IT 연구회 썸네일형 리스트형 HCE(Host Card Emulation) '보안요소'(SE, Secure Element)를 사용하지 않는 카드 에뮬레이션 방식으로, 안드로이드 4.4 버전부터 지원되었다. 클라우드에 카드 정보를 저장하는 결제 방식을 말한다. 구글 안드로이드 운영체제(OS)인 킷캣과 블랙베리10에서 지원한다. 마그네틱 띠에 저장된 카드 정보를 스마트폰이 아닌 클라우드에 보관한다. 스마트폰에 깔린 모바일 앱이 결제 때마다 접속해 정보를 가져온 후 근거리무선통신(NFC)으로 결제한다. 스마트폰에는 어떤 카드 정보도 저장하지 않기 때문에 스마트폰을 분실하거나 도난당해도 신용카드 정보가 유출되거나 부정 사용될 가능성이 낮다. HCE 기술을 활용하면 은행과 인터넷 쇼핑몰은 소비자가 어떤 통신사를 쓰든지 상관없이 안드로이드 앱에 모바일 결제 기능을 넣을 수 있다. HCE는.. 더보기 망중립성(network neutrality) 출처 및 참고 : http://hibssaki.blogspot.kr/2013/03/blog-post.html 더보기 토르(Tor) 네트워크 토르(Tor)는 온라인 상에서의 익명을 보장하고 검열을 피할 수 있게 해주는 자유 소프트웨어로 미국 해군 연구소에서 최초로 시작하여 현재는 EFF 프로젝트에서 관리되고 있다. EFF는 2005년 11월까지 Tor를 재정적으로 지원하였고, 현재도 웹 호스팅을 지원하고 있다. 토르는 트래픽 분석 공격으로부터 보호해 주며, 양파 라우터를 거쳐서 네트워크를 사용한다. 나가는 연결이 익명으로 처리되며, 숨겨진 서비스를 사용할 수 있다. 토르(TOR, The Onion Routing)는 네트워크 노드를 거칠 때마다 마치 양파처럼 데이터를 계속 암호화해 전송하는 기술이다. 트래픽 추적을 불가능하게 하여 네트워크상의 익명성을 보장할 수 있다. 미국 해군 연구소에서 시작해 현재는 전자프런티어재단(EFF)에서 관리하는 무.. 더보기 FIDO(Fast Identity Online) 삼성전자, 구글, 마이크로소프트 등 200여개 글로벌 기업들은 FIDO 연합체를 꾸리고 온라인 환경에서도 생체인식 기술을 활용한 안전하게 인증할 수 있는 ‘국제 인증 기술 표준 FIDO 1.0’을 2014년 12월 발표했다. FIDO(Fast Identity Online)는 아이디와 비밀번호 조합 대신 지문, 홍채, 얼굴 인식, 목소리, 정맥 등을 활용한 새로운 인증 시스템이다. 사용자가 잊을래야 잊을 수 없는 생체 정보를 활용한다. 기존 생체 인증에서 단점으로 지적된 안정성을 확보하기 위해 인증 프로토콜과 인증수단을 분리해 보안과 편리성을 챙겼다. FIDO 표준은 2가지 프로토콜을 제안하고 있다. 첫 번째는 UAF(Universal Authentication Framework) 프로토콜로, 사용자 기기.. 더보기 시도응답(challenge-response) 시도-응답 인증(challenge-Response Authentication) 기존 ID+PW 방식은 재전송 공격에 취약하다. challenge-Response Authentication은 이런 취약점을 보완하기 위해 대칭기 비반의 소지기반 보안을 추가한 인증 방법이다. challenge-Response Authentication에서 중요한 개념은 일회성 인증이다. 인행의 시크리트 카드보다 OTP가 보안성이 훨씬 좋은 것과 같은 맥락이다. 사용자가 인증을 원할 경우 서버에선 사용자에게 일회성 Challenge를 보낸다. 사용자는 이를 비밀키로 암호화하여 서버에 Response한다. Challenge는 일회성으로 난수로 예측할 수 없고 매번 다른 값으로 바뀌어야 한다. 이런 방식이라면 해커가 중간에 Res.. 더보기 크라임웨어 [Crimeware] 크라임웨어 개인정보 유출, 피싱 등 온라인 범죄행위를 용이하게 하는 소프트웨어, 크라임웨어 온라인상에서 불법활동을 조장하기 위해 만들어진 컴퓨터 프로그램. 공격용 툴킷이라고 불리며 보통 취약점을 이용하도록 미리 프로그램된 악성코드 등으로 구성돼, 원하는 형태로 공격을 감행하거나 공격을 자동화할 수 있다. 인터넷에서 곧바로 사용할 수 있으며 키로거를 은밀히 설치해 불법적으로 정보를 수집해 가는 경우도 있다. 더보기 워너크라이(WannaCry) 사용자의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 랜섬웨어의 일종이다. 2016년 미국국가안보국(NSA)이 도난당한 해킹툴을 활용한 것이 특징이다. 2017년 5월 12일에 배포되기 시작해 순식간에 전세계 100여개국으로 확산되는 등역사상 전례가 없는 최악의 해킹으로 간주되고 있다. 워너크라이는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300∼600달러(한화 34만∼68만원)에 해당하는 비트코인(가상화폐)을 요구하고 있다. *전파 경로 및 배후 워너크라이는 인터넷 네트워크에 접속만 해도 감염된다. 윈도 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용해 네트워크를 통해 유포되기 때문에 취약한 컴퓨터는.. 더보기 OWASP Top10 2017 (2013 과 2017 비교) (변화된 내용 출처 : http://blog.naver.com/renucs/220981325968) A1. 익젝션 ○ 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부로 보내질때 발생하는 취약점 - SQL, LDAP, XPath, SSI 인젝션 A2. 인증 및 세션관리 취약점 ○ 취약한 암호, 키 또는 세션 토큰을 제공하여 다른 사용자의 권한이 노출되는 취약점 - 세션 예측, 불충분한 세션만료, 세션고정, 쿠기변조 A3. 크로스 사이트 스크립팅 ○ 적절한 유효성 검사 또는 이스케이프 처리 부재로 악의적인 스크립트를 삽입할 수 있는 취약점 - 악성콘텐츠, 크로스사이트스크립팅 A4. 취약한 접근 제어 ○ 인증된 사용자만이 수행할 수 있는 기능에 권한 제한이 부재하여 기능 조작이 .. 더보기 이전 1 2 3 4 5 6 ··· 9 다음
