1. 목적 제 1 장개요 1 장개요 1 목적 SW 업데이트체계는최신버전의소프트웨어를검색, 다운로드및설치하기위한자동화된소프트웨어관리체계를의미하며, 운영체제및응용프로그램의버그패치, 성능개선등의목적으로마이크로소프트, 애플, 레드햇사의 SW 제품을포함한대부분의상용및공개소프트웨
|
|
- 봉규 감
- 6 years ago
- Views:
Transcription
1 SW 업데이트체계 보안가이드라인 1. 개요 1) 목적 2) 적용대상 3) 구성 2. SW 업데이트체계정의및현황 1) 정의 2) 현황 3. SW 업데이트체계보안위협 1) 보안위협유형 2) 보안위협사례 3) 기존 SW 업데이트체계의문제점 4. 대응방안 1) 파일보호 2) 채널보호 5. SW 업데이트체계보안십계명 [ 부록 ] SW 업데이트체계보안십계명요약
2 1. 목적 제 1 장개요 1 장개요 1 목적 SW 업데이트체계는최신버전의소프트웨어를검색, 다운로드및설치하기위한자동화된소프트웨어관리체계를의미하며, 운영체제및응용프로그램의버그패치, 성능개선등의목적으로마이크로소프트, 애플, 레드햇사의 SW 제품을포함한대부분의상용및공개소프트웨어에서사용된다. 그러나 SW 업데이트체계에대한보안은소프트웨어개발자및사용자들에게소프트웨어자체의보안에비해상대적으로보안에대한인식이부족한상황이며, 사용자수가많은 SW 업데이트체계의취약점이공격자에의해악용될경우대규모의피해를발생시킬수있다. 특히, 최근발생한 3.20 및 6.25 사이버공격 (2013 년 ), SK컴즈개인정보유출사태 (2011 년 ), 농협금융전산망마비사태 (2011년), 7.7 DDos 대란 (2009년) 등과같은사이버보안사고는 SW 업데이트체계의취약점을악용하여악성코드를확산시켜서공공및민간기반시설에대한대규모피해를유발하였다. 이에따라본보안가이드라인에서는 SW 업데이트체계의보안을향상시키기위해필요한주요보안문제에대해기술한다. 2 적용대상 본보안가이드라인은 SW 개발업체에서자동업데이트기능개발시준수해야할보안항목및주의사항을따르지않을경우발생할수있는위험성, 해킹에악용된사례및문제해결방안을설명한다. 3 구성 2장에서는 SW 업데이트체계의정의및현황에대하여살펴본다. 3장에서는 SW 업데이트체계의보안위협과보안위협사례에대해기술한다. 4장에서는 SW 업데이트체계의보안위협에대한대응방안을기술한다. 5장에서는 SW 업데이트체계의보안을향상시키기위해 SW 업데이트체계개발시점검해야할사항을 10가지로분류하여기술한다. 세계최고보안기술을지향하는창조적리더! 2
3 SW 업데이트체계보안가이드라인 2 장 SW 업데이트체계정의및현황 1 정의 1-1 SW 업데이트체계정의 SW 업데이트는이미배포된소프트웨어제품의기능개선또는버그나보안취약점등을수정하기위해개발사가내놓는프로그램을지칭한다. ( 위키백과 ) SW 업데이트체계는최신버전의소프트웨어를검색, 다운로드, 설치하는체계를말한다. SW 업데이트체계는업데이트프로그램을전송하는업데이트서버, 실제업데이트를담당하는업데이트클라이언트그리고, 업데이트서버와클라이언트사이에설치프로그램을전송하는통신채널로구성된다. 1-2 SW 업데이트유형 SW 업데이트는사용자가직접업데이트파일을웹으로부터다운로드받아서설치하는수동업데이트방식과자동으로정해진일정에따라업데이트필요유무를검사하고필요시다운로드및설치하는자동업데이트방식으로구분할수있다. 최근에는빈번한보안취약점및버그수정을위해자동업데이트가일반적으로사용되고있다. SW 업데이트는그내용의중요도에따라다음과같이구분할수있다. - 중요업데이트는보안취약점에대한패치, 개인정보보호및버그수정등의안정성및안전성과관련된필수업데이트를의미한다. - 선택업데이트에는컴퓨터작업환경을향상시킬수있는업데이트, 드라이버또는해당제조사의새로운소프트웨어가포함될수있으며, 사용자의선택에따라설치되는업데이트이다. 1-3 SW 업데이트체계동작구조 ( 설정정보다운로드 ) 사용자 PC에설치된 SW에서약속된업데이트서버에접속해서최신버전에대한버전번호와업데이트를위해서필요한파일들의 URL 목록을다운로드 ( 파일다운로드 ) 사용자 PC에설치된 SW의버전이최신버전이아니라면서버로부터획득한 URL 목록을이용해서업데이트에필요한파일들을다운로드 ( 파일설치 ) 다운로드한파일들을사용자 PC에설치 ( 파일교체및실행 ) 업데이트서버와사용자 PC 간의연결은보통 HTTP 또는 HTTPS 로이루어짐 3
4 2. 현황 제 2 장 SW 업데이트체계정의및현황 2 현황 2-1 전세계대부분의 SW 는자체적인업데이트기능탑재 대부분의 SW 제품은기능개선및보안패치를자사제품에적용하기위한업데이트체계를갖추고있다. SW 업데이트체계는국제적인표준이나가이드라인이없어각 SW 개발사마다서로다른방식으로구축 운영하고있는실정이다. PC 1대당평균 24개의제작사로부터 74개의프로그램이설치되어있으며, 사용자는 74개프로그램을패치하기위해 24개의각기다른업데이트체계를관리해야한다. 출처 : 영국 Secunia PSI Report Q1, 제품 업데이트체계 Windows 제품군 Microsoft Office 제품군기타 WSUS(Windows Server Update Services) Linux Fedora, Redhat, Ubuntu 등 YUM(Yellowdog Updater, Modified) YaST(Yet another Setup Tool) APT(Advanced Packaging Tool) Adobe Reader, AIR 등 Adobe Updater Mozilla Firefox 등 Firefox Update Google Chrome, Earth 등 Google Update (Omaha) Android ( 스마트폰 ) Google Play Apple Mac OS X, itunes 등 Apple Software Update iphone ( 스마트폰 ), ipad 등 AppStore 국산 SW에서도자동업데이트는필수적인요소가되었으며, V3나알약같은백신은물론이고한글, 곰플레이어등대부분의사용자응용프로그램에도포함되어있다. 사용자는컴퓨터를켜는순간부터, 문서작성, 메신저대화, 음악감상, 파일압축, 파일전송, 주식거래, 스마트폰관리, 내비게이션관리등의순간마다사용자가인지하거나인지하지않은상태에서업데이트를수행하고있다. 세계최고보안기술을지향하는창조적리더! 4
5 SW 업데이트체계보안가이드라인 분야세부분야국산소프트웨어예 응용소프트웨어 문서편집 / 변환문서뷰어그래픽프로그램음악재생프로그램동영상압축프로그램브라우저툴바메신저게임보안스마트폰관리주식거래네비게이션 P2P, 웹하드 한글, 알마인드, 훈민정음, 나모웹에디터한컴뷰어, 별PDF 리더, 훈민정음2000 뷰어알씨, 꿀뷰, 알캡처곰오디오, 벅스플레이어, 멜론곰플레이어, 팟플레이어, KMPlayer 알집, 반디집, 빵집알툴바, 네이버툴바네이트온, 마이피플, 라인한게임, 피망 V3, Virobot, 알약, 네이버백신삼성 Kies, LG Mobile Support Tool 키움증권, 대신증권등 HTS 아틀란, 지니미래창조과학부등록웹하드전용 SW 특히국내에서는금융을위한 ActiveX Control 의사용이많으며, ActiveX Control 은사이트방문시최신버전으로유지하기위한자동업데이트를수행한다. ActiveX Control의자동업데이트기능을포함한다면국내사용자들은외국에비해더많은업데이트프로그램을사용하고있는것이현실이다. 5
6 1. 보안위협유형 제 3 장 SW 업데이트체계보안위협 3 장 SW 업데이트체계보안위협 1 보안위협유형 1-1 ( 서버 ) 서버장악 ( 사례 : 09 년 7.7 DDoS, 11 년 3.4 DDoS) 위협개요 : 별도의해킹을통해서업데이트서버에침투한후업데이트에사용되는설정정보또는업데이트파일위 변조파급효과 : 해당 SW 사용자단말전체에악성코드유포가능발생원인 : 외부에서업데이트서버로원격침투 1-2 ( 서버 ) 악성코드업로드 ( 사례 : 13 년 3 20 사태 ) 위협개요 : 업데이트서버를직접해킹해서장악하지않고도업데이트서버에악성코드를업로드해서다른사용자단말로악성코드를유포 ( 서버장악과동일한효과 ) 파급효과 : 해당 SW 사용자단말전체에악성코드유포가능발생원인 : 업데이트서버에서파일업로드에필요한권한 ( 사용자또는기기 ) 미확인 세계최고보안기술을지향하는창조적리더! 6
7 SW 업데이트체계보안가이드라인 1-3 ( 채널 ) MITM(Man-In-The-Middle) 위협개요 : 업데이트서버와사용자단말간의통신경로사이에서업데이트설정정보또는업데이트파일위 변조파급효과 : 통신경로상의위치에따라영향받는사용자단말에악성코드유포가능발생원인 : 클라이언트가업데이트서버에서전송한설정정보및파일의위 변조여부미확인 1-4 ( 클라이언트 ) 위장서버접속 ( 사례 : 11 년 SK 컴즈개인정보유출 ) 위협개요 : DNS 응답위 변조등의방법으로업데이트파일다운로드전 ( 前 ) 단계에서사용자단말이정상적인업데이트서버가아닌악의적인위장서버로접속하도록유도하여위장서버에서악성코드를사용자단말에전송파급효과 : 위장서버로유도하는지점의통신경로상의위치에따라영향받는사용자단말에악성코드유포가능발생원인 : 클라이언트가통신채널상대방의정상적인업데이트서버여부미확인 7
8 2. 보안위협사례 제 3 장 SW 업데이트체계보안위협 2 보안위협사례 2-1 국내보안취약점사례 인터넷에서다운로드받아사용할수있는국내주요 SW 20종에서 SW 업데이트체계취약점발견 ( 관련업체통보 ) 발견된취약점은최악의경우해당 SW 사용자 PC 전체에악성코드를유포 확산시킬수있는치명적인수준인것으로판단됨특히, A사의경우는지난 11년발생한업데이트관련사고이후, 보안강화대책을적용한것으로알려졌으나, 여전히취약점이발견되었음 SW 보안위협 ( 채널 ) ( 클라이언트 ) MITM 위장서버접속 사용자 ( 단위 : 명 ) 취약점설명 A 사 천만이상 병행제품설치시위장서버로접속악성코드다운로드및실행가능 임의의인증서를제시하는 SSL 사용웹서버에접속하는경우인증서유효성및발급주체검증미실시로악성코드다운로드및실행가능 B 사 추정불가 서명검증미실시 C 사 천만이상 서명검증미실시 D 사 추정불가 서명검증미실시 E 사 백만이상 제휴제품설치시서명검증미실시 세계최고보안기술을지향하는창조적리더! 8
9 SW 업데이트체계보안가이드라인 2-2 국외보안취약점사례 2006년부터지속적으로 SW 업데이트체계취약점이발견되고있음특히, Apple, Oracle, McAfee, Mozilla 등의대표적인글로벌 SW 개발사들의제품에서도취약점이발견되고있음더욱이, 미국보안회사인 McAfee의바이러스백신의업데이트체계에서도취약점이발생되었던것으로볼때보안회사제품도악성코드침투경로로악용될수있음 2012 년 2010 년 2007 년 2006 년 SW Java (Oracle) Catalyst Control Center (AMD) itunes (Apple) Winzip (Corel) Winamp (AOL) MacOS (Apple) OpenOffices LinkedIn 기타 57종 Cam2PC (Nabosoft) Firefox (Mozilla) Fugu (Freeware) VirusScan (McAfee) Virex (McAfee) Zango (180Solutions) 보안위협 ( 추정 ) ( 채널 ) ( 클라이언트 ) MITM 위장서버접속 추정 추정 불가 불가 추정불가 추정불가 취약점설명 입력값검사미실시로외부의임의의 바이너리파일다운로드및실행가능 자동업데이트모듈의취약점으로 AMD Catalyst 13.1 버전부터드라이버 자동업데이트기능제거키로함 Infobyte 의 Francisco Amato 는 WinZip, itunes, Winamp 등 63 종의 자동업데이트모듈에서서명검사를 수행하지않는취약점을이용하여 클라이언트에악성프로그램을설치할 수있는도구인 Evilgrade 를개발 2008 년 1.0 버전을발표한이래지속적 으로취약한업데이트 SW 추가 서명검증미실시 업데이트설정정보미인증으로 MITM 공격가능 서명검증미실시 서명검증미실시 서명검증미실시 서명검증미실시 국외 SW 업데이트체계취약점현황은알려진취약점정보의부족으로보안위협을추정하여 기재하였으며추정이불가한경우도있음 9
10 2. 보안위협사례 제 3 장 SW 업데이트체계보안위협 2-3 피해보상사례 SK 커뮤니케이션즈해킹사건 으로인해법원은네이트해킹피해사용자위자료 100만원지급판결내림 법원, 네이트해킹피해위자료 100만원, 첫보상판결, 매일경제, 농협금융전산망마비사태 (2011.4) 로인해농협은 IBM으로부터현물약 115억원을보상받음 농협, 전산대란책임있는 IBM과굴욕적협상, 서울파이낸스, 사이버테러 로피해를입은농협이보안솔루션공급업체안랩을상대로손해배상청구를검토 농협, 안랩에 3.20 사이버테러 피해손해배상청구검토논란, 이투데이, 세계최고보안기술을지향하는창조적리더! 10
11 SW 업데이트체계보안가이드라인 3 기존 SW 업데이트체계의문제점 3-1 상호인증보장기술미적용 국내의 SW 업데이트체계에서는업데이트서버와업데이트클라이언트사이의상호인증기능을제공하지않기때문에위장업데이트서버를구축할경우업데이트클라이언트에서는정상업데이트서버로오인하여업데이트가수행됨 3-2 통신채널보호기술미적용 국내의일부 SW 업데이트체계를제외한대부분의업데이트체계에서는업데이트서버와업데이트클라이언트사이의통신채널을보호하지않기때문에업데이트와관련된중요한정보파일및통신프로토콜정보가노출되어공격자가업데이트체계를공격하는데활용됨 - 업데이트정보파일및실행파일을암호화하지않고평문으로전송 - 업데이트정보파일을 XOR 인코딩하여전송 - 업데이트정보파일및실행파일을잘알려진알고리즘 (zip, bzip2, cab 등 ) 으로압축 - 업데이트서버와업데이트클라이언트간의통신프로토콜분석가능 3-3 기밀성보장기술미적용 국내의 SW 업데이트체계에서는업데이트와관련된중요한정보파일및설치파일을보호하지않고평문형태로해당업데이트클라이언트의임시폴더및설치폴더에저장하거나낮은수준의파일보호만을하고있기때문에소프트웨어역공학을이용한분석을통해공격자가업데이트체계를공격하는데활용됨 - 업데이트정보파일 (xml, ini 등 ) 및실행파일 (exe, dll 등 ) 을암호화하지않고평문으로저장 3-4 저수준의무결성보장기술적용 국내의 SW 업데이트체계에서는업데이트정보파일및실행파일실행시에파일에대한무결성검사를수행하지않거나, 무결성검사를수행하는경우에도안전하지않은방법을이용하고있으므로공격자가무결성검사를우회하여업데이트클라이언트에서악성프로그램을실행가능함 - 업데이트정보파일과실행파일에대한무결성검사를수행하지않고업데이트 - 업데이트정보파일에대한무결성검사만수행하고실행파일에대한무결성검사미실시 - 업데이트정보파일에대한무결성검사없이실행파일무결성검사 - 실행파일이외의파일 ( 플래시파일, 그림파일, 설정파일등 ) 에대한무결성검사미실시 - 단순한 XOR 인코딩방법을이용하여업데이트정보파일의무결성을검사 - 해쉬 (MD5) 를이용하여정보파일및실행파일의무결성검사 - 해쉬 (MD5) 와대칭키암호화기법 (AES) 을이용하여실행파일의무결성검사 11
12 1. 파일보호 제 4 장대응방안 4 장대응방안 서버 채널 클라이언트 보안위협 서버장악 ( 09년 7 7, 11년 3 4 DDoS) 악성코드업로드 ( 13년 3 20 사태 ) 대규모 MITM DNS 포이즈닝라우터장악공개 Proxy 소규모 MITM 스위치장악 ARP 스푸핑위장서버접속 ( 11년 SK컴즈개인정보유출 ) 파급력 (L/M/H) 파일체크섬 파일보호 ( 수준 : L/M/H) 파일암호화 보안강화대책 디지털서명 고유값상호인증 채널보호 ( 수준 : L/M/H) PKI 상호인증 PKI 상호인증 + 채널암호화 H L M H H L M H L M H H L M H - - H M L M H - - H H~M L M H L M H 파급력및보호대책의수준을 3 단계로분류 (L: Low, M: Medium, H: High) 1 파일보호 파일체크섬, 파일암호화, 디지털서명등의방법으로업데이트파일을조작할수없도록조치하는보안강화방법업데이트서버로부터클라이언트로파일만전송되는체계에서는채널보호없이파일보호수단만으로도안전성을강화할수있음 1-1 파일체크섬을이용한무결성검증 구조 - 서버 : 업데이트설정정보에파일체크섬정보포함 - 클라이언트 : 실제로다운로드받은파일에대해서체크섬값을계산한후업데이트설정정보에기재된체크섬값과일치하는지여부를확인 세계최고보안기술을지향하는창조적리더! 12
13 SW 업데이트체계보안가이드라인 장점 - 가장적은비용으로빠르게구현가능 ( 대부분의업데이트체계가이방법채택 ) 단점 ( 주의사항 ) - 체크섬생성알고리즘이클라이언트프로그램에포함되므로역공학등을통해서체크섬생성알고리즘이노출되기쉬우며, 이경우보안강화조치는무력화됨 1-2 파일암호화를이용한기밀성보장 구조 - 서버 : 업데이트파일을암호화해서저장 - 클라이언트 : 다운로드받은파일을복호화해서설치 ( 복호화실패시설치실패 ) 장점 - 비교적적은비용으로구현가능 - 암호화알고리즘은서버에만존재하므로서버장악외에는파일위 변조불가 - 암호화된파일을변조하는경우올바르게복호화되지않으므로설치불가단점 ( 주의사항 ) - 알려진대칭키암호화알고리즘을사용하면클라이언트프로그램에대한역공학등을통해암호키와알고리즘이노출될수있으며, 이경우보안강화조치는무력화됨 1-3 디지털서명을이용한무결성검증 구조 - 서버 : 업데이트파일에대한디지털서명 - 클라이언트 : 다운로드받은파일의디지털서명유효성검사 ( 무결성및발급주체확인 ) 장점 - 현존하는파일보호대책중가장안전 (PKI 방식 ) 13
14 1. 파일보호 제 4 장대응방안 단점 ( 주의사항 ) - 업데이트서버에서디지털서명생성이가능한경우서버장악후악성코드에디지털서명을붙여서배포가능 - 따라서, 반드시디지털서명의생성은업데이트서버외부의별도 PC에서수행해야함 - 또한, 디지털서명생성이가능한 PC가해커에게장악되는경우안전성이보장되지않음 - 인증기관 (CA) 에유지보수비용을지불해야함 세계최고보안기술을지향하는창조적리더! 14
15 SW 업데이트체계보안가이드라인 2 채널보호 채널보호는통신채널의양주체인서버와클라이언트가서로상대방을인증하는방법으로, 크게고유값상호인증, PKI 상호인증, PKI 상호인증 + 채널암호화의 3가지방법이사용됨일반적으로업데이트체계에서파일만송수신된다면채널보호대책없이도디지털서명과같은강력한파일보호대책만으로도안전성강화가가능하나, 업데이트체계의특성상파일이외의개체 ( 예 : 프로그램실행명령등 ) 를송수신하는경우라면파일보호대책에보호를받지못하므로채널보호대책도함께강구해야함 2-1 고유값상호인증을이용한인증 구조 - 서버 : 클라이언트가제공한고유값이약속한 ( 등록된 ) 값인지검사 ( 예 : IP주소또는 ID/PW) - 클라이언트 : 서버가제공한고유값이약속한 ( 등록된 ) 값인지검사 ( 예 : 서버 S/N) 장점 - 비교적적은비용으로구현가능단점 ( 주의사항 ) - 클라이언트가인정하는서버의고유값은각클라이언트마다서로달라야함 - 서버의고유값이모든클라이언트에게동일하다면쉽게노출되어채널보호대책이무력화됨 - 서버측에서는유효한클라이언트의고유값을등록하는절차가필요함 ( 예 : 최초설치시 ) 2-2 PKI 상호인증을이용한인증 구조 - 서버 : 클라이언트가제공한인증서검사 ( 유효성및발급주체 ) - 클라이언트 : 서버가제공한인증서검사 ( 유효성및발급주체 ) 장점 - 인증서의유효성과발급주체검사로강력한상호인증방법임단점 ( 주의사항 ) 15
16 2. 채널보호 제 4 장대응방안 - 제시된인증서가유효성과함께발급주체가올바른서버또는클라이언트인지확인하지않는경우가짜인증서를사용해서 MITM 공격가능 2-3 PKI 상호인증 + 채널암호화를이용한인증및기밀성보장 구조 : PKI 상호인증과더불어채널암호화수행 ( 예 : SSL) 장점 : 현존하는채널보호대책중가장안전단점 ( 주의사항 ) - 제시된인증서의유효성과함께발급주체에대한검사를수행하지않는경우가짜인증서를사용해서 (SSL) MITM 공격가능 세계최고보안기술을지향하는창조적리더! 16
17 SW 업데이트체계보안가이드라인 5 장 SW 업데이트체계보안십계명 1 업데이트설정파일무결성검사 업데이트프로그램은주기적으로또는사용자가해당 SW를실행할때업데이트필요유무를판단하기위해업데이트정보파일을업데이트서버에요청한다. 서버로부터전송받은업데이트정보파일의버전정보를비교하여로컬에설치된버전보다최신버전일경우, 업데이트정보파일에기재된업데이트 URL에접속하여업데이트파일을다운로드받고설치한다. 업데이트설정파일을해커가통신채널중간에서변조할수없도록디지털서명검증을수행해야한다. ( 검증실패시파일즉시삭제 ) 위협 - 업데이트설정파일의무결성검사를수행하지않을경우해커가변조하여업데이트가없을경우에도업데이트가있는것으로위장할수있으며, 위장서버로접속하여업데이트파일을가장한악성파일을다운로드및실행하도록할수있다. 개발시주의사항 - MD5 등의해쉬만사용할경우에는공격자가쉽게변조가능하므로, 반드시디지털서명검증방식으로무결성검사를수행해야한다. - 서명의유효성검사뿐만아니라, 서명에사용된인증서의상태도반드시확인해야한다. 2 업데이트설정파일암호화 업데이트정보파일을암호화하여사용할경우해커가업데이트정보파일을변조하는것을 어렵게만들수있다. 위협 - 업데이트정보파일을암호화하지않고평문으로사용할경우, 해커에게버전정보및업데이트 URL 정보등의업데이트관련정보가노출되어조작될수있다. 17
18 3. 업데이트정보파일암호화 제 5 장 SW 업데이트체계보안십계명 개발시주의사항 - 암호키는소스코드상에고정적으로사용할경우, 역공학에의해노출될수있으므로, 공개키기반의키암호화방식을사용할것을권고한다. 3 실행파일디지털서명검증 실행파일에대한무결성검증방법으로디지털서명을사용해야함. 디지털서명에사용된인증서의유효성을검증하고, 검증실패시에는관련파일을즉시삭제하고업데이트를종료하여야한다. 위협 - 디지털서명에사용된인증서의유효성을검사하지않을경우유효하지않은인증서에의해서명된악성코드가실행될가능성이있다. - 디지털서명검증에성공할경우에도, 서명자와버전정보가같은지확인하지않을경우, 다른회사의취약한제품이설치되거나, 동일제품의취약한버전또는동일회사의다른취약한제품으로설치가가능한문제가있다. 개발시주의사항 - 인증서의유효성검증실패시에는즉시해당파일을삭제조치하고업데이트과정을종료한다. - 디지털서명검증시에서명자와버전정보의최신성을확인을위해파일의무결성검증 ( 해쉬검사등 ) 도반드시수행해야한다. 4 비실행파일디지털서명검증 실행파일뿐만아니라그림, 플래시, 문서등을포함한모든비실행파일을업데이트할경우에도반드시디지털서명을사용하여무결성검증을수행하고, 검증실패시에는즉시삭제하여야한다. 위협 - S사보안프로그램의자동업데이트모듈에서업데이트파일중실행파일에대해서는무결성검증을수행하지만광고를위한그림파일에대해서는무결성검증을수행하지않음으로인하여공격자가업로드한악성코드가내장된그림파일을클라이언트의특정폴더에저장한뒤, 기타취약점을이용하여악성코드를실행하는사례가있었다. - C사는 PKI 기반의디지털서명검증을이용한무결성검증을수행하였으나, 해커에의해개발자 PC에저장된개인키가유출됨으로써악용된사례가있으므로, 배포와관련된개인키는별도의저장소에안전하게보관하여야한다. 개발시주의사항 - 비실행파일각각에대하여무결성검증을수행하기보다는 Cab 파일형태로압축한후압축파일에대하여디지털서명을삽입하는방법을권장한다. - 코드서명검증실패시에는즉시해당파일을삭제조치하고업데이트과정을종료한다. - MD5 등의해쉬는공격자가쉽게변조가능하므로지양하고, 반드시 PKI 기반의디지털서명검증방식으로구현하는것이안전하다. - 디지털서명검증시에서명자와버전정보의최신성을확인을위해파일의무결성검증 ( 해쉬검사등 ) 도반드시수행해야한다. 세계최고보안기술을지향하는창조적리더! 18
19 SW 업데이트체계보안가이드라인 5 제휴서비스프로그램디지털서명검증 제휴서비스프로그램설치시에도무결성을검증한뒤설치하도록한다. 검증실패시에는즉시삭제해야한다. 위협 - H사에서무료로배포하는 SW의경우, H사의프로그램에대한업데이트에대해서는무결성검증을수행하지만, 기본설정으로설치되는제휴사의프로그램에대해서는무결성검증을수행하지않는취약점이있었다. 이경우, MITM 공격으로위장서버에접속하여악성코드를다운로드받고설치할수있다. 개발시주의사항 - 제휴서비스로설치되는프로그램의경우에도, 다운로드받는설치파일에대한디지털서명검증을반드시확인해야한다. - 디지털서명검증시에서명자와버전정보의최신성을확인을위해파일의무결성검증 ( 해쉬검사등 ) 도수행해야한다. - 파일에대한디지털서명검증실패시에는즉시해당파일을삭제조치해야한다. 6 PKI 기반통신채널보호 정상적인업데이트절차에해커가끼어들지못하도록 SSL과같은통신채널보호를적용하는것이좋다. PKI기반의상호인증및통신채널암호화를수행하므로중간에 MITM 공격에대응할수있다. 위협 - E사가무료로배포하는 SW는통신채널보호를위해 SSL을사용하였으나, 서버인증서의유효성을검사하지않음으로인하여, 누구나발급할수있는자가서명된 (Self-Signed) 테스트용인증서를통한 MITM 공격이가능하였다. 개발시주의사항 - 업데이트프로그램에서 SSL을통한업데이트서버인증시서버인증서의유효성검증을정확히수행해야한다. 7 업데이트서버주소무결성검증 업데이트서버 URL이변조되지않음을보장해야한다. 이를위해, 업데이트서버주소는소스코드상에고정적으로사용하도록하고, 서버와클라이언트간의상호인증을수행해야한다. 위협 - ActiveX Control이나자바애플릿등과같은웹플러그인 SW에서간혹업데이트서버 URL을고정적으로사용하지않고웹페이지에서메소드의입력으로받아서설치하는경우가있다. 이런경우에는해커에의해변조되어위장서버로접속할수있다. - 업데이트서버 URL을업데이트프로그램소스코드상에고정적으로사용할경우에도 ARP 스푸핑이나파밍공격등에의해위장서버로접속할수있다. 19
20 8. 디지털서명에사용된인증서상태검사 제 5 장 SW 업데이트체계보안십계명 개발시주의사항 - 업데이트서버 URL을업데이트프로그램소스코드상에고정적으로사용하도록한다. - 불가피하게입력으로받아야할경우에는특정도메인으로제한해야한다. - 도메인및 URL 검사시에는문자열비교를정확히수행해야한다. 예를들어, update.server.com 서버의주소를검사할때 update.server.comp.com 과같은유사 URL로접속하는것을허용해서는안된다. - 업데이트서버와클라이언트간의상호인증을수행하는방법에는 SSL과같은통신채널보호또는업데이트파일자체의무결성검증을우선적으로적용한다. 8 디지털서명에사용된인증서상태검사 업데이트설정파일및업데이트파일의디지털서명검증시에는디지털서명의유효성검증뿐만아니라, 서명에사용된인증서의유효기간, 인증경로, 인증서효력정지또는해지여부등의상태를반드시검사해야한다. 위협 - 유효한인증서를이용하여서명된업데이트관련파일일경우에도개발자의실수에의해개인키가유출됨으로써유출된개인키로서명된악성프로그램이실행될수있다. 디지털서명검증시주의사항 - 디지털서명검증모듈개발시에서명에사용된인증서의 CRL 1) 또는 OCSP 2) 정보를이용하여유효한인증서인지를확인해야한다. 9 업데이트프로그램분석방지를위해코드난독화적용 소프트웨어역공학을통해실행코드로부터업데이트체계구현에사용된통신프로토콜, 암호화알고리즘, 업데이트관련설정파일등의모든내용이분석가능하므로코드난독화를적용하여업데이트체계에대한상세분석을어렵게해야한다. 코드난독화적용시주의사항 - 코드난독화를적용할경우수행속도및안전성의문제가발생할수있으므로프로그램내의보호가필요한부분에코드난독화를적용하도록권장한다. 10 자동업데이트보안미비시기능삭제 자동업데이트체계에대한상기필수보안대책이미비할경우, 자동업데이트기능을삭제하고사용자가수동으로사이트에접속하여다운로드받아설치하는수동업데이트방식을사용하도록유도해야한다. 사용자가제품업데이트다운로드페이지에접속하여다운로드받을경우에도, 제작사의서명이올바른지확인하도록공지할필요가있다. 1) CRL(Certificate Revocation List) : 인증서폐기목록 2) OCSP(Online Certificate Status Protocol) : 온라인인증서상태프로토콜 세계최고보안기술을지향하는창조적리더! 20
21 부록 SW 업데이트체계보안십계명 ( 요약 ) 번호 항목내용비고 - 업데이트설정파일을해커가통신채널중간에서변조할수없도록 1 업데이트설정파일디지털서명검증 디지털서명검증을수행해야함 ( 검증실패시파일즉시삭제 ) -디지털서명검증이란비대칭키암호알고리즘을사용하여설정파일을업체의개인키로서명하고, 클라이언트업데이트 필수 프로그램에서이를업체의공개키로검증하는방법을말함 -MD5 등의해쉬는공격자가쉽게변조가능하므로지양해야함 2 업데이트설정파일암호화 -업데이트정보를포함하는설정파일은암호화를통해서임의로분석이불가능하도록변경하는것이좋음 선택 - 업데이트서버를통해배포할업데이트파일은반드시 디지털서명검증을수행해야함. 이를위해업데이트파일은 업체의개인키로서명한후업로드해야함 3 실행파일디지털서명검증 -클라이언트업데이트프로그램은다운로드받은파일을임시폴더에먼저저장하고업체의공개키로디지털서명을검증하여신뢰된파일만사용하여야함 ( 검증실패시파일즉시삭제 ) 필수 -EXE, DLL, SYS 와같은실행파일의코드서명검증시에는서명의 유효성뿐만아니라서명자정보의일치유무도정확히검사해야함 -MD5 등의해쉬는공격자가쉽게변조가능하므로사용을 지양해야함 - 실행파일외에그림, 플래시등의비실행파일을업데이트할 4 비실행파일디지털서명검증 경우에도반드시디지털서명검증을수행해야함 ( 검증실패시파일즉시삭제 ) -비실행파일의경우 cab파일형태로압축한후압축파일에 필수 디지털서명을삽입할것을권장 -MD5 등의해쉬는공격자가쉽게변조가능하므로지양해야함 - 제휴프로그램설치시에도무결성을검증한뒤설치하도록해야함 5 제휴서비스프로그램설치시디지털서명검증 ( 검증실패시파일즉시삭제 ) -제휴프로그램의무결성검증을위해서는공개키기반의디지털서명방식을사용해야함 -제휴프로그램디지털서명확인시에는반드시서명자, 버전을 필수 확인해야함 ( 파일해쉬검증 ) 6 PKI 기반통신채널보호 - 정상적인업데이트절차에해커가끼어들지못하도록 SSL 과 같은채널보호를적용하는것이좋음 선택 21
22 부록 SW 업데이트체계보안십계명 ( 요약 ) 7 업데이트서버주소무결성검증 - 업데이트서버 URL 이변조되지않도록업데이트서버주소는 소스코드상에고정적으로사용하고, 서버와클라이언트간의 상호인증을수행해야함 선택 8 인증서상태검사 9 실행파일난독화 -업데이트관련파일디지털서명검증시에서명에사용된인증서의유효기간, 인증경로, 인증서효력정지또는해지여부등의상태를검사해야함 -업데이트프로그램등의실행파일은난독화도구를활용하여임의로분석이어렵도록하는것이좋음 필수 선택 - 자동업데이트체계에대한상기필수보안대책이미비할경우, 자동업데이트기능을삭제하고사용자가수동으로사이트에 10 자동업데이트보안미비시기능삭제 접속하여다운로드받아설치하는수동업데이트방식을사용하도록유도해야함 필수 - 사용자가수동다운로드시에도, 제작사의서명이올바른지 확인하도록공지해야함 세계최고보안기술을지향하는창조적리더! 22
SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com
SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A
..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * Amazon Web Services, Inc.. ID Microsoft Office 365*
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해
코드서명인증서 보안가이드 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. 제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 9 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 중앙관리소프트웨어운영보안 11 제 4 장중앙관리소프트웨어보안가이드항목
중앙관리소프트웨어 보안가이드 2016. 11 제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 9 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 10 3. 중앙관리소프트웨어운영보안 11 제 4 장중앙관리소프트웨어보안가이드항목해설서 14 제 1 장 개요 제 1 장개요 1.1
More information인증기관간상호연동을위한 CTL 기술규격 CTL Technical Specification for the Interoperability of Certification Authorities 년 월
인증기관간상호연동을위한 CTL 기술규격 CTL Technical Specification for the Interoperability of Certification Authorities 년 월 목차 개요 규격의구성및범위 관련표준및규격 국외표준및규격 국내표준및규격 기타 정의 전자서명법용어정의 용어의효력 약어 인증서신뢰목록 인증서신뢰목록모델 인증서신뢰목록프로파일
More information제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 8 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 중앙관리소프트웨어운영보안 11 제 4 장중앙관리소프트웨어보안가이드항목
중앙관리소프트웨어 보안가이드 2016. 10 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. 제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 8 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 10 3. 중앙관리소프트웨어운영보안
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationBEA_WebLogic.hwp
BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법
More informationSpotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA
Spotlight on Oracle V10.x DELL SOFTWARE KOREA 2016-11-15 Spotlight on Oracle 목차 1. 시스템요구사항... 2 1.1 지원하는데이터베이스...2 1.2 사용자설치홖경...2 2. 프로그램설치... 3 2.1 설치프로그램실행...3 2.2 라이선스사용관련내용확인및사용동의...3 2.3 프로그램설치경로지정...4
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널
무선단말기와 PC간공인인증서전송을위한기술규격 Certificate Transmission between PC to Mobile Device v2.10 2012 년 11 월 목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 1 3.1 국외표준및규격 1 3.2 국내표준및규격 1 3.3 기타 2 4. 정의 2 4.1 전자서명법용어정의 2 4.2 용어의정의
More information리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.
3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More informationMicrosoft PowerPoint - 권장 사양
Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information0. 들어가기 전
컴퓨터네트워크 13 장. 네트워크보안 (2) - 암호화시스템 1 이번시간의학습목표 암호화알고리즘인 DES, RSA 의구조이해 전자서명의필요성과방법이해 2 대칭키암호방식 (1) 암호화와복호화에하나의키를이용 공통키또는대칭키암호방식이라고지칭 이때의키를비밀키 (secret key) 라고지칭 3 대칭키암호방식 (2) 암호화복호화를수행하는두사용자가동일한키를가지고있어야함
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More informationCODESYS 런타임 설치과정
CODESYS 런타임설치과정 CODESYS Control RTE / SoftMotion RTE Setup Web: www.altsoft.kr E-mail: altsoft@altsoft.kr Tel: 02-547-2344 목 차 CODESYS 런타임 - Control RTE, SoftMotion RTE... 2 다운로드및설치과정... 2 CODESYS EtherCAT
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More informationAssign an IP Address and Access the Video Stream - Installation Guide
설치 안내서 IP 주소 할당 및 비디오 스트림에 액세스 책임 본 문서는 최대한 주의를 기울여 작성되었습니다. 잘못되거나 누락된 정보가 있는 경우 엑시스 지사로 알려 주시기 바랍니다. Axis Communications AB는 기술적 또는 인쇄상의 오류에 대해 책 임을 지지 않으며 사전 통지 없이 제품 및 설명서를 변경할 수 있습니다. Axis Communications
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포
CR-15-78 WeGuardia WIPS V2.0 인증보고서 인증번호 : NISS-0650-2015 2015년 10월 IT보안인증사무국 1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다.
More information<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>
SAM4S Printer Driver Installer 달리명시하지않은한, 인쇄또는복사된문서는통제하지않는문서임 목 차 1. 1. WINDOWS DRIVER INSTALLER 설치 설치...... 2 2. 프린터추가...... 5 3. 프린터제거...... 19 4. 프린터추가 / 제거선택...... 21 5. 프로그램추가 / 제거...... 21 SHC- 11-01-
More informationUser Guide
HP Pocket Playlist 사용 설명서 부품 번호: 699916-AD2 제 2 판: 2013 년 1 월, 초판: 2012 년 12 월 Copyright 2012, 2013 Hewlett-Packard Development Company, L.P. Microsoft, Windows 및 Windows Vista 는 Microsoft Corporation
More information[Blank Page] i
키토큰앱매뉴얼 KeyToken App Manual - 20131126 키페어 www.keypair.co.kr [Blank Page] i 목차 I. KeyToken App 소개...1 1. KeyToken App 의목적... 1 2. KeyToken App 의사용환경... 1 3. 주의사항... 2 II. 스마트폰의 NFC 모듈켜기...4 1. 안드로이드 v4.0.3(
More informationA Study on the efficient mutual authentication mechanism using the agent server
15 장 : 키관리 Jeon Youngho dean83g@gmail.com 2009.05.29 Contents 대칭키분배 커버로스 대칭키합의 공개키배분 대칭키분배 크기가큰메시지를암호화할때효율적이지만, 사전에당사자끼리비밀키를공유해야함. N 명이통신시 N(N-1) 개의키필요 => N 2 문제라고함. 키의개수뿐만아니라, 키의배분도문제임. 따라서, 비밀키를배분하고관리하는방법이있어야함.
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More informationMicrosoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 개발환경구조및설치순서 JDK 설치 Eclipse 설치 안드로이드 SDK 설치 ADT(Androd Development Tools) 설치 AVD(Android Virtual Device) 생성 Hello Android! 2 Eclipse (IDE) JDK Android SDK with
More informationJDK이클립스
JDK 와이클립스설치 A. JDK 다운로드, 설치및환경설정 지금부터 JDK를다운로드받아설치하고 JDK를윈도우에서활용할수있도록환경을설정하는전과정을소개한다. 다운로드 www.oracle.com 사이트에접속하여 Downloads 메뉴를선택한후 [ 그림 1] 과같이 "Java for Developers" 를클릭한다. [ 그림 1] www.oracle.com 사이트
More information동양미래대학교규정집제 8 편정보보안 ~2 제4조 ( 책임사항 ) 1. 정보보안담당관 : 대학의전반적인보안계획을수립관리하는자로대학에서 1명을선정하여, 암호화기술및프로그램등암호와관련된모든사항들에대해서최종승인과총괄적인관리를담당한다. 그리고기술의발달에따라암호화기술및
동양미래대학교규정집제 8 편정보보안 8-0-18~1 암호키관리지침 규정번호 8-0-18 제정일자 2017.04.17 개정일자 개정번호 Ver.0 총페이지 7 제 1 장총칙 제1조 ( 목적 ) 본지침은 정보통신망이용촉진및정보보호등에관한법률 의 개인정보의보호, 정보통신망의안전성확보 등관계법령의규정을토대로, 동양미래대학교 ( 이하 대학 이라고함 ) 의중요정보자산에대해기밀성,
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More information소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조
운영체제실습 소프트웨어관리 2016. 6 표월성 passwd74@naver.com cherub.sungkyul.ac.kr 목차 Ⅶ. 소프트웨어관리 1. 소스코드컴파일을이용한소프트웨어설치 2. RPM패키지를이용한소프트웨어설치 3. YUM패키지를이용한소프트웨어설치 4. APT패키지를이용한소프트웨어설치 5. Telnet서버설치 6. ssh서버 (openssh) 설치
More informationCubase AI installation guide
Steinberg Cubase AI 프로그램 및라이선스설치가이드 (2018. 1. 31) Ver. 1.0.0 1 목차 1. 계정만들기 2. Download access code 등록및 Activation Code 발급 3. Steinberg Download Assistant 다운로드및설치 4. Cubase AI 다운로드및설치 5. 라이선스활성화 (Activation)
More information슬라이드 1
악성코드유포에홗용되는 난독화기법분석 이민섭 NBP 포털서비스보앆팀 c 2011 NHN CORPORATION 목차 1. 악성코드유포및감염 2. 최근웹사이트공격동향 3. 난독화공격코드 3.1 난독화에대한정의 3.2 공격코드의난독화주요방법 3.3 난독화공격코드사례 4. 악성코드바이너리의특징과목적 5. 결롞 1. 악성코드유포및감염 1. 악성코드유포및감염 이메일첨부파일을이용한악성코드유포
More informationuntitled
보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.
More information문서의 제목 나눔고딕B, 54pt
2015 개정교육과정 미래엔교사용 DVD 다운로드안내 문서버전 Ver 2.0 문서구분 가이드 최초작성일 2018.03.01 최종수정일 2019.01.30 이문서는나눔글꼴로작성되었습니다. 설치하기 목차 1-1. 최소필요용량 ---------------------------------------------- p.3~5 1-2. 파일다운로드 -----------------------------------------------
More information[SHA-2] HASH 함수 중의 하나로, HASH는 임의의 길이의 데이터를 입력 받아 고정된 길이의 데이터(해시 값)로 출력합니다. 동일한 데이터인 경우 동일한 해시 값을 갖는다. 에 기초하여 메시지 무결성(오류/변조 탐지)을 확인하기 위하여 사용됩 니다. 하지만 서
About SHA2, SSLv3 2014-10 한국정보인증 [SHA-2] HASH 함수 중의 하나로, HASH는 임의의 길이의 데이터를 입력 받아 고정된 길이의 데이터(해시 값)로 출력합니다. 동일한 데이터인 경우 동일한 해시 값을 갖는다. 에 기초하여 메시지 무결성(오류/변조 탐지)을 확인하기 위하여 사용됩 니다. 하지만 서로
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항 11-2 -
대전마케팅공사 경영정보포털 구축 사업 패키지 소프트웨어 2식 구매 설치 시방서 (소프트웨어 2식) 2016. 06. 대전마케팅공사 경 영 지 원 파 트 목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항 11-2 - Ⅰ. 일반사항 1. 목적 본 시방서는 대전마케팅공사가 추진하고 있는 경영정보포털 사업의 패키지 소프트웨어 도입을
More information기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.
PDMLink 에등록된 Office 문서들의 PDF 문서변환기능및 Viewer 기능을알아보자 PDM Link에서지원하는 [Product View Document Support] 기능은 Windows-Base 기반의 Microsoft Office 문서들을 PDMLink용 Viewer인 Product View를통한읽기가가능한 PDF Format 으로변환하는기능이다.
More informationA SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp
A SQL Server 0 설치 A. 소개 Relational DataBase Management System SQL Server 0는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 express 버전 의무료에디션을제공하는데, 이책에서는실습을위해 SQL Server 0 익스프레스에디 션 SP
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationWindows 10 General Announcement v1.0-KO
Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows
More information1아이리포 기술사회 모의고사 참조답안
아이리포지식창고 Security - KRACK 오민석정보관리기술사 (min-oh@korea.ac.kr) KRACK, WI-Fi 보안의핵심취약점 Concept (KRACK 의정의 ) - Wi-Fi 연결을보호하기위한 WPA2 프로토콜의 4-way handshake 과정에서 MITM 공격을통해패킷의재생, 복호화, 변조가가능한공격 KeyWord WPA2, WPA2
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,
More informationPowerPoint 프레젠테이션
전자세금계산서서비스 매뉴얼 Last Update : 2015/10/01 1 # 목차 항목을선택하시면해당가이드로바로이동합니다. 번호기능분류이용가이드페이지 # 이용프로세스 3 1 서비스안내 - 이란? 4 2 신청안내 - 서비스신청하기 6 - 공급자등록하기 8 - 공급자수정하기 11 3 공급자관리 - 쇼핑몰관리자페이지연동하기 14 - 전자세금계산서발급요청하기 16
More informationSAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2
[Win] SAS Enterprise Miner6.1 설치가이드 - Single User 작성자 : 기술지원팀 (SAS Korea) 단계 1) 설치전주의 / 확인사항 2) 사용자생성및권한할당 3) SAS Software Deport 생성 4) SAS Enterprise Miner 설치 (SAS Foundation + Enterprise Miner 6.1) 5)
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More information본 강의에 들어가기 전
1 2.1 대칭암호원리 제 2 장. 대칭암호와메시지기밀성 2 3 기본용어 평문 (Plaintext) - original message 암호문 (Ciphertext) - coded message 암호화 (Cipher) - algorithm for transforming plaintext to ciphertext 키 (Key) - info used in cipher
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information4S 1차년도 평가 발표자료
모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components
More informationKIDI_W_BRIEF(제1호)_본문.hwp
KIDI 2010. 4. 30 (제 1호) 금융(보험)산업과 스마트폰 1. 스마트폰 시대의 도래 2. 스마트폰의 종류 3. 스마트폰 활용의 핵심 애플리케이션 스토어 4. 국내외 스마트폰 시장 현황 5. 스마트폰이 가져오는 환경변화 6. 국내 금융기관의 스마트폰 활용 동향 7. 시사점 및 제언 KIDI W BRIEF 는 보험산업의 발전을 위한, 국내 외 웹서비스관련
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationTomcat.hwp
Tomcat Web Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 Tomcat Web Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법 1 2.
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격..
취약점 분석 보고서 [ Adobe Flash Player 11.3 Kern Table Parsing Integer Overflow - CVE-2012-1535 ] 2012-08-23 RedAlert Team 안상환 목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리...
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More information목 차 1. 드라이버 설치...3 1.1 설치환경...3 1.2 드라이버 설치 시 주의사항...3 1.3 USB 드라이버 파일...3 1.4 Windows XP에서 설치...4 1.5 Windows Vista / Windows 7에서 설치...7 1.6 Windows
삼성SDS 하이패스 USB 드라이버 설치 매뉴얼 삼성SDS(주) 목 차 1. 드라이버 설치...3 1.1 설치환경...3 1.2 드라이버 설치 시 주의사항...3 1.3 USB 드라이버 파일...3 1.4 Windows XP에서 설치...4 1.5 Windows Vista / Windows 7에서 설치...7 1.6 Windows 8에서 설치...9 2. 드라이버
More information< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>
2008. 7. 3 인터넷침해사고대응지원센터 (KISC) 본보고서는 CONCERT 정회원사만을대상으로 KISA KrCERT/CC 가제공하는것으로외부로의유출, 특히웹사이트, 카페, 블로그게시등어떤방식으로든지전재및배포가이뤄질수없습니다. 개요최근 ARP Poisoning을이용한악성코드감염피해사고가빈번히발생하고있다. 많이확인되고있는피해유형은, 웹을통하여악성코드를유포시키고,
More informationuntitled
디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More information