최신 웹의 취약점 & 정보보호 분야의 컴플라이언스 & 업무에서 암호화의 중요성

 최신 웹 취약점 알아보기(OWASP top10)
▶ A10:2021-Server-Side Request Forgery (서버 측 요청 위조)
- 2021 버전에서 새롭게 등장한 취약점으로, 흔히 ‘SSRF’라고 부름
- 해당 취약점의 결함은 웹 애플리케이션 사용자가 제공한 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때 발생함
- 공격자가 변조된 요청을 생성하여 웹 애플리케이션을 통해 사용자에게 전송하는 공격 방법을 사용함 
- 웹 애플리케이션을 통한 요청으로 인하여 서버 내부 포트와 연결되어있던 내부망을 통해 공격이 전송되는 것
 
정보보호 분야 컴플라이언스 총정리
▶ 미국의 보안 관련 법률
- 국방수권법(NDAA : National Defense Authorization Act)
 : 미국을 보호하기 위한 법이지만 우리나라와 같은 동맹국뿐만 아니라 미국에 수출하는 많은 날에도 영향을 줌 또한 미국정부에서 수입하는 물품에 중국산 제품을 금지할 수 있음

 

- 국토안보법(Homeland Security Act)
: 911테러 이후 만든 법으로 필요할 경우, 판사의 영장 없이도 인테넷을 도청할 수 있음(인터넷은 전 세계가연결되어 있어서 전 세계 도청 가능), 기본권을 해칠 우려가있는 것으로 알려짐

 

 업무에서 암호화의 중요성
▶ 대칭키의 종류
① IBM의 루시퍼 시스템 
 - 1977년 IBM에서 루시퍼 시스템 개발
② DES(Data Encrtption Standard) 
 - Lucifer Ststem을 기반으로 한 표준 대칭키
 - 64bit 키 내부에 실제 암호화하는 키는 56bit
 - 2000년 DES 크래킹 시연으로 표준에서 제외됨
③ AES(Advanced Encryption srandard)

- 여러 차세대 대칭키 후보중에 암호화 속도가 가장 빠른 Rijndael이 최종적으로 
 선정됨
- SPN(Substitution Permutation Network, 치환과 전치의 반복)방식 사용

 

▶ 공개키
- Diffie-Hellman : 최소의 공개키(1976년)
- 누구나 개인키와 공개키 한 쌍을 가짐(개인키로 공개키를 생성)
- 개인키(Private Key)는 자기 혼자만 안전하게 보관하고 사용
- 공개키(Public Key)는 거래 상대에게 제공함
- 대칭키의 가장 큰 문제인 키 전달의 문제 해결
 ‣공개키를 서로 교환한 후에, 자신의 개인키와 상대의공개키를 연산해서 대칭키 (세션키)를 생성해 냄
 ‣데이터를 대칭키(세션키)로 암호화해서 보내면 상대방도 복호화 가능
 ‣대칭키(세션키)를 교환하는 문제 해결

 

▶ 취약한 암호화 방식
- 대칭키 : DES, 3DES, RC4 등
- 공개키 : RSA1024BIT 이하
- 해시함수 : MD5, SHA-1
 → ISMS-P인증 심사에서 결함

 

출처 : 에듀빈 - 평범한 회사와 직장인을 위한 정보 보안 기본서