FIDO(Fast IDentity Online) FIDO는 Fast IDentity Online의 약자로 기존 비밀번호 방식의 보안 문제점을 해결하기 위한 목적으로 생겨난 인증 기법입니다. 인증 정보를 주고 받기 위한 인증 프로토콜을 분리하는 것을 핵심으로 생겨났습니다. FIDO는 쉽게 말해서 지문, 홍채, 안면 인식 등의 생체인증에 적용하기 위해 주로 사용된다고 생각하시면 됩니다. 2013년 페이팔과 레노버 등에서 일하던 보안 전문가들이 여러 비밀번호 보안 취약점을 비판하며 FIDO 얼라이언스(동맹, 연합)를 결성했습니다. FIDO 얼라이언스가 비밀번호 방식을 없애려고 하는 이유는 다음과 같습니다. 암호화는 완벽하지 않으며 항상 완벽하게 구현되는 것이 아닙니다. 강력한 암호화도 결국에는 풀릴 수 밖에 ..
전 세계적으로 화제가 되고 있는 보안 취약점 log4j가 또 다른 영향도가 발생하였습니다. KISA에서 12월 20일 오전10시반쯤 발표한 내용에 따르면 서비스 거부 취약점이 발견되었다고 합니다. 이 내용에 대해서 알아보겠습니다. 취약점코드 CVE-2021-45105 영향도 버전 - 2.0-beta9 ~ 2.16.0 버전(2.12.3 버전은 제외) 대응방안 JAVA 8의 경우 2.17.0 버전으로 업데이트 (만약 core-.jar 파일 없이 api-.jarq 파일만 사용할 경우 취약점의 영향을 받지 않음) 업데이트 불가할 경우 대안 - Log4j 로깅 구성의 PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경 - ${ctx..
개인정보보호법과 정보통신망법에는 어떠한 정보들이 들어가 있는지에 대해서 알아보겠습니다. 개인정보를 식별할 때에는 고유한 식별 번호가 필요합니다. 개인을 알아볼 수 있는 정보입니다. 해당 정보의 경우 약관 등에서 수집 항목, 이용 목적, 보유 및 이용 기간, 수집 거부 시에 생기는 불이익에 관련해서 명시되어 있어야 합니다. 또한 개인정보보호법과 정보통신망법 상의 대략 7가지의 주요 정보들은 암호화하여 저장하는 것이 원칙입니다. 개인정보보호법상 고유식별정보 주민번호, 여권번호, 운전면허번호, 외국인등록번호 정보통신망법상 주요정보 계좌번호, 신용카드번호 및 바이오정보 현재는 데이터 3법을 통해서 개인정보보호법 정보통신망법 신용정보법 세가지의 개인정보보호 소관 부처를 하나로 모아 중복 규제를 없애고 개인과 기업..
강제적 접근통제 모델(MAC)의 종류 벨라파둘라, 비바 강제적 접근통제 Mandatory Access Control은 주체와 객체의 보안 등급을 비교하여 접근 권한을 부여하는 접근통제입니다 관리자가 취급 인가를 허용한 개체만 접근이 가능하도록 강제적으로 통제합니다 기밀성 모델 벨-라파둘라 Bell-LaPadula Confidentiality Model; BLP; • 미 국방부 지원 보안 모델로 보안 요소 중 기밀성 강조 • 최초의 수학적 모델로 강제적 정책에 의해 접근 통제하는 모델 • 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지 • 벨-라파둘라모델 속성 • (No Read Up): 낮은 등급의 주체는 높은 등급의 객체를 읽을 수 없음 • (No Write Down): 높은 등급의 주..
안녕하세요 오늘은 2020년에 일어났던 보안 이슈 7가지에 대해서 정리해 볼게요 1. 데이터 3법 시행 빅데이터 시대가 도래하면서 데이터 3법 개정안이 올해 2월 4일 공포되어 6개월 후인 8월 5일 데이터3법이 시행됐습니다 가명 처리된 정보는 정보주체의 동의 없이 제3자 제공이 가능해졌습니다 개인정보 이동권이 확대되어 마이 데이터 사업자, 마이 페이먼트 사업이 활성화될 것으로 보이고요 이와 함께 개인을 식별할 목적으로 가명 정보를 처리할 경우 전체 매출의 3%를 과징금으로 부과하는 처벌규정이 신설되었습니다 4차 산업혁명 시대에 신사업 육성을 위해서는 데이터의 이용이 필수인 만큼 그동안 데이터 활용에 어려움을 겪어왔던 기업들은 향후 개인정보 활용 사업에 있어서 큰 변화를 가져올 것이라고 생각됩니다 아직까..
CC인증(Common Criteria) CC인증은 IT보안인증 사무국(ITSCC)에서 인증을 부여하는 공통평가 기준으로 IT제품의 보안 기능성과 평가 과정에서 그 제품들에 적용되는 보증 수단에 대한 공통의 요구 사항들을 제시함으로써, 독립적으로 보안성 평가의 결과들을 비교할 수 있도록 합니다 국제표준 ISO/IEC 15408 로 제정된 정보보호제품의 보안성 평가 기준입니다 평가 결과는 소비자가 그 제품이 보안 요구에 충족되는지 확인하는데 도움을 줄 수 있습니다 만약 정보보안기사 문제에 정보보호제품에 대한 국제표준(ISO-15504) 인증의 명칭은? 이라는 문제가 나오면 CC인증이라고 생각하시면 됩니다 CEM이라는 말도 있는데요 IT 제품의 평가 방법론을 CEM (Common Evaluation Metho..
접근통제 정책 Access Control Policy 어떤 주체(who)가 언제(when) 어디서(where), 어떤 객체(what)에 대해서, 어떠한 행위(how)를 하도록 허용 또는 거부 할 것인지 정의한 것 임의적 접근통제 (DAC : Discretionary Access Control) 접근 주체 신분기반 접근권한 부여 데이터의 소유자가 접근을 요청하는 사용자의 신분 즉 식별자에 기초하여 객체에 대해 접근을 제한하는 접근통제 방법 DAC의 특징 1. 접근 권한을 객체의 소유자가 임의로 지정하는 자율적 정책 2. 접근통제 목록(ACL) 등을 사용 3. 허가된 주체에 의하여 변경 가능한 하나의 주체와 객체간의 관계를 정의 4. 오렌지북 C 레벨의 요구사항이다 5. 상업적 용도로 사용된다 6. 신분 도..