처음 만나는 클라우드 보안

취약점 종류를 다뤄보기에 앞서, 취약점과 함께 언급되는 '위협', '위험'에 대한 개념을 정리해보자. ■ 취약점 관련 용어 취약점(Vulunerability) : 위협에 의해 손실이 발생하게 되는 약점, 위협과 달리 조치가 가능함 위협(Threat) : 손실의 원인을 제공할 수 있는 환경, 또는 요소를 말함 위험(Risk) : 위협이나 취약점에 따라 발생 가능한 손실의 크기, 정보보호의 관리 타겟 자산(Asset) : 조직에서 보유한 가치 있는 모든 것 (정보, 기술, 물리 자산, 서비스 인력 등) ■ 3가지 취약점 유형 1) CCE (Common Configuration Enumeration) 시스템 설정상의 취약점으로, 이를 통해 허용된 권한 이상의 동작이 허용되거나, 필요 이상으로 정보 노출이 발생..

ITU-T에서 제시한 X.805 표준 보안 아키텍처링에 대해 알아보자. 보안 아키텍처의 3가지 구성요소: 다차원 보안, 보안 계층, 보안 평면 1. 다차원 보안(Security dimensions) : 보안을 위해 갖추어진 8가지 수단을 말한다. (참고. 보안요건 정의서에서 작성시 보안 요구 항목으로 참조) 1) 접근통제(Access control) : 오직 인가된 대상 혹은 디바이스의 접근을 허용한다. 예시로 RBAC(역할 기반 액세스 제어)과 같은 기능이 접근통제에 해당한다. (클라우드 = IAM를 통한 역할 및 통제 부여) 2) 인증(Authentication) : 통신에 참여하는 대상 ID의 유효성을 검증한다. (클라우드 = 사용자에 대한 계정 부여) 3) 부인방지(Non-repudiation) ..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. 1.1 관리체계 기반 마련 1.1.1 경영진의 참여 : 최고 경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수힙하여 운영하여야 한다. 1.1.2 최고책임자의 지정 : 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 초괄하는 개인정보보호 책임자를 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. - 관련법규: 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정) 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) 개인정보의 안전..

CSRF (Cross Site Request Forgery)란? : 사용자의 의도와 무관한 공격자의 의도대로 특정 웹페이지가 동작하도록 수정, 삭제하는 공격 방법을 말한다. ex) 사용자의 방문만으로 자동 댓글 또는 좋아요, 비밀번호 변경, 회원 탈퇴, 회원 승급 요청 등 CSRF 실습 (in DVWA) - 공격목표: 사용자의 비밀번호 변경하기 - 소스코드 확인 - 코드수정 46~52 복사 후 별도로 저장 46번 줄 #에 URL 주소 'http://192.168.5.130/dvwa/vulnerabilities/csrf/' 붙여 넣기 47번 줄, 49번 줄 new뒤로 value="" 삽입 49번줄 password=> text - 공격의도 : 경품 당첨을 가장하여 사용자 클릭 시 비밀번호가 'korea'로 ..

약점(Weakness) > 취약점(Vulnerability) > 취약점 공격(Exploit) 취약점: 심각한 문제를 일으킬 소지가 있는 약점을 말한다. 약점과 취약점 약점(Weakness) 번호체계: CEW-NNNNN (Common Wakness Enumeration, 일반적인 약점 목록) 관리기관: https://cwe.mitre.org/ CWE - Common Weakness Enumeration CWE™ is a community-developed list of software and hardware weakness types. It serves as a common language, a measuring stick for security tools, and as a baseline for weak..