Missing Encryption of Sensitive Data

Slides:



Advertisements
Similar presentations
중등특수교육과 엄승현 이영재 이지수 속요에 대하여.
Advertisements

폭력. 폭력이란 무엇인가 우상의 눈물 물리적인 폭력 ( 최기표 ) VS 지능적인 폭력 ( 임형우, 담임선생님 )
의료자원 규제현황과 개선방향 자원평가실. 의료자원 관리 개요 규제개혁 토론과제.
커뮤니케이션문화학부 장주선 커뮤니케이션문화학부 송예진.
일본주식시장의 신 고레가와긴조 투자전략 6 조 안승권. 신문수 발표자 : 신 문 수. 출 생 : 1897 효고현에서 출생 학 력 : 초등학교졸업, 사업가 1992 년 95 세 사망 유일한 자서전 1981 년 스미토모 금속광산 주식매매 200 억엔 벌다⇒ 일본 소득세 납세.
’ 전자세금계산서 도입 CONTENTS 1. 부가가치세법 개정내용 2. 전자세금계산서 개요 및 발행 방법 3. 이지메디컴 전자세금계산서 발행 Process.
명지대학교 클라우드 컴퓨팅 강의 2. 클라우드 컴퓨팅의 주요 사안 2011 년 04 월 02 일 (2 주차 )
1 박 2 일 !!! 인천마장초등학교 유수아. 1 박 2 일 멤버 인기순 위 1 위 이승기 2 위 엄태웅 3 위 은지원 4 위 김종민, 이수근 ※인터넷에서 본것이기 때문에 사람에따라 서 다를 수 있다. ※
다이어그램 그래픽 2003 년도 1 학기말 과제 ( 담당교수 : 최병수 교수님 ) 제출자 : 조한진 이영수 이호진 동아일보에 사용된 그래프의 오남용 사례 분석.
KAIST 글로벌 중견기업 아카데미 주 관 : KAIST 기술경영전문대학원 주 최 : 지식경제부
2009 개정 교육과정에 따른 예술(음악/미술)교과 교육과정 개정의 주요 내용
2015학년도 시스템보안 컴퓨터 공학과 발표자 : 안정섭
2009개정 중등 국어과 교육과정 울산광역시교육청 교육과정 컨설팅단 : 정일진.
석관중앙교회 5남전도회 석 관 중 앙 교 회 회원 소식 통권 05-04호 발행일 : 2005년 04월 회 장 : 장진호 집사
학교안전7대 표준안 편성 운영 광주수창초등학교 교사 김용현.
9월 첫새벽 특별헌신예배 2. 기도: 최일문 장로 (경조위원장) 3. 찬양: 경조위원회, 2~3남선교회
연 합 남 전 도 회 월 례 회 1부 예배- 찬 송 장 다같이 2011년 1월 2일 1부 예배- 찬 송 장 다같이 기 도
달라지는 노동법 개정 내용 노무법인 正道 잠시나마… 주요 노동관계법 개정내용 3. 마무리 Contents
지역사회복지론 1조. 요양보호시설에 대해서 황성국 임재형 이동영
사 업 계 획 2011년 제1호 - 2월 1일 2011 주 안에서 소통하며 화합하고 참여하며 헌신하는 남신도회
쯔쯔가무시 예방수칙을 실천하세요! 한국산업안전보건공단 광주지역본부.
교재:C언어로 쉽게 풀어 쓴 자료구조 (생능출판사, 천인국저)
프랜차이즈 본사 인트라넷 구축 제안서 제출처 : ㈜마세다린 제출사 : ㈜데이타캠프 제출일 :
Contents 민사소송의 이해 1. 소송전에 알아야 할 사항 2. 민사소송이란? 3. 민사소송의 개관
I 문학의 개념과 역할 1. 문학의 개념 (1) 언어 예술로서의 문학 (2) 소통 활동으로서의 문학
정보보안 경일대학교 컴퓨터공학과 김 현성.
ORAS 온라인 채용대행 솔루션 제안서 (Online Recruiting Application Service)
입 점 제 안 서 본 제안서를 당사에서 분양중인 대구광역시 동구 율하2택지개발지구 상업시설용지 C3-4,5 번지의 삼우메디빌에 대한 입점제안서로 제출 합니다. 2008년 10월 삼우종합개발.
4. 목적론적 윤리와 의무론적 윤리 01. 경험주의와 이성주의 01. 경험주의와 이성주의 02. 결과론적 윤리와 공리주의
네트워크 프로그래밍 <네트워크 주문 프로그램 V1.00 >
팀 명: Con Spirito 팀 원: 경주리 김다정 김소담 최은미
Chapter 3. Architecture AI & HCI Lab 김 주 영.
Smart Phone Security 이지훈 정민우 이승우
1.정보보호 개론(1).
1. 화면 및 메뉴소개 ▣ 온라인사업지원시스템 소개 ▶ 온라인사업지원시스템이란
노트북용 무선련(WiFi) 프로그램 설치 매뉴얼
2012 인터넷 응용프로그래밍 FTP, MySQL 사용 방법 및 텀 프로젝트용 서버에서 웹페이지 구동 방법 설명
JSP를 이용한 프로젝트관리 홈페이지 양진현 지 도 : 이형원 교수님.
Wee 웹시스템 구축현황
해양생태계 이상현상 대응관리 남이현.
USB Door Lock System 공 민 표 강 정 이 권 경 곤
1. 화면 및 메뉴소개 ▣ 온라인사업지원시스템 소개 ▶ 온라인사업지원시스템이란
S-Work 2.0 DRM 신규 버전 설치 가이드 SOFTCAMP
2017년 1학기 국가근로장학금 장학생 교육 1.
개항기 조선과 동아시아 박 범 한국역사입문Ⅱ.
정치학원론 5주차 제 4장 정치체계론 행정학과 구경완, 김정은, 박하륜, 양민지, 이환규.
UNIX 사용자를 위한 디렉토리 보안 (유닉스 프로그래밍 및 실습 - 텀 프로젝트 )
Use of a Broken or Risky Cryptographic Algorithm
04. 소프트웨어 시스템 컨텍스트&이해관계자 명지대학교 융합소프트웨어학부 김정호 교수.
1 [100인의 멘토] 학교로 찾아가는 진로교육 □ 목적 인천지역 자유학기제 대상 청소년에게 건설관련 전문분야에 대한 진로탐색을 통해 체계적인 진로교육을 실시 □ 개요 ○ 참가대상: 18개 학교(학교당 1학급 기준) *협의가능 ○ 활동장소 : 각 선정 학교.
대구의 부도심 대구의 주요축 동대구 부도심 4조 강민석 / 박성균 / 최은지/ 황재현/김예지.
나는 땅에서 키는 작지만 하늘로부터 재는 키는 이 세상 어느 누구보다도 크다
NGTV CF투표함에서 실시한 카이홀맨 광고효과조사 결과 보고
속요 국어국문학과 김보민 국어국문학과 조나현 제목 창의적으로 바꿔야 함.
중등교원 전보시스템 로그인 오류시 해결 해결방안 * 작성일 2016 년 12 월 15일 * 작성자 광주광역시교육청.
제안 목적 고객성향 분석으로 매출 증대 유사업체 분석으로 신상품 홍보 원가요소 분석 및 피드백으로 원가율 관리
광고 모델의 영향력.
청각기관의 구조와 기능2 옥정달.
사도행전 13장 22절 말씀 –아멘 다 윗 을 왕 으 로 세 우 시 고 증 언 하 여 이 르 시 되 내 가 이 새 의 아 들
2015년 2학년 1반.
CONTENTS Ⅰ. 대회목적 Ⅱ. 대회개요 Ⅲ. 대회요강 Ⅳ. 대회규정 Ⅴ. 운영계획 Ⅵ. 홍보계획 Ⅶ. 예산계획.
교수학습과정안 우리 돼지고기 ‘한돈’ 알아보기 영양교육 이시원.
Chapter 3. Public Key Infrastructure
평생 저축해도 강남 아파트 못산다 학 과 : 회계학과 1학년 B반 과 목 : 회계학원론 담당교수: 박성환 교수님
경찰행정과 세미나 결과를 공개해야한다. VS 비공개로 해야한다. 경찰의 근무성적평정 제도.
▶서류관리 프로그램 1. 로그인….2 2. 서류등록 … 서류도착 서류스티커발행
자료구조 강의소개 정성훈 연락처 : 이메일 : 연구실 : 연219호 연락처 : 이메일 : 홈페이지: 정성훈.
Final Team Project 이 종철 김 용환
제3의 미디어, SNS의 힘! 경영학부 권예슬.
2009개정 중등 국어과 교육과정.
Presentation transcript:

Missing Encryption of Sensitive Data System & Network Security Lab 석사 25기 유창훈 2013.5.8 경로탐색 경로 유출

Table of Contents 소개 코드예제 보안대책 Q&A

Introduction 프로그램이 개인정보, 인증정보, 금융정보 등의 사용자 중요정보를 평문으로 저장하거나 통신채널을 통해 송수신할 경우 노출의 가능성. 민감한 데이터를 전송시 주의가 필요. 공격자는 최종목적지까지 이송되는 동안 다양한 노드를 거친다. 공격자는 중간에서 가로챌 수 있다. MITM 공격으로 가능하다. 소프트웨어가 민감한 정보를 로컬 파일이나 데이터베이스에 저장한다면, 공격자는 다른 방법으로 파일을 손에 넣을 수 있다. (물리적으로 훔칠수도 있다) 언론에 보도된 자료들, 고객 이메일 및 비밀번호 유출사고 데이터를 암호화 해서 보호하는것 + 데이터를 암호화해서 전송하는 것.

Introduction 허점유행도 높음 위협요소 데이터 손실 복구비용 중간 탐지정도 쉬움 공격빈도 가끔 공격자 지식베이스 상 허점유형도: 다른허점들보자 자주발견된다. 실수를 자주한다. 보안바이패스 : 복구비용 : 단일함수 + 라이브러리함수 탐지정도 : 자동화된 도구나 간단한조작 공격빈도 : 지식베이스 ; 플랫폼이나 환경에서의 허점을 발견하고 이를 악용

코드예제 쿠키에 저장되는 비밀 정보 취약한 코드 안전한 코드 function persistLogin($username, $password) { $data = array("username" => $username, "password"=> $password); setcookie ("userdata", $data); } "password"=>ENC_SHA256($password)); 쿠키는 사용자가 웹 사이트를 처음 방문할 때 웹 사이트에서 사용자 컴퓨터의 하드 디스크에 저장해 놓는 작은 파일입니다. Microsoft를 비롯한 많은 웹 사이트가 쿠키를 사용합니다. 쿠키는 사용자가 페이지를 얼마나 자주 방문하는지 알려줌으로써, 사용자가 관심을 갖는 정보를 파악할 수 있도록 해줍니다. 이를 기반으로 웹 사이트는 사용자가 좋아하는 콘텐츠를 더욱 많이 제공하고 관심을 갖지 않는 콘텐츠는 줄일 수 있습니다. 쿠키는 사용자의 효율성을 높여줍니다. 온라인 상점에서 가상 쇼핑백에 상품을 넣고 며칠 후에 다시 해당 사이트를 방문했을 때, 상품이 그대로 쇼핑백에 담겨 있는 것을 본 적이 있으신가요? 그것이 바로 쿠키의 역할입니다. 쿠키를 이용하여 사용자는 기본 설정, 사용자의 이름, 등록 상품 및 서비스를 저장할 수 있으며 페이지를 개인 설정할 수 있습니다.

코드예제 PHP를 통한 DB저장 취약한 코드 안전한 코드

코드예제 네트워크를 통해 전송되는 암호 취약한 코드 안전한 코드

보안대책 및 점검방법 평문으로 전송/저장 되어있다고 해서 모두 취약한 것은 아니다. 개인정보(주민등록번호, 여권번호 등), 금융정보(카드번호, 계좌번호 등), 패스워드 등을 저장 할 때에는 암호화 하여 저장 했는가? 통신채널을 통해 민감한 정보를 전송할 때에도 암호화 했는가?

보안대책 및 점검방법 데이터나 자원이 암호화하여 보호해야 할 만큼 가치가 있는 것인지 분명히 한다. 시스템 사용자의 개인정보 및 민감한정보(중요정보,백업)를 저장 또는 전송. 내부/ 외부 사용자 누구든지 내부의 민감한 정보에 접근 할 수 있다는 가정을 해야한다. 불필요하게 중요정보를 저장하지 않는다. 시스템 자체를 인가되지 않은 사용자로부터 보호하기 위한 암호화가 필요.

보안대책 및 점검방법 암호알고리즘 선택 관련분야의 전문가들이 강력하다고 간주하는 알고리즘 선택. : MD4, MD5, SHA1, DES 제외 , SHA-256권고 자체적으로 개발한 알고리즘 사용하지 않음. : 방지 vs 치료 구현 방식을 정확하게 구현. Java : MessageDigest Class 이용. C/php : mhash C++ : System.Security.Cryptography 추가후 SHA256객체생성.

보안대책 및 점검방법 SSL과 같은 표준 보안기술 적용. 일반적으로 공격자는 암호화 알고리즘 자체를 직접 공격하지 않음. 하지만 중간자공격(MITM)과 같은 정보 가로채기 공격을 수행함. 꾸준히 로컬네트워크 점검을 통해 중간자 공격을 예방해야함.

Q&A 감사합니다.