1. 약점과 취약점
- Weakness (약점)
- 공식 약점 번호 체계: CWE-NNNNN (형식)
- 공식 약점 관리 기구:https://cwe.mitre.org/
CWE - Common Weakness Enumeration
CWE™ is a community-developed list of software and hardware weakness types. It serves as a common language, a measuring stick for security tools, and as a baseline for weakness identification, mitigation, and prevention efforts.
cwe.mitre.org
- Vulnerability (취약점)
-공식 취약점 번호 체계: CVE-YYYY-NNNNnn (형식, Y는 연도)
- 취약점 공식 번호가 발표되면 Oneday Exploit이다. Oneday Exploit이란? https://walk-cat-dev.tistory.com/108
- 공식 취약점 관리 기구:https://cve.mitre.org/
CVE - CVE
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
cve.mitre.org
** GHDB (Google Hacking Database)
- 구글에서 특정 단어를 검색하면 관련 정보가 많이 나온다.
- 정보 획득의 방법
2. 인증(Authentication)
- 내가 누구인지 증명하는 것
- What You Know (지식 기반): 알고 있는 것으로 증명
- ID/PW, 미리 입력한 질의/응답, Passphrase, 암구호 등 - What You Have (소유 기반): 가지고 있는 것으로 증명
- 신분증, 열쇠/카드키, 신용카드, 휴대폰 인증, 공동인증서, OTP 등 - Who You Are (생체 기반): 생체적 특징으로 증명
-지문, 얼굴, 홍채, 망막, 정맥, 손바닥, 손모양, 음성 등 - Where You Are (위치 기반): 어디에 있는지 확인
-IP Address, GPS, Wi-Fi 등
** Multi-Factor Authentication (다중 요소 인증)
- 최소한 2종류 이상의 인증방법을 사용해야 안전하다. ex) 스마트폰 은행(지문 + 인증번호)
3. 해킹과 해커
해킹: 타인의 시스템에 불법적으로 침입하는 것
해커: 컴퓨터 내의 시스템이나 프로그래밍에 전문적 지식을 가진 사람
해커의 분류
1) 과시형: 트위터, 블로그 등에 해킹했음을 자랑
2) 금전목적형: 랜섬웨어의 유포, 개인정보의 유출
3) 사회정의형: 정치적 명분을 내세움
4) 군인, 공무원
인터넷 관련 기관
* ISOC: 인터넷 총회
* IAB: 인터넷 이사회
무차별적 해킹은 정보통신망 이용촉진 및 정보보호에 관한 법률에 위배될 수 있음
형법, 민법 상 처벌 가능
'정보보안' 카테고리의 다른 글
| [정보보안] 보안의 정의와 공격의 유형 (0) | 2023.07.21 |
|---|
