스마트 카드 종류 - 접촉식 카드 스마트 카드 리더기와 접촉부 사이의 물리적 접촉으로 작동 플라스틱 카드에 리더기와의 통신에 필요한 접촉부, IC칩이 내장 - 비접촉식 카드 안테나 겸 전기 코일로 이용되는 구리 선으로 무선 주파수 파장을 전력으로 전환하는 방식으로 구동하여 스마트카드 리더기와 통신 - 하이브리드 카드 하나의 카드 안에 접촉식 카드와 비접촉식 카드가 별도로 존재하는 하이브리드 형식의 카드 - 콤비 카드 접촉식 카드와 비접촉식 카드가 공유할 수 있는 부분을 상호 공유하는 스마트 카드 가장 효율적인 형태 - SIM 카드 가입자 식별 모듈을 구현한 IC카드로 GSM단말기의 필수 요소 단말기 뒤의 슬롯에 끼워넣는 작은 형태 SIM → USIM으로 표준이 확장 정적 데이터 인증(인증할 때마다 같은 ..

SET(Secure Electronic Transaction) 신용카드회사인 비자와 마스터카드가 합동으로 개발한 프로토콜 신용카드 거래에서 표준, RSA 암호화와 인증 기술을 이용 전자봉투와 이중 서명을 사용 SET의 목적 정보의 기밀성 확보 지불 정보의 무결성 확보 상인과 고객의 상호 확인 SET 구성 신용카드 사용자 상점 지불 게이트웨이(중개) 신용카드 회사 은행 인증 기관 지불 과정 신용카드 사용자가 SET을 이용해 상점에 결재 의뢰 판매자는 고객의 신용카드 회사에서 카드의 유효성 여부 확인 카드가 정상이라면 주문 확인 메시지를 고객에게 전송, 고객은 자신의 신용카드 정보를 판매자에게 전송 판매자는 고객에게 받은 정보를 결재에 다시 이용 이중서명 카드 사용자가 구매정보와 지불 정보를 각각 해시한 후..

전자상거래의 이해 1994년 피자헛이 처음으로 웹 사이트를 통해 주문을 받음 넷스케이프 1.0은 SSL암호화를 통한 보안 거래를 제공 전자 상거래의 보안 요건 전자 상거래의 보안을 위협하는 공격 유형 인증 공격-네트워크로 접근한 사용자가 적절치 않은 인증으로 다른 사용자로 위장 송수신 부인 공격 - 네트워크를 통해 수행한 인증 및 거래 내역을 부인하는 것 기밀성 공격 - 네트워크로 전달되는 인증 정보 및 주요 거래 정보가 유출 되는 것 무결성 공격 - 네트워크 도중 거래 정보 등이 변조 되는 것 전자 상거래 보안 요구사항 신분 확인 수단 제공 - 원격의 거래 상대를 신뢰할 순 없기 때문에 네트워크에서 신분 확인 수단이 필요 제삼자의 중재-거래 내역을 공증할 수 있는 신뢰할 만한 제삼자의 중재 필요 지불 ..

OWASP[Open Web Application Security Project] - 오픈소스 웹 어플리케이션 보안 프로젝트 3~4년마다 갱신되는 10대 웹 애플리케이션의 취약점 Top 10 Injection - SQL, OS, NoSQL, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 인터프리터로 보내질 때 발생 - 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있음 SQL injection - 매우 일반적으로 발견되는 취약점 - SQL 스트링 입력에 대한 사용자의 입력이 올바른 지를 검증하지 않는 데서 비롯 - SQL의 특수문자를 사용해서 공격 => DB에 대한 사용자 입력을 검증하고 유효하지 않은 ..

PEM[Privacy Enhanced Mali] - IETF에서 인터넷 드래프트로 채택한 기밀성, 인증, 무결성, 부인 방지를 지원하는 이메일 보안기술 - 인증 목적의 키 관리 메커니즘 - 구현이 어렵고, 높은 보안성을 제공 - 군용 또는 금융기관에서 이용 - 기존 전자우편 프로토콜을 이용해 암호화된 정보, 전자서명, 암호화 방법 등의 내용을 본문에 텍스트 형식으로 전송 PGP[Pretty Good Privacy] - 전 세계적으로 다양한 기종에서 사용되는 공개 소프트웨어 - 안전성이 우수한 보안 프로토콜 - 인증, 기밀성, 압축, 이메일 호환성 세그멘테이션-리어셈블 기능 제공 - 전자서명을 이용하여 인증을 제공, 대칭 블록암호를 이용해 기밀성을 제공 - ZIP 알고리즘을 이용해 압축을 제공, Radix..

TCP/IP - FTP, 3-way Handshaking- 호스트 to 호스트로 데이터를 전송하는데 사용되는 표준 프로토콜- TCP를 사용하며 서버-클라이언트 모델을 구성 - FTP 클라이언트 프로그램을 이용하여 FTP 서버에 접속 후 파일을 송수신 - FTP는 사용자 ID와 패스워드를 입력 받아 인증을 수행(암호하 되진 않음) 클라이언트에서 한 프로세서는 서버에서 한 프로세스로부터 서비스를 제공받음- 각 프로세스를 구분하기 위해 Port Number 사용 잘 알려진 포트(Well-Known Port Number)  - 0 ~ 1023 번호 사용 - TCP/IP에서 사용되는 보편적인 포트 번호 - ICANN에서 할당되고 관리 됨 등록된 포트 (Registered Ports) - 1024부터 49,151 ..

보안 문제 - FTP 연결은 명령 연결 및 데이터 연결 모두 평문으로 전달함- 네트워크 스니핑 공격에 취약하기 때문에 암호화가 필요 해결 방법 - FTP over SSH: Secure-FTP(SFTP) 프로토콜 사용- 전송 중 명령 연결 및 데이터 연결이 모두 암호화가 됨, 대신 낮은 속도- SSH에서 SSH 클라이언트와 SSH 서버 사이에 보안 연결이 성립되었을 때, 사용 가능- 22/TCP 포트 사용  - FTP over TLS - 명령 연결만 전송 중 암호화가 이루어짐, SFTP보다 훨씬 빠른 속도 - 990/TCP 포트 사용  공격 유형Bounce Attack - 데이터 채널을 생성할 때 목적지를 확인하지 않는 FTP 설계의 구조적 취약점을 이용 - Active 모드에서 FTP 서버의 파일을 요청..

TFTP(Trivial File Transfer Protocol)- FTP의 기능을 전부 지원할 필요가 없거나 모두 지원하는 것이 불가능할 경우를 위해 개발 됨- TFPT는 UDP(69번 포트)를 사용- 소프트웨어 패키지를 읽기 전용 메모리나 디스크 없는 워크스테이션에 설치할 때 주로 사용된다. FTP와 TFTP의 차이점전송: TCP와 UDP의 차이와 같이, 단순성이 중요하고 다양한 기능을 지원하지 않을 때 사용 됨, *부트 스트래핑을 할 때 사용하는 경우가 가장 많음 명령 개수: FTP는 파일을 받고 보내고 삭제하는 등 다양한 명령을 구비하지만, TFTP는 파일을 보내고 받는 것만 지원 함데이터 표현 방식: TFTP는 FTP가 지원하는 데이터 표현 방식을 전부 지원하지 않음, ASCII와 바이너리만 지..