1. 소프트웨어 라이선스의 정의 소프트웨어는 저작권에 의해 자신이 만든 소프트웨어를 다른 사람이 사용하지 못하게 하고 자신만이 사용할 수 있는 권리를 가지게 되며, 원칙적으로 이러한 권리자만이 소프트웨어를 사용복제배포수정할 수 있다. 하지만 다양한 필요에 의해 이들 권리자가 다른 사람에게 일정한 내용을 조건으로 특정 행위를 할 수 있는 권한을 부여할 필요가 있는데, 이와 같은 권한을 보통 ‘라이선스 (License, 이용허락권)’ 라고 한다. 이러한 소프트웨어 라이선스는 일반적으로 소프트웨어 자체에 대한 소유권과는 별개의 개념으로 소프트웨어를 ‘사용할 수 있는’ 권리를 말한다. 즉 소프트웨어 라이선스는 저작권자로부터 일정한 범위와 조건 안에서 소프트웨어를 사용할 수 있도록 허락 받는 것이다. 2..
정의 암호학에서 누군가가 상대방에게 어떤 사항(statement)이 참이라는 것을 증명할 때, 그 문장의 참 거짓 여부를 제외한 어떤 것도 노출되지 않는 interactive한 절차를 뜻한다. - 증명자(證明者, prover) : 어떤 문장이 참이라는 것을 증명하려는 쪽 - 검증자 (檢證者, verifier) : 증명 과정에 참여하여 증명자와 정보를 주고 받는 쪽 - 부정직하다 또는 정직하지 않다 (dishonest, 혹은 cheating) : 영지식 증명에 참여하는 당사자들이 상대방을 속이려는 목적으로 프로토콜을 임의로 변경하는 경우 그 외의 경우에는: 정직하다고 한다. 세가지 성질 완전성(完全性, completeness): 어떤 문장이 참이면, 정직한 증명자는 정직한 검증자에게 이 사실을..
CVE (Common Vunlerabiliteis and Exposure) CVE (Common Vunlerabiliteis and Exposure)은 정보 보안 취약점 표준 코드를 가리키는 용어입니다. CVE 사용하기 점에는 각 기관과 업체마다 각각의 보안 취약점을 가리키는 이름을 붙여서 사용하였으나, 일관성이 없고 비효율적이 였기 때문에 CVE로 통일하게 되었습니다. 또한, 공개적으로 취약점을 공개함으로써 취약점을 가진 다른 도구, 저장소 및 서버 간에 데이터를 공유할 수 있도록 합니다. CVE는 프로그램의 보안 취약점을 가르키는 고유의 이름으로 다음과 같이 표기 됩니다. CVE + 취약점 발견 연도 + 취약점 고유 번호 예시 위의 사진처럼, 보안 취약점에 대한 정보를 표시할 때 CVE번호를 사용하게..
보안 공격(Security Attack) ㅇ 조직/기관의 정보보호를 저해하는 제반행위를 총칭 ㅇ 보안 목표를 위협하는 일체의 방법 구분 ㅇ 공격유형별 구분 1) 기밀성 위협 . 스누핑 . 트래픽분석 . 가로채기(Interception) 등 2) 무결성 위협 . 변경(Modification) : 원 데이터를 다르게 변경 . 위조(Fabrication) : 주로, 발신 근원지를 바꿈 . 시간성 변경 : 고의 지연, 순서 뒤바꿈 등 . 가장(Masquerading) . 재연(Replaying) : 재생공격 . 부인(Repudiation) 등 3) 가용성 위협 . 서비스거부(DoS) : 서버의 리소스 독점 . 차단(Interruption) 등 ㅇ 능동/수동 공격 구분 1) 수동적(소극적) 공격 (Passive ..
멤캐시드 공격Memcached Attack 멤캐시드(Memcached) 증폭 공격용 PoC 익스플로잇 코드 2개가 온라인에 공개 되었다. 이번에 공개된 익스플로잇을 이용하면 해킹 초보들도 쉽게 UDP reflection을 사용해 대규모 DDoS 공격을 실행할 수 있게 된다. 첫번째 DDoS 툴은 C 프로그래밍 언어로 작성 되었으며, 미리 컴파일 된 취약한 멤캐시드 서버 목록을 사용한다. 또한 이 툴의 설명에는 인터넷에 노출 된 멤캐시드 서버에 취약한 서버 약 1만7천대의 목록이 포함 되어 있다. 두 번째 멤캐시드 DDoS 공격 툴은 파이썬으로 작성 되었으며, 쇼단 검색 엔진 API를 사용해 멤캐시드에 취약한 서버 목록의 최신 버전을 받아오며 스푸핑 된 소스 IDP 패킷을 각각의 서버에 보낸다. 지난 주,..
기본적으로, 보안을 설명할 때 3가지 요소가 있습니다. 기밀성, 무결성, 가용성입니다. C.I.A.라고 축약해서 부르기도 합니다. 1. 기밀성, Confidentiality ㅇ 정보를 오직 인가된 사람들에게만 공개하는 것 - 전송되는 데이터의 내용을 완벽하게 보호(알아보지 못하게 하는 등)하여, 비인가자가 정보의 실제 내용에 접근하는 것을 방지하는 보안서비스 ㅇ 주로 데이터 가로채기(Interception) 등에 대한 보호/보안 기법임 - 역사적으로 가장 오래된 기밀성 구현 방법 : 암호화 2. 무결성, Integrity ㅇ 애초의 의사표시 내용이 상대방에게 동일 내용으로 전달되었는가를 말함 - 메세지가 제3자 등에 의해 중도에 임의 변경되지 않았는가 즉, 인가된 방식에 의해 서만 변경되도록하여 임의 변..
스마트팜? 농업에 정보통신기술(ICT)을 접목하여 노동력을 절감시키고 나아가 생산성을 높이는 지능형 농장 농·림·축·수산물의 생산, 가공, 유통 단계에서 정보 통신 기술(ICT)을 접목하여 지능화된 농업 시스템. 사물 인터넷, 빅데이터, 인공 지능 등의 기술을 이용하여 농작물, 가축 및 수산물 등의 생육 환경을 적정하게 유지·관리하고, PC와 스마트폰 등으로 원격에서 자동 관리할 수 있어, 생산의 효율성뿐만 아니라 편리성도 높일 수 있다. ICT 기술을 활용한 스마트팜 기술을 통해 환경 정보(온도·상대습도·광량·이산화탄소·토양 등) 및 생육 정보에 대한 정확한 데이터를 기반으로 생육 단계별 정밀한 관리와 예측 등이 가능하여 수확량, 품질 등을 향상시켜 수익성을 높일 수 있다. 또한, ..
공모공격Collusion Attack 핑거프린팅(Fingerprinting)*은 삽입되는 내용이 구매자마다 모두 다르다. 따라서 다수의 구매자들이 서로 공모하여 핑거프린팅이 삽입된 콘텐츠를 서로 비교하여 핑거프린팅 위치가 파악되면 핑거프린팅 비트를 지우거나, 전혀 상관없는 핑거프린팅 비트를 만들어 삽입해 콘텐츠를 재구성 하여 이를 재분배할 수 있게 된다. 이렇게 공격자가 여러개의 콘텐츠를 서로 비교하여 핑거프린팅 정보를 제거하거나 혹은 유추하여 다른 핑거프린팅 정보를 삽입할 수 있는 공격을 공모 공격(collusion attack) 이라 한다. 공모공격은 집단적 저작권 침해 방식 중 하나이다. * 핑거프린팅 (Fingerprinting) : 1. 영어 사전적 의미 : 지문2. 정보통신분야에서 의..
