[Secure]_#01_[고유식별번호, 개인정보, 웹취약점 진단, OWASP TOP 10, 주요통신 기반시설 취약점 진단 가이드, 버퍼오버플로우]

01. 고유식별정보 :

개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호에 해당하는 정보를 말합니다.

 

※ "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호).

 

1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

 

2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)

 

3. 위 1. 또는 2. 에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보

 

※"가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다(「개인정보 보호법」 제2조제1호의2).

 

※ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(「개인정보 보호법」 제2조제3호).

 

※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).

 

02. 개인정보 : 

 

「개인정보 보호법」에서 정의하는 개인정보는 살아 있는 개인에 관한 정보로 아래에 해당하는 정보를 말한다.

• ① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
• ② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
• ③ ①또는 ②를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)

ㅡㅡㅡㅡㅡ

웹 취약점 진단 : 

   - 웹 서비스에서 발생할 수 있는 취약점을 미리 확인하여 보안조치를 통해 안전한 웹 서비스 제공을 목적으로 하는 일련의 절차.

   <대표적인 취약점>

   - SQL injection

   - XSS (Cross site scripting)

   - 파일 업로드

   - 파일 다운로드 등.

 

• 취약점의 75%는 어플리케이션(웹)에서 발생되며, 발생되는 취약점을 이용하여 서버에 치명적인 피해를 입을 수 있음.  

 

<웹 취약점 진단 및 모의 해킹 방법>

 

1. Black Box TEST : 

   외부 테스트라고도 하며, 타겟 조직이 사용 중인 내부 정보에 관해서 전혀 알지 못한 상황에서 점검을 실시하는 방법.

 

2. Gray Box TEST : 

   Black Box TEST 방식으로 모의해킹을 수행하나, 일부 계정, 권한 부여 상태에서 점검을 실시하는 방법.

 

3. White Box TEST :

   내부 테스트라고도 하며, 사용 중인 내부 정보를 미리 알고 있는 상태에서 점검을 실시하는 방법.

 

ㅡㅡㅡㅡㅡ

 

<OWASP TOP 10>

•    OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션 취약점(OWASP TOP 10)을 발표했다.

 

<주요통신 기반시설 취약점 진단 가이드>

•    주요통신기반시설 관리기관은 [정보통신기반 보호법] 제 9조에 따라, 주요통신기반시설로 신규 지정된 후 6개월 이내, 그리고 매년 취약점 분석 평가를 실시하여야 한다.
•    취약점 분석 평가는 453개의 관리적/물리적/기술적/ 점검항목에 대한 주요통신 기반시설의 취약여부를 점검하여 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적인 개선과정이다.
•    - 웹 취약점 점검항목은 28개로 구성

 

ㅡㅡㅡㅡㅡ

 

A1:2017 - 인젝션

A2:2017 - 취약한 인증

A3:2017 - 민감한 데이터 노출

A4:2017 - XML 외부 체계

A5:2017 - 취약한 접근 통제

A6:2017 - 잘못된 보안 구성

A7:2017 - 크로스 사이팅 스크립팅(XSS)

A8:2017 - 안전하지 않은 역직렬화

A9:2017 - 알려진 취약점이 있는 구성요소 사용

A10:2017 - 불충분한 로깅 및 모니터링

 

 

 

---

 

<버퍼 오버플로우>

 

• 점검 내용 : 사용자가 입력한 파라미터 값의 문자열 길이 제한 확인.
• 점검 목적 : 웹 사이트에서 사용자가 입력한 파라미터 값의 문자열 길이 제한 여부를 점검하여 비정상적 오류 발생을 차단하기 위함.
• 보안 위협 : 웹 사이트에서 사용자가 입력한 파라미터 값의 문자열 길이를 제한하지 않는 경우 개발 시에 할당된 저장 공간보다 더 큰 값의 입력이 가능하고, 이로 인한 오류 발생 시에 할당된 저장 공간보다 더 큰 값의 입력이 가능해져, 의도하지 않은 정보 노출, 프로그램에 대한 비인가 접근 및 사용 등이 발생할 수 있음.

버퍼오버플로우

 

• 보안 설정 방법 : 
  • 웹 서버, 웹 애플리케이션 서버 버젼을 안정성이 검증된 최신 버젼으로 패치
  • 웹 애플리케이션에 전달되는 파라미터 값을 필요한 크기만큼만 받을 수 있도록 변경하고 입력 값 범위를 초과한 경우에도 에러 페이지를 반환하지 않도록 설정.
  • 동적 메모리 할당을 위해 크기를 사용하는 경우 그 값이 음수가 아닌지 검사하여 버퍼 오버플로우를 예방하는 형태로 소스코드 변경.

** 음수는 2진수 변환시 부호비트가 붙는다. -> 당연히 할당받은 크기보다 많이 입력됨 -> 버퍼오버플로우 발생. **

 

 

 

 

 

 

- 오래된 xml파일은 한국의 경우엔 별로 없음

- 역직렬화 : 부모함수 , 자식함수 사이관계가 역전 .

- 불충분한 로깅 및 모니터링 : 관제의 중요성

- dns server 는 주서버, 보조서버 로 나뉜다.

사설 ip -> 사 내에서 자기들끼리 만 쓰는 것.

 

 

ㅡㅡㅡㅡㅡ

인터넷 들어가는 과정 :

pc -> Router -> 방화벽 - L3 < - 방화벽
|
DMZ(인터넷이 되는 곳)

ㅡㅡㅡㅡㅡ

 

Ex) 네이버에 연결하는 경우 -> 웹서버에 연결되있는 것이 아닌 그 웹 정보를 자신 pc에 그 순간 다운시켜둔 것.

-> 구글 홈피 메인이 간단한 이유 : 다운받을 내용이 ㅇ적음 -> 전세계에서 접속하므로 .

ㅡㅡㅡㅡㅡ

웹서버 : 정적 (화면 구성 ) html

와스서버 : 동적  jsp , asp, php 

서버사이트 스크립트 까지 보임 -> 인덱스다운을 하는 경우
소스 보기로는 안보임. 

ㅡㅡㅡ

php : 비교적 작은 홈피를 만들때 씀, 기능이 적음,  보안 이 안좋음 

asp : jsp를 견제하기 위해 MS가 만듬.  (서버 -> 윈도우) IIS  / 윈도우 서버 구려서 별로 안씀.

jsp : 가장 많이 씀. 기능이 많다.


url 끝에 확장자 (Ex. .index.php , ...) 같은게 안보이면 jsp 

ㅡㅡㅡㅡㅡ

불충분 인가
프로세스 검증 누락
불충분한 인증 

이 3개는 웹 방화벽에서 감지가 안됨. 


웹 취약점의 중요도가 모두 상 인 이유 -> 쉽게 접근할 수 있어서 .

ㅡㅡㅡ

버퍼 오버플로우 -> 실제 웹서버에서 딱히 일어나지는 않음 -> 현재 다 업데이트 됨.

버퍼옵플로우인지 확인할 때 아이디패스워드 입력보다는 주로 검색창 등을 통해 확인 .

ㅡㅡㅡㅡㅡ