2021년 정보시스템 감리사 기출문제- 보안 설명
Agenda
1. 타원곡선 암호기술 (문제: 104번)
2. SHA-2와 SHA3 해쉬함수 암호 알고리즘 (문제 105번)
3. iptables (108번 문제)
4. TCP 세션 하이재킹(111번 문제)
5. Reflective xss vs stored xss (113번 문제)
6. 무선통신 암호화 기술 (105번 문제)
1. 타원곡선 암호기술 (104번 문제)
-비트코인 핵심 암호 기술 : 타원곡선 암호 알고리즘
-수학의 "대수기하학" 중요한 연구대상인 타원곡선 개념을 이용한 암호 기술임
https://blog.naver.com/with_msip/223030590993
2. SHA-2와 SHA3 해쉬함수 암호 알고리즘 (문제 105번)
SHA(Secure Hash Algorithm, 보안 해시 알고리즘)은 미국 국립표준기술연구소(NIST)에서 표준으로 채택한 일련의 암호학적 해시 함수이다.
대부분의 현대 해시 알고리즘이 그렇듯이, 원본 데이터가 단 한 글자, 단 1비트만 바뀌어도 출력되는 해시 값이 천차만별로 바뀔 수 있다. 보통 이를 가리켜 눈사태 효과라 부른다.
SHA-1
1993년 SHA의 표준으로 정의되어 발표되었으며 160 비트의 해시값을 사용한다. 그러나 2년 만에 바로 취약점이 발견되어 이를 개선한 SHA-1이 새로 발표되었고, 이는 널리 사용되었다. SHA-1 역시 160 비트 해시값을 사용한다. 처음 발표된 SHA는 편의상 SHA-0로 표기하여 구분한다.
-비트토렌트는 파일을 BASE32로 바꾼 SHA-1을 해시로 사용한다.
SHA-2
SHA-1 역시 해시 충돌을 이용한 위험성이 발견되어 차세대 버전이 나왔는데, 개선된 버전이 SHA-2 로 2001년에 발표되었다. SHA-2 해시 함수는 8개의 32비트 상태를 업데이트하는 압축 함수를 기반으로 하고 해시 길이에 따라서 224, 256, 384, 512 비트를 선택해서 사용할 수 있으며, 당연히 해시 길이가 길 수록 더 안전하다. 편의상 해시 길이에 따라 SHA-224, SHA-256, SHA-384, SHA-512 등으로 부른다. 일반적으로 SHA-256을 사용한다.
-
비트코인은 작업 증명에 SHA-256을 사용한다.
SHA-3
SHA-2 도 위험성 문제가 제기되자, 충돌 가능성을 피하기 위해서 SHA-1과 2와 전혀 다른 알고리즘인 SHA-3의 개발이 진행되었다. 정확하게는 개발이라기보단, 여러 보안 전문가들과 컴덕후들이 만들어낸 해시 알고리즘 중 몇 개를 추려서 가장 견고한 것에 SHA-3 딱지를 붙이는 공모전에 가깝다.[2] 고려대학교에서도 이 공모전에 아리랑이라는 이름의 알고리즘을 출품했지만 탈락했다. 3차 후보까지 남은 건 BLAKE, Grøstl, JH, Keccak, Skein의 5개 알고리즘이다.
-
이더리움 - 이더리움은 Keccak256을 사용한다. 다만, Keccak이 SHA-3로 제안될 때 일부 변경된 부분이 있기 때문에 엄밀하게 말하면 이더리움이 SHA-3 표준을 따른다는 표현은 약간 오류가 있다.
-
SHA-3에는 다음의 종류가 있다.
-
SHA3-224: 224바이트 고정 길이 해시 함수
-
SHA3-256: 256바이트 고정 길이 해시 함수
-
SHA3-384: 384바이트 고정 길이 해시 함수
-
SHA3-512: 512바이트 고정 길이 해시 함수
-
SHAKE128, SHAKE256: 확장 가능한 출력 함수(eXtendable Output Functions; XOF). 해시 결과의 길이를 사용자가 지정할 수 있는 유형의 해시함수이다.
-
3, iptables (108번 문제)
$iptables - A INPUT -p icmp -- icmp-type echo-request - j DROP
의 방어 가능한 네트워크 공격은 ==> 답) Ping of Death
https://www.youtube.com/watch?v=rsREzT3yogc
- iptables = linux에서 방화벽 설정 도구임
- ping 명령어는 icmp 프로토콜을 사용한다
예) p icmp -- icmp - type<type> => ping을 치면 echo request가 요청되고 echo reply로 답이 온다
그래서 위 문제는 ping 요청을 막는다 (DROP)
(참고 사이트)
https://blog.naver.com/gpwls2597/222409503565
서비스 거부 공격 ICMP Flooding (Smurf attack ) |
목표 사이트에 응답 패킷의 트래픽이 넘쳐서 다른 사용자로부터 접속을 받아들일 수 없게 만든 것 - ICMP를 이용한 DoS 공격 - ICMP는 TPC/UDP 헤더를 필요하지 않다 - 위조한 IP Packet을 브로드케스트 주소로 대량의 패킷을 받도록 하는 공격 (대량의 데이타를 보내서 시스템이 다운되게 하는 것) (방어 방법) 1. 라우터/방화벽 장비 패킷 감시 2. 목적지 IP가 브로드캐스트인 패킷 차단 3. IP 브로드캐스트로 부터 전송된 ICMP 패킷 응답하지 않도록 세팅 한다. |
Ping of Death | - 죽을때까지 ping을 때리는 것 - 이더넷 허용 보다 큰 패킷을 보내 시스템의 성능을 저하 시키는 공격 |
SYN Flooding attack |
4. TCP 세션 하이재킹(111번 문제)
https://www.youtube.com/watch?v=R-M7_j5sn0c
세션 하이재킹 설명
- client가 서버에게 sync를 날리면, 서버와 client는 sync를 하기 위해 ack를 전송하는데, 그 사이에 해커1이 client의 포트를 잠시 막아 놓는다
- 그럼 client는 sync가 안된 상태가 되고, 잽사게 해커2가 서버에 ack를 날려서 client대신 sycn를 하여, 서버로 부터 중요한 데이타를 빼내는 기법이다.
- 관련 문제 풀이 동영상
https://www.youtube.com/watch?v=eV-SMyNlyO8
1995년에 케빈 미트닉이 시스템 관리자인 시모무라 쓰토무의 컴퓨터를 공격해 데이터를 빼낸 후 그를 조롱하고 달아나는 일이 있었다. 케빈 미트닉은 상당 기간 잡히지 않다가, 시모무라 쓰토무의 눈물겨운 추적 끝에 체포되었는데, 잡혀가면서 시모무라에게 "당신의 실력은 정말 놀라왔소."라고 말했다고 한다. 이때 케빈 미트닉이 사용한 공격 기술이 TCP 세션 하이재킹이다.
세션 하이재킹(Session Hijacking)은 '세션 가로채기'이다. 세션(Session)이 '사용자와 컴퓨터, 또는 두 대의 컴퓨터 간의 활성화된 상태'이므로, 세션 하이재킹은 두 시스템 간 연결이 활성화된 상태, 즉 로그인(Login)된 상태를 가로채는 것을 말한다. 가장 쉬운 세션 하이재킹은 누군가 작업을 하다가 잠시 자리를 비운 PC를 몰래 사용해 원하는 작업을 하는 것이다.
[네이버 지식백과] 세션 하이재킹 공격 (정보 보안 개론, 2013. 6. 28., 양대일)
https://terms.naver.com/entry.naver?docId=3431893&cid=58437&categoryId=58437
- URG (Urgent) : 긴급 비트, 내가 지금 보내는 데이터를 빠르게 보내라고 요청 시 사용. Urgent Pointer와 세트
- ACK (Acknowledge) : 승인 비트, 물어본거에 대한 응답을 해줄 때 사용
- PSH (Push) : 수신 측에게 이 데이터를 최대한 빠르게 응용프로그램에게 전달해달라는 플래그
- RST (Reset) : 초기화 비트, 상대방과 연결이 되어있는 상태에서 어떤 문제 등이 발생하여 연결 상태를 리셋
- SYN (Synchronization) : 동기화 비트, 상대방과 연결을 시작할때 무조건 사용되는 플레그
- FIN (Finish) : 종료 비트
5. Reflective xss vs stored xss (113번 문제)
- Stored XSS : 공격자가 악성코드를 서버에 저장해 놓으면, 사용자가 script를 실행하면 발생
- Reflective XSS : 공격자가 악성Script를 포함한 URL을 생성해서 전달하면, 사용자가 해당 URL을 클릭해서 들어와야 하는 방식 ( 피싱 방식이다)
https://blog.naver.com/gamja_sujebi/223483243022
6. 무선통신 암호화 기술 (105번 문제)
WPA2, 등 무선통신 암호화 기본 내용 설명
https://www.youtube.com/watch?v=1LoI2WilBZw
'- 배움이 있는 삶 > - 보안' 카테고리의 다른 글
24년 기출문제 - 보안 (0) | 2024.12.21 |
---|---|
2023년 기출문제-보안 (2) | 2024.12.19 |
2022년 기출문제-보안 (3) | 2024.12.06 |
2020년 기출문제 - 보안 (9) | 2024.10.26 |
보안 - 기본과정 정리 (0) | 2024.10.26 |