ITPE * JackerLab

Confused Deputy 공격

개요Confused Deputy 공격은 합법적이고 신뢰된 프로그램(Deputy)을 이용하여 공격자가 본래 갖지 않은 권한으로 시스템 리소스에 접근하게 만드는 보안 취약점입니다. 소프트웨어가 권한을 구분하지 않고 요청을 처리할 때 발생하며, 잘못된 권한 검증 로직을 악용해 **간접적인 권한 상승(Elevation of Privilege)**을 유도하는 전형적인 설계 결함 기반 공격입니다.1. 개념 및 정의Confused Deputy는 1988년 Norman Hardy가 소개한 개념으로, “Deputy(대리인)” 역할의 프로그램이 자신의 권한과 요청자의 권한을 구분하지 못하고 행동할 때 발생하는 보안 사고입니다. 이로 인해, 권한이 낮은 주체가 고권한 소프트웨어를 통해 민감한 리소스에 접근할 수 있습니다.2..

Chinese Wall 모델

개요Chinese Wall 모델은 기업 내에서 발생할 수 있는 이해 충돌(Conflict of Interest) 상황을 방지하기 위해 설계된 동적 접근 제어 모델입니다. 주로 금융, 회계, 법률, 컨설팅 산업 등에서 사용되며, 사용자가 특정 기업의 민감 정보를 열람한 이후, 경쟁사의 정보에 접근하지 못하도록 제한하는 방식으로 정보 보안과 윤리 기준을 동시에 실현합니다.1. 개념 및 정의Chinese Wall 모델은 사용자에게 최초에는 어떤 정보든 접근할 수 있도록 허용하지만, 일단 특정 회사(이해 상충 그룹)의 민감 정보에 접근하면, 같은 그룹 내의 다른 경쟁사 정보에는 접근할 수 없도록 제한하는 방식으로 작동합니다. 이 모델은 정보 분리 장벽(Wall)을 동적으로 형성하여, 이해 충돌을 사전에 차단하는..

Lattice Model

개요Lattice 모델은 컴퓨터 보안에서 주체(사용자)와 객체(데이터) 간의 정보 흐름을 수학적으로 구조화하여 표현하는 보안 모델입니다. 특히 다중 보안 등급(Multi-Level Security, MLS) 환경에서 정보의 비인가 유출이나 변조를 방지하기 위해 활용되며, 군사 및 정부 시스템에서 많이 채택됩니다. 이 모델은 정보의 기밀성과 무결성을 동시에 통제하는 데 강점을 갖고 있습니다.1. 개념 및 정의Lattice 모델은 **격자(Lattice)**라는 수학적 구조를 기반으로, 주체와 객체에 할당된 보안 등급 및 범주를 이용해 허용된 정보 흐름을 정의합니다. 주체는 자신의 보안 등급과 범주에 따라 상위 또는 하위 객체에 접근이 제한되며, 이는 정보 유출 또는 불필요한 정보 노출을 방지하는 데 사용됩..

개요OWASP ASVS(Application Security Verification Standard)는 웹 애플리케이션의 보안 수준을 검증하기 위한 표준 가이드라인입니다. 보안 요구 사항을 정의하고, 애플리케이션 개발 및 테스트 과정에서 보안성을 평가할 수 있도록 지원합니다. 본 글에서는 OWASP ASVS의 개념, 주요 검증 수준, 요구 사항 및 활용 방안을 살펴보겠습니다.1. 개념 및 정의OWASP ASVS란?OWASP ASVS는 애플리케이션의 보안 검증을 위한 표준으로, 보안 평가를 위한 체계적인 프레임워크를 제공합니다. 개념 설명 OWASP웹 애플리케이션 보안 강화를 위한 비영리 단체ASVS (Application Security Verification Standard)애플리케이션 보안 검증 표..

개요OWASP(Open Web Application Security Project) Top 10은 웹 애플리케이션에서 가장 흔하게 발생하는 보안 취약점을 정리한 목록입니다. 본 가이드는 개발자, 보안 전문가 및 조직이 보안 위협을 식별하고 효과적으로 방어할 수 있도록 돕습니다. 본 글에서는 OWASP Top 10의 개념, 주요 보안 취약점, 대응 방법 및 활용 사례를 살펴보겠습니다.1. 개념 및 정의OWASP Top 10이란?OWASP Top 10은 OWASP 재단이 주기적으로 발표하는 웹 애플리케이션 보안 취약점 목록으로, 가장 위험한 보안 문제를 선정하여 업계 표준으로 활용됩니다. 개념 설명 OWASP웹 애플리케이션 보안 강화를 위한 비영리 단체OWASP Top 10가장 빈번하고 위험한 웹 보안 취..

개요RBAC(Role-Based Access Control), ABAC(Attribute-Based Access Control), PBAC(Policy-Based Access Control)은 정보 보안을 강화하기 위한 주요 접근 제어 모델입니다. 본 글에서는 이 세 가지 접근 제어 모델의 개념과 차이점, 활용 사례 및 구현 방법을 상세히 살펴보겠습니다.1. 개념 및 정의RBAC/ABAC/PBAC란? 접근 제어 모델 개념 특징 RBAC (역할 기반 접근 제어)사용자에게 특정 역할(Role)을 부여하고, 역할에 따른 권한을 부여사용자의 직책이나 업무 역할에 따라 접근 권한을 부여하는 구조ABAC (속성 기반 접근 제어)사용자의 속성(Attribute)에 따라 접근 권한을 결정위치, 시간, 기기 유형 등..

개요AAA 보안 모델은 인증(Authentication), 인가(Authorization), 회계(Accounting)로 구성되며, 네트워크 및 시스템 보안에서 핵심적인 역할을 합니다. 본 글에서는 AAA 모델의 개념과 주요 원칙, 기술적 구현 방법 및 활용 사례를 상세히 살펴보겠습니다.1. 개념 및 정의AAA 보안 모델이란?AAA(Authentication, Authorization, Accounting) 모델은 네트워크 및 시스템 보안을 강화하는 필수적인 개념입니다. 각 요소는 다음과 같은 역할을 합니다.인증(Authentication): 사용자의 신원을 확인하는 과정인가(Authorization): 사용자가 수행할 수 있는 작업과 접근 권한을 부여하는 과정회계(Accounting): 사용자의 활동을..

개요접근제어(Access Control)는 정보 보안의 중요한 요소로, 사용자가 특정 데이터나 시스템 리소스에 접근할 수 있도록 권한을 부여하는 메커니즘입니다. 조직의 보안 정책에 따라 다양한 접근제어 모델이 존재하며, 대표적으로 MAC(강제적 접근제어), DAC(임의적 접근제어), RBAC(역할 기반 접근제어), ABAC(속성 기반 접근제어) 등이 있습니다. 본 글에서는 접근제어 모델의 개념, 주요 차이점, 활용 사례 및 보안 강화를 위한 최적의 선택 방법을 살펴봅니다.1. 접근제어란?접근제어는 시스템 내에서 사용자나 프로세스가 특정 리소스(파일, 데이터베이스, 네트워크 등)에 접근할 수 있도록 허용 또는 차단하는 보안 기술입니다. 조직의 보안 정책과 필요에 따라 다양한 접근제어 모델이 적용됩니다.1...