dac사용자나 그룹에 근거한 접근 제어
소유자의 권한 변경
RBAC, 역할기반rbac역할에 의한 접근 제어
최소권한, 직무분리, 계층 분리

강제적 접근 통제 모델

MAC, Mandatory Access Control

벨-라파둘라

  • 군사용 보안구조 요구사항 충족을 위해 미국의 벨과 라파둘라가 최초 개발
  • 정보의 파괴나 변조보다는 기밀성 유지에 초점
  • 극비, 비밀, 미분류로 분류
  • No Read Up, No Write Down

비바 무결성

  • 벨-라파둘라 모델에서 불법 수정방지 내용 추가로 정의한 무결성 모델
  • 비인가자의 데이터 수정 방지 기능
  • 낮은 비밀등급에서 높은 비밀등급으로 Write 금지함으로 무결성 오염 방지
  • No Write Up, No Read Down

클락-윌슨

  • 상업환경에 적합하게 개발된 불법 수정방지를 위한 접근통제모델로 무결성 방지
  • 임무 분리의 원칙
  • 상용, 금융, 회계 데이터
  • Well-Formed Transactions: 모든 거래사실 기록, 구현 복잡

비교

구분벨-라파둘라비바클락-윌슨만리장성
보호대상기밀성무결성무결성무결성
특징비인가된 읽기 금지비인가된 기록 금지무결성 보존이해 상충 방지
분야군사, 정부금융, 의료상업, 금융, 회계정부, 기업
장점기밀성무결성무결성 및 신뢰성무결성, 정보 흐름 제어
단점유연성 부족기밀성 부족복잡한 구현복잡한 규칙
비고No Read Up, No Write DownNo Write Up, No Read Down무결성 검증 절차 사용명확한 이해관계 정립 필요

접근제어 고려사항

  • 계정이 탈취되는 경우 접근제어로 비밀 보장을 할 수 없으므로, MFA를 활성화하여 보안 강화 필요

참조

OWASP TOP 10 for LLM Applications

· 약 4분

OWASP LLM 개요

  • 기업에서 대규모 언어모델을 배포하고 관리할 때 발생할 수 있는 보안 위험에 대해 대비하기 위한 상위 10가지 취약점

OWASP LLM Top 10 취약점

1. 프롬프트 인젝션

  • Prompt Injection
  • 공격자가 조작된 입력을 통해 LLM을 조종하여 데이터 및 민감 정보를 추출
  • 권한 제어, 인가자 승인, 사용자 프롬프트에서 신뢰할 수 없는 내용 분리, LLM을 신뢰할 수 없는 것으로 처리

2. 안전하지 않은 출력 처리

  • Insecure Output Handling
  • LLM 출력을 검증 없이 보낼 경우 XSS, CSRF, SSRF, 권한 상승, 원격 코드 실행 가능
  • 출력을 사용자 입력처럼 취급하여 검증, 출력 인코딩으로 코드실행 차단

3. 훈련 데이터 중독

  • Training Data Poisoning
  • 훈련 데이터나 과정에 악의적인 데이터를 주입하여 보안 취약점, 편견, 백도어 삽입
  • 공급망 검증, 데이터의 정당성 확인, 사용 사례별 훈련 모델 구축

4. 모델 서비스 거부

  • Model Denial of Service
  • 공격자가 LLM 서비스에 DoS 공격하여, 서비스 품질 저하나 높은 비용 초래
  • 입력 유효성 검사, 리소스 사용 제한, API 호출 제한

5. 공급망 취약점

  • Supply Chain Vulnerabilities
  • 취약한 데이터, 모델, 서비스, 시스템으로 인해 LLM이 취약점에 노출
  • 공급업체 평가, 플러그인 테스트, 최신 구성 요소 사용

6. 민감 정보 노출

  • Sensitive Information Disclosure
  • LLM이 민감 정보를 공개하여 저작권 침해, 사생활 침해가 발생
  • 훈련 데이터 정제, 입력 유효성 검사, 파인 튜닝 시 민감 데이터 주의

7. 안전하지 않은 플러그인 설계

  • Insecure Plugin Design
  • 부적절한 입력 검증과 접근 제어 부족으로 인해 데이터 유출, 원격 코드 실행 등이 발생
  • 매개 변수 제어, OWASP 가이드라인 적용, 철저한 테스트 및 검증

8. 과도한 권한

  • Excessive Agency
  • LLM 기반 시스템이 너무 많은 기능, 권한 또는 자율성을 가지고 있어 오용 가능
  • 기능 제한, 권한 제어, 사용자 승인

9. 과도한 의존

  • Overreliance
  • LLM에 대한 과도한 의존은 잘못된 정보, 법적 문제, 보안 취약점을 유발
  • LLM 출력의 지속적 검토 및 검증, 신뢰할 수 있는 소스와의 비교, 파인튜닝 통한 품질 향상

10. 모델 탈취

  • Model Theft
  • 무단 접근을 통해 LLM 모델이 유출되어 경제적 손실, 명성 손상, 민감 정보 접근 위험 발생
  • 접근 제어 및 인증 강화, 네트워크 제한, 접근 로그 모니터링

참조

OWASP 2021 TOP 10

· 약 3분

OWASP 개요

  • Open Web Application Security Project
  • 소프트웨어의 보안 취약점을 분석하고 연구하는 비영리 단체

OWASP 2021 Top 10 취약점

1. 접근 권한 취약점

  • Broken Access Control
  • 사용자가 권한을 벗어나 행동할 수 없도록 정책 시행
  • 취약한 경우 모든 데이터를 무단으로 열람, 수정, 삭제 가능

2. 암호화 오류

  • Cryptographic Failures
  • 적절한 암호화가 없을시 민감 데이터 노출 가능

3. 인젝션

  • Injection
  • SQL, NoSQL, ORM, LDAP의 인젝션 취약점
  • 사용자 제공 데이터 조작을 위한 공격, XSS 포함

4. 안전하지 않은 설계

  • Insecure Design
  • 설계 단계에서 발생하는 보안 결함
  • 요구사항 및 리소스 관리, 보안 설계, 보안 개발 생명 주기

5. 보안 설정 오류

  • Security Misconfiguration
  • 어플리케이션 보안 설정이 누락되거나 클라우드 서비스 권한이 잘못된 경우

6. 취약하고 오래된 컴포넌트

  • Vulnerable and Outdated Components
  • 취약한 어플리케이션, 라이브러리, 프레임워크 등의 보안 위협

7. 식별 및 인증 오류

  • Identification and Authentication Failures
  • 취약한 인증에서 식별까지 포함된 보안 결함
  • 사용자 신원확인, 인증, 세션관리 취약점

8. 소프트웨어 및 데이터 무결성 오류

  • Software and Data Integrity Failures
  • 안전하지 않은 역직렬화가 병합된 항목으로, 어플리케이션이 신뢰할 수 없는 소스, 저장소, 라이브러리, 모듈에 의존하는 경우 발생

9. 보안 로깅 및 모니터링 오류

  • Security Logging and Monitoring Failures
  • 로깅으로 공격 발생 감지 및 대응까지 포함

10. 서버 측 요청 위조

  • Server-Side Request Forgery
  • 어플리케이션이 사용자 제공 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때 발생

참조

ISMS-P

· 약 3분

ISMS-P 개요

ISMS-P 개념

  • 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합한지 인증하는 제도

ISMS-P 법적 근거

  • 정보통신망법 제 47조
  • 개인정보 보호법 제 32조 2

ISMS-P 인증 체계 및 기준

ISMS-P 인증 체계

  • 정책기관: 과기정통부, 개인정보보호위원회
  • 인증기관: 한국인터넷진흥원(KISA), 금융보안원(FSI)
  • 심사기관: 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 개인정보보호협회(OPA), 차세대정보보안인증원(NISC)

ISMS-P 인증 기준

1. 관리체계 수립 및 운영

  • 관리체계 기반마련
  • 위험관리
  • 관리체계 점검 및 개선
  • 관리체계 운영

2. 보호대책 요구사항

  • 정책, 조직, 자산관리
  • 인적보안
  • 외부자보안
  • 물리보안
  • 인증 및 권한관리
  • 접근통제
  • 암호화
  • 정보시스템 도입 및 개발 보안
  • 시스템 및 서비스 운영 관리
  • 시스템 및 서비스 보안 관리
  • 사고 예방 및 대응
  • 재해복구

3. 개인정보 처리단계별 요구사항

  • 개인정보 수집 시 보호 조치
  • 개인정보 보유 및 이용 시 보호조치
  • 개인정보 제공 시 보호조치
  • 개인정보 파기 시 보호조치
  • 정보주체 권리 보호

고려사항

  • 매출 300억 이하 중소기업, 매출 300억 이상 중요 통신인프라가 없는 중견기업의 경우 간소화 인증으로 인증 비용 40% 절감 가능

참조