IT기술노트/디지털보안78 AI에 나타날 수 있는 사이버 위협 유형 AI에 나타날 수 있는 사이버 위협 유형 1. AI에 나타날 수 있는 사이버 위협의 개념 -공격자가 인공지능(AI) 시스템에 의도적으로 접근해 오작동을 일으키도록 하는 사이버 위협 2. AI에 나타날 수 있는 사이버 위협 유형 가. AI에 나타날 수 있는 사이버 위협 유형 - 머신러닝을 채택하는 기업은 늘어나고 있지만 이에 대한 취약성을 인지하고 사이버 보안 대책에 대한 대비는 부족 나. AI에 나타날 수있는 사이버 위협 유형 설명 유형 시점 설명 회피 공격 (Evasion attack) - AI시스템이 배포된 후 발생 - 입력을 변경해 시스템이 응답하는 방식을 변경하는 공격 중독 공격 (Poisoning attack) - 손상된 데이터를 삽입해 AI시스템 훈련 단계에서 발생 - 적이 훈련 데이터 세트를.. 2024. 1. 11. 2023년 9월 15일에 시행된 「개인정보 보호법 및 시행령」의 주요 개정 내용 2023년 9월 15일에 시행된 「개인정보 보호법 및 시행령」의 주요 개정 내용 1. 정보주체인 국민의 권리 보장, 「개인정보 보호법 및 시행령」의 주요 개정 방향 개정 방향 - 정보주체인 국민의 권리는 실질적으로 보장하면서 온라인-오프라인으로 이원화되어 있는 개인정보 처리 기준을 디지털 환경에 맞게 일원화하는 등 각 계에서 논의되어 온 다양한 내용 개정 - 개인정보 보호법 시행에 따라 개인정보를 처리하는 과정에서 준수해야 할 사항에 많은 변화 예상 2. 국민 권익보호 및 현장 규제 개선의 개인정보 보호법 및 시행령 주요 개정 내용 가. 국민의 권익보호 실질적 향상 규정 및 제도 주요 개정 내용 설명 개인정보 처리 관련 규정 개인정보 수집ㆍ이용 및 제공 - 필수 동의 관행 개선 - 코로나 19등 상황에서.. 2023. 11. 25. 제로트러스트(Zero Trust) I. 전통적인 사이버보안 체계의 변화, 제로트러스트의 추진배경 환경의 변화 - 모바일, 사물인터넷, 클라우드의 확산으로 원격재택 근무환경이 조성 - 코로나 19로 비대면사회가 가속되어 기업망 보호를 위한 전통적인 사이버 보안체계의 변화 필요 기존 경계 기반 보안모델의한계 - 최근 발생한 수많은 해킹 및 랜섬웨어 공격 사례로 경계 기반 보안모델의 한계점 노출 - 최근 등장하는 보안 솔루션만으로 완벽한 해결책 제공 불가능 미국의 제로트러스트 도입 - 미 민간의 제로트러스트 논의 및 도입 - NIST의 문서 발표('20. 8월 SP 800-207) 후 미 연방 정부 행정명령(EO 14028)을 통해 연방정부 차원의 제로트러스트 본격 도입 중 - 기관 및 기업의 '경계' 기반 보안체계 구축보다 '내부 데이터 보.. 2023. 7. 25. 2023년 개인정보 7대 이슈 I. 2023년 개인정보 7대 이슈 가. 2023년 개인정보 7대 이슈 - 국내/외 언론, 연구보고서, 논문 등의 빅데이터 수집 및 분석을 통해 개인정보 7대 이슈 선정 나. 2023년 개인정보 7대 이슈 설명 7대이슈 구분 설명 마이데이터와 디지털플랫폼정부 구현 배경 - 디지털 대전환으로 데이터가 산업 발전과 새로운 가치 창출의 동력으로 부상함에 따라 개인정보의 안전한 활용 방법으로 마이데이터가 부상 - 이에 따라 우리나라는 금융, 공공, 의료 등 분야별 도입에 이어 전 분야 마이데이터 도입을 추진하고 있으며 전 분야 도입은 국정과제로도 채택 현황 및 이슈 - (분야별 마이데이터 활성화 추진) 금융, 공공, 보건의료 분야를 중심으로 마이데이터 서비스 본격 제공 또는 시범 서비스 운영 - (전 분야 마이.. 2023. 2. 23. 키 스트레칭(Key Stretching) I. 해시함수의 취약점 보완, 키 스트레칭의 정의 - 단방향 암호화 기법인 해시 함수의 취약점인 레인보우 공격과 브루탈 포스 공격을 피하기 위해 해시함수를 N 번이상 반복하여 다이제스트를 생성함으로써 해시함수의 취약점을 보완하는 기법 II. 키 스트레칭의 동작원리 및 주요 기술요소 가. 키 스트레칭의 동작원리 - 메시지를 해시함수 알고리즘을 이용하여 반복회수 만큼 반복해서 생성 나. 키 스트레칭의 주요 기술요소 구분 기술요소 설명 메시지 평문(Plaintext) - 해시함수에 사용될 입력 메시지 Salt - 해시함수를 돌리기 전에 원문에 덧붙이는 임의의 문자열 값 Pepper 데이터베이스에 저장되지 않는 해시함수를 돌리기 전에 원문에 덧붙이는 임의의 문자열 값 - PEPEER 는 모든 유저에게 동일한 고.. 2022. 12. 9. 정보보호 공시제도 1. 이용자에게 객관적인 기업 선택의 기준을 제시, 정보보호 공시제도의 개요 1) 정보보호 공시제도의 개념 - 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도 - 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있다. 2) 정보보호 공시제도의 등장배경 등장배경 설명 사회·경제 전반의 디지털대전환 - 사이버 침해사고가 기업의 경제적 피해, 대외 신뢰도 저하 등 .. 2022. 4. 7. Log4shell (CVE-2021-44228) I. 공격 가능한 LOG4J를 통한 JNDI 주입, Log4Shell의 정의 - Apache Log4j 2.0.0 ~2.14.1 모든 버전에서 발생하는 원격코드 실행 취약점(CVE-2021-44228) - Log4j의 취약점을 이용 대상서버의 모든 권한을 취득하여 데이터 불법 취득/삭제, 악성코드 실행 등이 가능 II. Log4Shell의 공격방법 및 해결방안 가. Log4Shell 공격방법 - 출처: https://www.kengilmour.com/log4shell-jndi-injection-via-attackable-log4j/ 나. Log4Shell 해결방안 해결방안 버전 설명 JndiLookup 클래스 경로 제거 2.0-beta9 ~ 2.10.0 - zip -q -d log4j-core-*.jar.. 2021. 12. 12. OWASP, 2021 OWASP TOP 10 I. OWASP (Open Web Application Security Project) 의 정의 - 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 애플리케이션의 취약점을 발표 II. OWASP TOP 10의 정의 - 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고 보안상 영향을 크게 줄 수 있는 것들을 10가지 선정하여 2004년, 2007년, 2010년, 2013년, 2017년, 2021년 기준으로 발표되었고 문서가 공개되었다. III. 2021년 OWASP TOP 10 가. 2021년 OWASP TOP 10의 변경 영역 - 3개의 새로운 카테고리, 명명 및 범위 변경이 있는 4개의 카테고리가 2021년 TOP 10.. 2021. 11. 17. 토르 네트워크(Tor Network) I. 익명성 보장 네트워크, 토르 네트워크의 개요 가. 토르 네트워크의 정의 - 여러 중계 서버를 통해 패킷을 전송하여 트래픽 분석이나 IP주소 추적을 불가능하게 하여 프라이버시 보안을 보장하는 익명성 네트워크 나. 토르 네트워크의 특징 특징 설명 익명통신 - 통신 주체 즉, 송신자와 수신자를 알 수 없도록 처리 겹층 암호화 - 각 Onion Router를 대칭키(디피헬만 등) 방식을 이용하여 데이터를 겹층으로 암호화하여 통신 서킷 기반 - Onion Router 를 여러개(입구, 중간, 출구 노드) 선택해 하나의 라우팅 경로 사용 II. 토르 네트워크의 구성도 및 구성요소 가. 토르 네트워크의 구성도 - 중첩된 중계서버에 암호화된 패킷을 전송, 인접 경로만이 확인 가능 나. 토르 네트워크의 구성요소 구.. 2021. 11. 17. 동형암호 (Homomorphic Encryption, HE) I. 정보를 암호화한 상태에서 데이터를 분석하는 암호기술, 동형암호의 정의 - 평문 공간과 암호문 공간에 정의된 연산을 보존하여 암호화된 데이터를 복호화 없이 검색 가능한 No Key 기반의 암호화 기술 - 장점 : 컴퓨터 연산가능, 보안성 우수 - 단점 : 느린속도, 암호문의 큰 크기 특성 서킷 프라이버시 - 연산 진행 시 연산에 대한 정보를 알지 못하는 성질 다중 도약 동형성 - 생성된 암호문이 다른 동형 연산의 입력으로 사용이 가능한 성질 보안성 - 암호환된 형태로 연산이 진행되어 해킹 차단이 가능한 성질 II. 동형암호의 동작원리 및 설명 가. 동형암호의 동작원리 E(m1) + E(m2) = E(m1 + m2) E(m1) * E(m2) = E(m1 * m2) - 평문에 연산을 하여 암호화한 것과 .. 2021. 8. 19. 이전 1 2 3 4 ··· 8 다음 반응형
