꼰머의 보안공부

1. DML (Data Manipulation Language)

- 데이터 조작어

- 데이터의 삽입, 수정, 삭제, 조회 등을 수행

- INSERT(데이터 생성),  UPDATE(데이터 수정), DELETE(데이터 삭제), SELECT(데이터 조회)

2. INSERT

- 테이블에 데이터를 입력할 경우 사용

- 입력할 데이터는 반드시 컬럼의 순서와 개수가 일치해야 함

INSERT INTO 테이블명 VALUES (컬럼=값);

2.1) 특정 컬럼 INSERT

- 특정 컬럼을 지정해 데이터를 입력할 경우

- 컬럼명과 입력한 데이터의 순서와 개수가 일치해야 함

INSERT INTO 테이블명(컬럼1, 컬럼2, 컬럼3,......) VALUES(컬럼1의 값, 컬럼2의 값,....);

2.2) 특정 컬럼 SET

- 특정 컬럼을 지정해 데이터

INSERT INTO 테이블명 SET
컬럼명1=데이터1, 컬럼명2=데이터2...;

3. SELECT

- 테이블 내 데이터를 조회할 때 사용

- 테이블에 저장된 칼럼 순서대로 조회

SELECT [ALL | DISTINCT] 속성이름 FROM 테이블이름
[WHERE 조건]
[GROUP BY 속성이름]
[HAVING 검색조건]
[ORDER BY 속성이름 [ ASC | DESC]

- 각 절에 다양한 조건을 줌으로써 목적에 맞는 데이터를 조회할 수 있음

4. UPDATE

- 테이블 내 데이터를 변경할 때 사용

UPDATE 테이블명 SET 변경할 컬럼=변경할 데이터 WHERE 변경하고자하는 조건

5.DELETE

- 테이블내 저장된 데이터를 삭제할 때 사용

DELETE FROM 테이블명 WHERE 삭제할 컬럼명=조건;

접근 제어(Access Control)란 사용자에게 허용 또는 거부의 권한을 부여하여 사용자가 주어진 권한을 벗어나 행동하는 것을 막는 것이다. 접근 제어가 취약하게 구현되어 있을 경우 사용자는 주어진 권한을 벗어나 허용되지 않은 데이터나 자원에 접근하여, 조회, 삭제, 갱신 등을 할 수 있게 된다.

OWASP TOP 10 2017에서는 A05로 확인되나 2021에서는 4단계 상승한 A01로 선정되었다. 그만큼 공격자들이 관련된 취약점을 이용한다는 것으로 판단된다. 또한, 과거에 비해 다수의 서비스를 제공하고, 페이지 수정 및 추가 등으로 인한 접근통제의 어려운 문제도 영향을 주었을 것으로 판단된다.

적절한 대응 책으로는, 초기 계획 단계부터 접근 권한과 관련된 계획을 세워야 할 필요가 있다. 설계 및 구현 단계에 적용해, 테스트 단계에서 검증을 수행하는 것이다. 그리고, 서비스 및 페이지가 추가되거나 변경될 경우 접근 권한이 누락 없이 적절히 적용되도록 해야 한다. 또한, 접근 권한의 적정성에 대해 주기적인 검토가 필요하다.  추가적으로 기본적으로 모든 접근에 대해 차단 정책을 적용하고, 접근이 가능한 대상을 지정하는 화이트리스트 기반 정책을 수립한다.

취약점 유형

일부 사용자(ex. 관리자)에게만 부여되어야 하는 권한을 모든 사용자들에게 부여할 경우
URL 파라미터, 쿠키 값 등을 변조하여 인증이 필요한 페이지에 접근하거나 타 사용자의 권한을 사용할 수 있는 경우
사용자 권한으로 로그인 후 관리자 권한으로 권한으로 상승하거나 활동할 수 있는 경우
DELET, PUT 등의 API 요청에 대한 접근제어가 누락된 경우
API 서버의 보안 설정 미흡

대응방안

계획 단계부터 적절한 접근권한 계획 수립 및 적용
서비스, 페이지의 생성, 변경 등에 따른 접근권한이 누락없이 적용되도록 관리
접근권한 적정성 검토
기본적으로 모든 접근을 차단하고, 접근이 가능한 대상을 지정(화이트리스트 기반)

공격 시나리오

참고

1. 아이디어

- 피싱문자를 통한 개인정보 유출을 노리는 사회공학 공격을 예방

- 시용자 배너를 통한 입력 값 선택 후 선택 정보와 사용자 정보를 통해 핑거프린트 생성 

- 핑거프린트 전송 및 입력 값에 따른 페이지 생성, 응답

2. 근거

2.1) 피해 사례 지속 발생

- 21.04.15 금감원에서 공개한 "20년 보이스피싱 피해 현황"에서 메신저 피싱의 피해가 증가하고 있음을 확인 가능

- 해당 문서를 통해 5~60대가 전체 피해의 85.8%를 차지하며, 전반적으로 4~60대의 피해가 높음

2.2) 보안 교육

- 피싱 사이트에 대한 피해를 예방하기 위해 시행하는 보안 교육 중 "출처가 불분명한 URL 접근하지 않거나 주의"가 다수.

- 단순히 사용자의 주의를 요하는 형태로 볼 수 있으며, 관련된 피해가 발생하고 있음

2.3) 실질적인 피해가 발생하는 지점은 일반 사용자 단말

 - 사내 환경은 보안 솔루션을 통해 보안성이 보장되나, 사용자 단말(PC, 휴대폰, 태블릿 등)은 비교적 보안성이 낮음

- 실질적으로 피싱 사이트 등을 이용한 사회공학 공격의 피해가 발생하는 지점은 사용자 단말임

- 사용자에게 접속한 사이트가 피싱 사이트인지 정상 사이트인지 직관적으로 판단하기 위한 정보가 부재함.

3. 흐름도

4. 기대효과

4.1) 공격준비의 어려움

- 기존의 사회공학 공격은 사용자만을 속이면 개인정보를 손 쉽게 탈취할 수 있음.

- 해당 프로세스의 경우 공격자는 인증기관, 기업에게 각각의 주체인 것처럼 속여야 함.

- 또한, 공격자는 사용자 배너를 통해 선택한 입력값이 무엇인지, 어떤 입력 값을 선택하였는지 알 수 없음.

4.2) 사용자에게 좀 더 직관적인 정보 제공 및 개인정보 유출 최소화

- 사용자는 접속한 사이트가 피싱 사이트인지 정상 사이트인지 명확히 구분하기 어려움

- 해당 프로세스의 경우 사용자가 생성한 핑거프린트 정보를 인증기관이 인증하고, 기업이 재검증함.

- 검증 후 최종 페이지를 인증기관을 거쳐 응답하므로, 사용자에게 정당한 페이지라는 것을 입증할 수 있음.

4.3) 기업에 대한 신뢰도 상승

- 사용자들이 신뢰하는 혹은 이용하는 서비스를 제공하는 기업을 사칭하여 개인정보 입력 유도.

- 해당 프로세스를 통해 사용자들에게 기업에 대한 인식과 신뢰도를 유지하거나 향상될 수 있음.

제18조(개인정보의 목적 외 이용ㆍ제공 제한)

① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4.>

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 

다만, 이용자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4.>
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 삭제 <2020. 2. 4.>
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

④ 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.

1. DDL (Data Definition Language)

- 데이터 정의어

- 역할 : 데이터베이스를 정의하는 언어로, 데이터 생성, 수정, 삭제 등 데이터 전체 골격을 결정

- 사용자 : 데이터베이스 설계자, 관리자

1.1) CREATE

- 데이터베이스와 테이블 생성

CREATE TABLE 테이블이름
(
    필드이름1 필드타입1,
    필드이름2 필드타입2,
    ...
)

- 첫번째 값인 studentID는 int형이며, NULL 값을 가질 수 없음(not null). 또한 기본키로 지정(primary key)

- name(성명), pw(비밀번호)는 varchar(가변 자료형)

1.2) ALTER

- 데이터베이스와 테이블의 내용 수정

ALTER TABLE [테이블명] ADD COLUMN [추가할컬럼명] [컬럼타입] DEFAULT [기본값] [컬럼위치]
 // [컬럽위치] after : 특정 필드 뒤, first : 맨 처음의 필드

필드 삭제 : ALTER TABLE 테이블명 DROP 삭제할 필드명;
필드 타입 수정 : ALTER TABLE 테이블명 MODIFY 필드명 타입;
테이블명 변경 : ALTER TABLE 이전테이블명 RENAME 새테이블명;

1.3) DROP

- 데이터베이스와 테이블 삭제

DROP TABLE 테이블명;

1.4) TRUNCATE

- 데이터베이스와 테이블 삭제

TRUNCATE TABLE 테이블명;

참고

DROP VS TRUNCATE VS DELETE

- MySQL 설치 참고

1. 네이버 PER(Privacy Enhancement Reward) 제도

- 네이버에서 제공하고 있는 서비스들에 대해 프라이버시 및 개인정보 영역에서의 개선점에 대해 제보를 받고, 이에 대해 적절히 사례 및 보상을 하는 제도

2. 아이디어 및 근거

2.1) 아이디어

- 비밀번호 변경 시 이전 비밀번호와 유사도를 검사하여 유사도에 따른 비밀번호 사용주기 결정

2.2) 근거

개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제) 
⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

- 사용자들은 다수의 서비스를 사용하고 있으며, 각 서비스별로 서로 유사하거나 동일한 비밀번호를 사용

- 비밀번호 설정 규칙, 이전 비밀번호 기억 등의 조치를 취하고 있으나, 여러 방법으로 이를 회피하여 비밀번호 재사용

- 비밀번호를 재사용하거나 일부분만을 변경하여 크리덴셜 스터핑, 무차별 대입 공격에 취약한 환경 생성

크리덴셜 스터핑 (Credential Stuffing) : 일종의 무차별 대입 공격(Brute Force Attack) 기법이지만, 데이터 침해에서 입수한 알려진 유효 인증 정보의 목록을 이용
무차별 대입 공격 (Brute Force Attack) : 무작위 혹은 미리 준비한 사전 등 가능한 모든 값을 반복적으로 대입하여 계정정보를 탈취하는 방식

- 즉, 동일하거나 유사한 비밀번호를 사용함으로써, 비밀번호 변경 의미 퇴색, 비밀번호 재사용으로 인한 취약성 증가 등의 문제가 예상

3. 한계점

3.1) 일방향 암호화

- 비밀번호는 일방향 암호화(ex. 해시 함수) 적용 후 저장됨

개인정보 보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치
가. 비밀번호의 일방향 암호화 저장

- [캡쳐 2]를 통해 단 한 글자의 변화만으로도 전혀 다른 결과 값이 출력되는 것을 알 수 있음.

3.2) 사용자 부담 증가

- 비밀번호 설정 시 높은 복잡도(=비밀번호 유사도)를 추가하는 것이 사용자 부담을 증가시켜 오히려 보안성이 하락하는 문제점이 발생 가능.

- NIST의 Digital Identity Guidelines에 비밀번호 복잡성과 관련된 내용이 확인되는데 요약하면 다음과 같음.

"비밀번호 설정과 관련하여 복잡한 조건들을 추가하는 것이
오히려 사용자들이 비밀번호를 제대로 관리하지 않게되는 결과를 낳게되고,
이러한 결과로 인해 보안성이 떨어지며 이용자 보호 측면에서의 실익이 없다"
- Authentication and Lifecycle Management P.68 -

1. robots.txt

- 로봇배제표준(robots exclusion protocol)

- 웹 사이트에 웹 크롤러와 같은 로봇들의 접근을 제어하기 위한 규약으로, 루트디렉토리에 위치

- 크롤러란 조직적, 자동화된 방법으로 웹을 탐색하는 컴퓨터 프로그램

2. 작성 양식

- 해당 파일은 [캡쳐 1]에서도 볼 수 있듯이 User-agent, Disallow, Allow로 이루어져 있음.

User-agent : robots.txt 파일의 규칙을 적용할 로봇의 이름
Disallow : 차단할 URL 경로
Allow : 허용할 URL 경로

- Disallow, Allow 항목을 적절히 잘 조합하여 사용.

2.1) 작성예시

모든 로봇 허용

User-agent: *
Disallow:

모든 로봇 금지

User-agent: *
Disallow: /

3. 관점

3.1) 해커 관점

- 민감한 정보를 저장하고 있는 페이지에 대해 웹 크롤러가 접근하지 못하도록 Disallow에 해당 URL 설정 

- robots.txt에 접근한 해커들은 Disallow에 설정된 URL에 민감정보가 저장되어 있을 것이라 추측 및 관련된 공격 시도 가능

3.2) 보안 관점

- 해커들이 해당 파일을 통해 정보를 획득할 수 있으므로 일부 취약점 스캐너에 포함되어 있는 경우도 있음

- 누구나 접근할 수 있으므로, 적절한 접근제어 조치를 취하여야 함