본문 바로가기
728x90
반응형

보안

 (11)
“내 데이터는 내가 지킨다” — 동형암호화된 CRDTs가 그리는 로컬-퍼스트 협업의 미래 협업은 쉬워졌지만, 보안은 더 어려워졌다협업 툴은 점점 편리해졌습니다. 구글 Docs 같은 실시간 공동 편집 도구는 이미 많은 팀이 업무에 활용하고 있죠. 하지만 동시에 이런 툴에선 늘 같은 질문이 뒤따릅니다."내 문서, 정말 안전한가?""개발자가 내 문서 내용을 볼 수는 없을까?"이런 고민이 쌓이면서 ‘로컬-퍼스트(Local-first)’ 소프트웨어가 주목받고 있습니다. 로컬-퍼스트란, 모든 데이터가 우선 사용자의 기기에 저장되고, 필요할 때만 서버와 동기화되는 방식입니다. 데이터는 내 손에 있고, 내가 주인이 되는 거죠.하지만 여기서 문제가 생깁니다. 협업을 하려면 결국 데이터를 병합해야 하는데, 서버가 내용을 모르면 병합이 불가능합니다. 그래서 종단 간 암호화만으로는 협업의 효율을 보장하기 어렵습니..
사상 최대 암호화폐 해킹 사건: Bybit 해킹과 운영 보안의 위기 1. 사건 개요: 15억 달러 규모의 Bybit 해킹2025년 2월 21일, 암호화폐 거래소 Bybit에서 사상 최대 규모의 해킹 사건이 발생했습니다. 해커들은 Bybit의 다중 서명(multisig) 콜드 월렛에서 약 15억 달러 상당의 암호화폐를 탈취했습니다. 이번 공격은 단순한 스마트 컨트랙트 취약점을 노린 것이 아니라, 운영 보안(Operation Security, OpSec) 허점을 악용한 것이 특징입니다.이번 사건은 암호화폐 거래소 및 기업들이 운영 보안의 중요성을 간과할 경우, 기술적 보안 강화만으로는 해킹을 막을 수 없다는 현실을 보여준 사례입니다.2. 해킹 방법: 운영 보안의 취약점을 노리다Bybit 해킹 사건은 단순한 시스템 취약점 공격이 아니라 사용자의 기기와 인터페이스를 조작하여 서..
API Key와 Token의 차이점 API 키(API Key)와 토큰(Token)은 모두 인증 및 권한 부여를 위해 사용되는 방법이지만, 그 목적과 사용 방식에는 차이가 있습니다.구분API KeyToken개요정의: API 키는 클라이언트가 API에 접근할 수 있도록 하기 위해 발급되는 고유한 식별자입니다.사용 목적: 주로 API에 대한 접근을 식별하고 제어하는 데 사용됩니다.구성: 일반적으로 문자열 형태로 되어 있으며, 복잡한 해시 값이나 GUID 형태일 수 있습니다.정의: 토큰은 사용자가 인증된 후 발급되는 임시 자격 증명입니다.사용 목적: 주로 사용자 인증 및 세션 관리를 위해 사용됩니다.구성: 일반적으로 JWT(JSON Web Token)와 같은 형식으로 인코딩된 문자열입니다.특징단순성: 사용하기 매우 간단하며, 주로 URL 매개변수..
[KMS] Key Management Service(KMS) 란 무엇인가? Key Management Service(KMS)는 암호화 키를 생성, 저장, 관리, 배포, 사용, 폐기 등의 작업을 수행하는 서비스입니다. KMS는 데이터 보호 및 보안 강화의 핵심 요소로, 특히 클라우드 환경에서 많이 사용됩니다. 주요 기능과 이점은 다음과 같습니다주요 기능키 생성:대칭 및 비대칭 암호화 키 생성.키 저장 및 관리:안전한 키 저장소를 제공하며, 키의 수명 주기(생성, 사용, 폐기)를 관리.키 배포:암호화 키를 안전하게 배포하고 접근을 제어.키 사용:암호화, 복호화, 서명, 서명 검증 등의 작업에 키 사용.정책 관리:키에 대한 접근 권한과 정책 설정.로깅 및 모니터링:키 사용 로그 및 모니터링을 통해 보안 감사 및 컴플라이언스 준수.이점보안 강화:키를 안전하게 관리하여 데이터 보안 강화..
[Security] OWASP란 무엇인가? OWASP(Open Web Application Security Project)는 웹 애플리케이션 보안을 강화하기 위한 비영리 단체입니다. OWASP는 웹 애플리케이션 보안에 관한 지침, 도구, 문서 등을 제공하여 개발자와 보안 전문가들이 웹 애플리케이션을 안전하게 만들 수 있도록 돕고 있습니다.OWASP의 주요 목표웹 애플리케이션 보안 개선:웹 애플리케이션의 보안 취약점을 줄이고, 안전한 코딩 실천을 촉진합니다.교육과 훈련:개발자와 보안 전문가들에게 보안에 관한 교육과 훈련 자료를 제공합니다.무료 자원 제공:다양한 보안 도구, 문서, 지침을 무료로 제공하여 누구나 쉽게 접근할 수 있게 합니다.주요 활동OWASP Top 10:가장 흔하고 심각한 웹 애플리케이션 보안 취약점 10가지를 정리한 목록입니다. ..
[CORS] CORS (Cross-Origin Resource Sharing)란 무엇인가? CORS는 웹 애플리케이션이 다른 출처의 자원에 접근할 수 있도록 허용하는 보안 메커니즘입니다. 웹 보안 정책인 동일 출처 정책(Same-Origin Policy)은 브라우저가 다른 출처의 요청을 기본적으로 차단하지만, CORS는 서버가 특정 헤더를 사용하여 이 요청을 허용할 수 있게 합니다. 예를 들어, example.com에서 api.example2.com의 자원에 접근하려면, api.example2.com 서버는 응답 헤더에 Access-Control-Allow-Origin: example.com을 포함해야 합니다.CORS는 어떤 보안 위협을 대비하는 기술인가?\CORS는 주로 다음과 같은 보안 위협을 대비합니다:크로스 사이트 요청 위조 (CSRF): 악성 웹사이트가 사용자를 대신해 원치 않는 요청..
[위협 모델링] STRIDE란 무엇인가? STRIDE는 마이크로소프트에서 개발한 위협 모델링 프레임워크로, 보안 전문가들이 시스템에서 발생할 수 있는 다양한 유형의 위협을 식별하고 분석하는 데 사용됩니다. STRIDE는 각각의 영어 단어의 첫 글자를 딴 6가지 위협 요소로 구성됩니다: Spoofing (스푸핑), Tampering (변조), Repudiation (부인), Information Disclosure (정보 유출), Denial of Service (서비스 거부), Elevation of Privilege (권한 상승) 1. Spoofing (스푸핑)스푸핑은 시스템 내의 인증을 우회하여 공격자가 다른 사용자나 시스템으로 가장하는 것을 의미합니다. 주로 사용자 인증 정보(예: 사용자명과 비밀번호)를 도용하여 발생합니다.예시: 공격자가..
TLS 1.3에 대해 알아보자 TLS 1.3이란? TLS 1.3 (Transport Layer Security 1.3)은 인터넷에서 안전한 통신을 위해 사용되는 프로토콜 중 하나입니다. 이전 버전의 TLS/SSL에 비해 보안성이 향상되어 있으며, 보안 알고리즘 및 핸드쉐이크 프로세스 등이 개선되어 더욱 안전한 통신이 가능합니다. TLS 1.3은 2018년 8월에 RFC 8446으로 표준화되었습니다. 이전 버전의 TLS와 달리 더욱 간결한 디자인을 채택하여 보안성을 강화하면서도 연결 시간을 줄이는 데 주력하였습니다. TLS 1.3의 핵심적인 개선 사항으로는 다음과 같은 것들이 있습니다. 핸드쉐이크 과정 최적화: 기존의 2라운드 핸드쉐이크 과정에서 1라운드로 간소화되어 연결 시간이 크게 단축됩니다. 암호화 강화: 보안성이 더욱 강화된 새..
728x90
반응형

티스토리툴바