용어 정리

• 위협모델: 보안이 필요한 대상 목록과 보안 대상에 가해질 수 있는 공격 방식 리스트

• 신뢰: 위협모델을 정할 때 신뢰할 수 있는 대상은 최소화해야함

  신뢰 위반 세가지 유형

  • 의도적: 판매자가 사용자 몰래
  • 무능: 개발자 - “괜찮겠지”
  • 부정적: ex.클렙토크래피: 개발 회사 내부에서 정보 빼내는 경우

• 수천 개의 눈 원리: 코드 공개된 리눅스가 윈도우보다 안전

• 물리적 보안

• 통신 보안

  • 인증: 데이터를 받을 상대방 확인
  • 진본성: 데이터가 진짜인지 증명할 방법
  • 중간자 공격: 데이터를 보내는 중간에서 탈취

• 크립토그래피

  • 중간자 공격을 막기 위해 메세지 암호화해서 보내고, 받는 사람이 메세제 복호화해서 읽음
  • 중간에 누출 돼도 내용은 해석할 수 없으니 안전

• DoS(denial of service): 서비스 거부, 서비스 사용자들이 이용 못하도록 방해

• DDoS(distributed of service): 분산 서비스 거부 공격, 서비스 거부를 집단적으로 시도

• 프록시 공격: 공격자 추적을 어렵게하기 위해 다른 사람들의 컴퓨터를 이용해 공격

• 공격 유형

  • 크립토크래피

  • 사회적 공격: 사용자가 인지 못한체 직접 개인정보 전달하는 방식

    ex.은행과 비슷한 도메인과 웹사이트에 사용자가 직접 개인정보 제공

크립토그래피

전달할려는 데이터를 암호화하고 수신자만 디코딩하도록 송신하는 방식

원본 데이터임을 증명할 수 있음

• 위변조 막기

스테가노그래피

특정 메세지를 컨텐츠 속에 감추는 방식