아티클

컴퓨터 정보 관련 아티클을 읽어보세요

PKI와 인증서 관리

# PKI 완벽 가이드 ## 1. PKI (Public Key Infrastructure) **공개키 암호화 기반의 신뢰 체계** ``` CA (인증 기관) ↓ 서명 인증서 ↓ 포함 공개키 + 도메인 정보 ``` ## 2. 인증서 체인 ``` Root CA (신뢰 앵커) ↓ 서명 Intermediate CA ↓ 서명 Leaf Certificate (example.com) ``` ### 검증 과정 ``` 1. 브라우저가 example.com 인증서 받음 2. Intermediate CA로 서명 검증 3. Root CA로 Intermediate 검증 4. Root CA는 브라우저에 내장됨 (신뢰) ``` ## 3. 인증서 생성 ```bash # 개인키 생성 openssl genrsa -out private.key 2048 # CSR (Certificate Signing Request) 생성 openssl req -new -key private.key -out request.csr # CA가 서명 (인증서 발급) openssl x509 -req -in request.csr -CA ca.crt -CAkey ca.key -out certificate.crt ``` ## 4. Let's Encrypt ```bash # 무료 SSL 인증서 sudo certbot --nginx -d example.com # 자동 갱신 sudo certbot renew ``` ## 결론 PKI는 인터넷 보안의 핵심 인프라입니다.

웹 보안 완벽 가이드: XSS, CSRF, SQL Injection 방어

# 웹 보안 완벽 가이드 ## 1. XSS (Cross-Site Scripting) **악의적인 스크립트를 삽입하여 실행**시키는 공격입니다. ### Reflected XSS ```html  <?php $name = $_GET['name']; echo "Hello, $name!"; ?>  http://example.com?name=<script>alert(document.cookie)</script>  Hello, <script>alert(document.cookie)</script>! ``` ### Stored XSS ```javascript // 댓글 저장 const comment = "<script>steal_cookie()</script>"; db.save(comment); // 댓글 표시 (모든 사용자에게 실행됨!) document.innerHTML = db.getComments(); ``` ### DOM-based XSS ```html <script> // URL에서 값 가져오기 const name = location.hash.substring(1); document.write("Hello, " + name); // 취약! </script>  http://example.com#<img src=x onerror=alert(1)> ``` ### XSS 방어 **1. 입력 검증** ```javascript function sanitizeInput(input) { return input .replace(/</g, "<") .replace(/>/g, ">") .replace(/"/g, """) .replace(/'/g, "'") .replace(/\//g, "/"); } ``` **2. CSP (Content Security Policy)** ```html <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://trusted.com"> ``` **3. HttpOnly 쿠키** ```http Set-Cookie: sessionId=abc123; HttpOnly; Secure ``` **4. React/Vue (자동 이스케이핑)** ```jsx // ✅ 안전 (자동 이스케이프) <div>{userInput}</div> // ❌ 위험 <div dangerouslySetInnerHTML={{__html: userInput}} /> ``` ## 2. CSRF (Cross-Site Request Forgery) **사용자가 의도하지 않은 요청을 실행**시키는 공격입니다. ### 공격 시나리오 ```html  <img src="https://bank.com/transfer?to=attacker&amount=1000">  ``` ### CSRF 방어 **1. CSRF 토큰** ```html <form action="/transfer" method="POST"> <input type="hidden" name="csrf_token" value="abc123xyz"> <input name="amount" value="1000"> <button type="submit">송금</button> </form> ``` ```python # 서버 검증 if request.form['csrf_token'] != session['csrf_token']: return "Invalid CSRF token", 403 ``` **2. SameSite 쿠키** ```http Set-Cookie: sessionId=abc123; SameSite=Strict; Secure # Strict: 같은 사이트만 # Lax: GET 요청은 허용 # None: 모두 허용 (Secure 필수) ``` **3. Referer 검증** ```python referer = request.headers.get('Referer') if not referer or not referer.startswith('https://mysite.com'): return "Invalid referer", 403 ``` ## 3. SQL Injection **SQL 쿼리에 악의적인 코드를 삽입**하는 공격입니다. ### 공격 예시 ```python # ❌ 취약한 코드 username = request.form['username'] password = request.form['password'] query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}'" db.execute(query) # 공격 username: admin' -- password: anything # 실행되는 쿼리 SELECT * FROM users WHERE username='admin' -- ' AND password='anything' # → 비밀번호 체크 우회! ``` ### 심화 공격 ```sql -- Union 기반 username: ' UNION SELECT credit_card FROM payments -- -- Time-based Blind username: ' OR IF(1=1, SLEEP(5), 0) -- -- Boolean-based Blind username: ' OR 1=1 -- (True) username: ' OR 1=2 -- (False) ``` ### SQL Injection 방어 **1. Prepared Statements (가장 중요!)** ```python # ✅ 안전 cursor.execute( "SELECT * FROM users WHERE username=? AND password=?", (username, password) ) # Python cursor.execute( "SELECT * FROM users WHERE username=%s AND password=%s", (username, password) ) # Node.js db.query( 'SELECT * FROM users WHERE username=? AND password=?', [username, password] ) ``` **2. ORM 사용** ```python # SQLAlchemy user = session.query(User).filter_by( username=username, password=password ).first() # Django ORM user = User.objects.filter( username=username, password=password ).first() ``` **3. 최소 권한 원칙** ```sql -- 웹 앱용 DB 계정 GRANT SELECT, INSERT, UPDATE ON app_db.* TO 'webapp'@'localhost'; -- DROP, CREATE 권한 없음 ``` **4. 입력 검증** ```python import re def validate_username(username): # 영문자, 숫자, 언더스코어만 허용 if not re.match(r'^[a-zA-Z0-9_]+$', username): raise ValueError("Invalid username") ``` ## 4. 인증과 세션 관리 ### 안전한 비밀번호 저장 ```python import bcrypt # 해싱 (회원가입) password = "user_password" hashed = bcrypt.hashpw(password.encode(), bcrypt.gensalt()) db.save(hashed) # 검증 (로그인) input_password = request.form['password'] if bcrypt.checkpw(input_password.encode(), stored_hash): login_success() ``` ### JWT (JSON Web Token) ```python import jwt # 토큰 생성 payload = { 'user_id': 123, 'exp': datetime.utcnow() + timedelta(hours=1) } token = jwt.encode(payload, SECRET_KEY, algorithm='HS256') # 토큰 검증 try: payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256']) user_id = payload['user_id'] except jwt.ExpiredSignatureError: return "Token expired", 401 except jwt.InvalidTokenError: return "Invalid token", 401 ``` ### 세션 고정 공격 방어 ```python # 로그인 성공 시 세션 ID 재생성 old_session_id = session.session_id session.regenerate_id() db.delete_session(old_session_id) ``` ## 5. API 보안 ### Rate Limiting ```python from flask_limiter import Limiter limiter = Limiter(app, key_func=get_remote_address) @app.route('/api/login') @limiter.limit("5 per minute") def login(): # 1분에 5번만 허용 pass ``` ### API Key 관리 ```python # ❌ 코드에 하드코딩 API_KEY = "abc123xyz" # ✅ 환경 변수 import os API_KEY = os.getenv('API_KEY') # ✅ .env 파일 (gitignore) from dotenv import load_dotenv load_dotenv() API_KEY = os.getenv('API_KEY') ``` ### CORS 설정 ```python from flask_cors import CORS # ❌ 모든 출처 허용 CORS(app, origins="*") # ✅ 특정 출처만 CORS(app, origins=["https://app.example.com"]) ``` ## 6. 보안 헤더 ```python @app.after_request def set_security_headers(response): # XSS 방어 response.headers['Content-Security-Policy'] = "default-src 'self'" # 클릭재킹 방어 response.headers['X-Frame-Options'] = 'DENY' # MIME 스니핑 방지 response.headers['X-Content-Type-Options'] = 'nosniff' # XSS 필터 response.headers['X-XSS-Protection'] = '1; mode=block' # HTTPS 강제 response.headers['Strict-Transport-Security'] = 'max-age=31536000' return response ``` ## 7. 파일 업로드 보안 ```python import os from werkzeug.utils import secure_filename ALLOWED_EXTENSIONS = {'png', 'jpg', 'jpeg', 'gif'} def allowed_file(filename): return '.' in filename and \ filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS @app.route('/upload', methods=['POST']) def upload_file(): file = request.files['file'] # 확장자 검증 if not allowed_file(file.filename): return "Invalid file type", 400 # 파일명 sanitize filename = secure_filename(file.filename) # 파일 크기 제한 if len(file.read()) > 10 * 1024 * 1024: # 10MB return "File too large", 400 file.save(os.path.join(UPLOAD_FOLDER, filename)) ``` ## 8. 보안 체크리스트 **입력 검증:** - [ ] 모든 사용자 입력 검증 - [ ] Whitelist 방식 사용 - [ ] 길이 제한 **인증/인가:** - [ ] 비밀번호 해싱 (bcrypt, Argon2) - [ ] 세션 타임아웃 - [ ] 2FA (Two-Factor Authentication) **데이터베이스:** - [ ] Prepared Statements - [ ] 최소 권한 원칙 - [ ] 정기 백업 **API:** - [ ] Rate Limiting - [ ] API Key 암호화 - [ ] HTTPS 사용 **모니터링:** - [ ] 로그 수집 - [ ] 이상 탐지 - [ ] 보안 패치 업데이트 ## 결론 웹 보안은 **다층 방어**(Defense in Depth)가 핵심입니다. **핵심 원칙:** 1. **입력을 신뢰하지 마라** 2. **출력을 이스케이프하라** 3. **최소 권한 원칙** 4. **보안 업데이트** 5. **모니터링과 로깅**

암호화 알고리즘: 대칭키와 비대칭키

# 암호화 알고리즘 완벽 가이드 ## 1. 대칭키 암호화 **같은 키로 암호화/복호화** ### AES (Advanced Encryption Standard) ```python from Crypto.Cipher import AES from Crypto.Random import get_random_bytes # 암호화 key = get_random_bytes(32) # 256비트 cipher = AES.new(key, AES.MODE_GCM) plaintext = b"Secret message" ciphertext, tag = cipher.encrypt_and_digest(plaintext) # 복호화 cipher = AES.new(key, AES.MODE_GCM, nonce=cipher.nonce) decrypted = cipher.decrypt_and_verify(ciphertext, tag) ``` ### AES 모드 **ECB (Electronic Codebook) - 사용 금지!** ``` 같은 평문 → 같은 암호문 패턴 노출 위험 ``` **CBC (Cipher Block Chaining)** ``` 이전 블록과 XOR IV (Initialization Vector) 필요 ``` **GCM (Galois/Counter Mode) - 권장** ``` 암호화 + 무결성 검증 병렬 처리 가능 ``` ## 2. 비대칭키 암호화 **공개키로 암호화, 개인키로 복호화** ### RSA ```python from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_OAEP # 키 생성 key = RSA.generate(2048) private_key = key.export_key() public_key = key.publickey().export_key() # 암호화 (공개키) cipher = PKCS1_OAEP.new(RSA.import_key(public_key)) ciphertext = cipher.encrypt(b"Secret") # 복호화 (개인키) cipher = PKCS1_OAEP.new(RSA.import_key(private_key)) plaintext = cipher.decrypt(ciphertext) ``` ### 하이브리드 암호화 ```python # 1. AES 키 생성 (대칭키) aes_key = get_random_bytes(32) # 2. 데이터를 AES로 암호화 cipher = AES.new(aes_key, AES.MODE_GCM) encrypted_data = cipher.encrypt(large_data) # 3. AES 키를 RSA로 암호화 rsa_cipher = PKCS1_OAEP.new(public_key) encrypted_aes_key = rsa_cipher.encrypt(aes_key) # 전송: encrypted_data + encrypted_aes_key ``` ## 3. 해시 함수 ### SHA-256 ```python import hashlib data = b"Hello, World!" hash_value = hashlib.sha256(data).hexdigest() print(hash_value) # a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e ``` ### 비밀번호 해싱 (bcrypt) ```python import bcrypt # 해싱 password = b"user_password" salt = bcrypt.gensalt(rounds=12) # Cost factor hashed = bcrypt.hashpw(password, salt) # 검증 if bcrypt.checkpw(password, hashed): print("Password match") ``` ## 4. 디지털 서명 ```python from Crypto.Signature import pkcs1_15 from Crypto.Hash import SHA256 # 서명 생성 message = b"Important document" hash_obj = SHA256.new(message) signature = pkcs1_15.new(private_key).sign(hash_obj) # 서명 검증 try: pkcs1_15.new(public_key).verify(hash_obj, signature) print("Signature is valid") except (ValueError, TypeError): print("Signature is invalid") ``` ## 결론 **암호화 선택 가이드:** - 데이터 암호화: AES-GCM - 키 교환: RSA, ECDH - 비밀번호: bcrypt, Argon2 - 무결성: HMAC, SHA-256

인증과 인가: OAuth 2.0과 JWT

# 인증과 인가 완벽 가이드 ## 1. 인증 vs 인가 **인증 (Authentication):** 너는 누구니? **인가 (Authorization):** 무엇을 할 수 있니? ## 2. OAuth 2.0 ### Authorization Code Flow ``` 1. 사용자 → 클라이언트: 구글 로그인 클릭 2. 클라이언트 → 구글: 인증 요청 3. 사용자 → 구글: 로그인 + 권한 승인 4. 구글 → 클라이언트: Authorization Code 5. 클라이언트 → 구글: Code + Client Secret 6. 구글 → 클라이언트: Access Token 7. 클라이언트 → API: Access Token으로 요청 ``` ### 구현 ```python from flask import redirect, request import requests CLIENT_ID = 'your_client_id' CLIENT_SECRET = 'your_client_secret' REDIRECT_URI = 'http://localhost:5000/callback' @app.route('/login') def login(): return redirect( f'https://accounts.google.com/o/oauth2/v2/auth?' f'client_id={CLIENT_ID}&' f'redirect_uri={REDIRECT_URI}&' f'response_type=code&' f'scope=openid email profile' ) @app.route('/callback') def callback(): code = request.args.get('code') # Access Token 요청 response = requests.post('https://oauth2.googleapis.com/token', data={ 'code': code, 'client_id': CLIENT_ID, 'client_secret': CLIENT_SECRET, 'redirect_uri': REDIRECT_URI, 'grant_type': 'authorization_code' }) access_token = response.json()['access_token'] # 사용자 정보 요청 user_info = requests.get( 'https://www.googleapis.com/oauth2/v1/userinfo', headers={'Authorization': f'Bearer {access_token}'} ).json() return f"Welcome, {user_info['email']}!" ``` ## 3. JWT (JSON Web Token) ### 구조 ``` Header.Payload.Signature Header: {"alg": "HS256", "typ": "JWT"} Payload: {"user_id": 123, "exp": 1234567890} Signature: HMACSHA256(base64(Header) + "." + base64(Payload), secret) ``` ### 구현 ```python import jwt from datetime import datetime, timedelta SECRET_KEY = 'your-secret-key' # 토큰 생성 def create_token(user_id): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(hours=24) } return jwt.encode(payload, SECRET_KEY, algorithm='HS256') # 토큰 검증 def verify_token(token): try: payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256']) return payload['user_id'] except jwt.ExpiredSignatureError: return None # 만료됨 except jwt.InvalidTokenError: return None # 유효하지 않음 ``` ## 4. Refresh Token ```python @app.route('/login', methods=['POST']) def login(): # 인증 성공 access_token = create_token(user_id, expires_in=15*60) # 15분 refresh_token = create_refresh_token(user_id, expires_in=30*24*60*60) # 30일 return { 'access_token': access_token, 'refresh_token': refresh_token } @app.route('/refresh', methods=['POST']) def refresh(): refresh_token = request.json['refresh_token'] user_id = verify_refresh_token(refresh_token) if user_id: new_access_token = create_token(user_id) return {'access_token': new_access_token} else: return {'error': 'Invalid refresh token'}, 401 ``` ## 결론 **인증 방식 선택:** - 세션 기반: 전통적, 서버 상태 관리 - JWT: Stateless, 분산 시스템 적합 - OAuth 2.0: 소셜 로그인, 제3자 인증

네트워크 보안: 방화벽과 VPN

# 네트워크 보안 완벽 가이드 ## 1. 방화벽 ### Packet Filtering ```bash # iptables sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH 허용 sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP 허용 sudo iptables -A INPUT -j DROP # 나머지 차단 ``` ### Stateful Inspection ``` 연결 상태 추적: - NEW: 새 연결 - ESTABLISHED: 기존 연결 - RELATED: 관련 연결 sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` ## 2. VPN ### OpenVPN 설정 ```bash # 서버 설정 sudo apt install openvpn sudo openvpn --config server.conf # 클라이언트 연결 sudo openvpn --config client.ovpn ``` ### WireGuard (현대적 VPN) ```bash # 서버 wg-quick up wg0 # 설정 [Interface] PrivateKey = <server_private_key> Address = 10.0.0.1/24 ListenPort = 51820 [Peer] PublicKey = <client_public_key> AllowedIPs = 10.0.0.2/32 ``` ## 3. IDS/IPS ### Snort (IDS) ```bash # 패킷 분석 sudo snort -A console -q -c /etc/snort/snort.conf -i eth0 # 규칙 alert tcp any any -> any 80 (msg:"HTTP GET"; content:"GET"; sid:1000001;) ``` ## 결론 네트워크 보안은 다층 방어가 핵심입니다. **핵심:** - 방화벽: 첫 번째 방어선 - VPN: 안전한 터널 - IDS/IPS: 침입 탐지/차단

PKI와 인증서 관리

# PKI 완벽 가이드 ## 1. PKI (Public Key Infrastructure) **공개키 암호화를 위한 인프라** ``` CA (Certificate Authority) ↓ 발급 인증서 ↓ 포함 공개키 + 신원 정보 + CA 서명 ``` ## 2. 인증서 구조 ``` 버전: V3 일련번호: 123456 서명 알고리즘: RSA-SHA256 발급자: CN=Let's Encrypt 유효기간: 2024-01-01 ~ 2024-12-31 주체: CN=example.com 공개키: MIIBIjANBgkqhkiG9w0... 확장: - Subject Alternative Names: example.com, www.example.com - Key Usage: Digital Signature, Key Encipherment CA 서명: (RSA 서명) ``` ## 3. 인증서 체인 ``` Root CA (자체 서명) ↓ Intermediate CA ↓ Server Certificate (example.com) ``` ### 검증 과정 ``` 1. Server Certificate의 서명을 Intermediate CA 공개키로 검증 2. Intermediate CA의 서명을 Root CA 공개키로 검증 3. Root CA는 신뢰할 수 있는 CA 목록에 있는지 확인 ``` ## 4. Let's Encrypt ```bash # Certbot 설치 sudo apt install certbot python3-certbot-nginx # 인증서 발급 sudo certbot --nginx -d example.com -d www.example.com # 자동 갱신 sudo certbot renew --dry-run # Cron job 0 0 * * * certbot renew --quiet ``` ## 5. 인증서 생성 (OpenSSL) ```bash # 개인키 생성 openssl genrsa -out private.key 2048 # CSR (Certificate Signing Request) 생성 openssl req -new -key private.key -out request.csr # 자체 서명 인증서 (개발용) openssl x509 -req -days 365 -in request.csr \ -signkey private.key -out certificate.crt # 인증서 확인 openssl x509 -in certificate.crt -text -noout ``` ## 6. mTLS (Mutual TLS) **클라이언트도 인증서 제시** ```nginx server { listen 443 ssl; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; # 클라이언트 인증서 요구 ssl_client_certificate /path/to/ca.crt; ssl_verify_client on; } ``` ## 결론 PKI는 인터넷 보안의 기반입니다. **핵심:** - CA: 신뢰할 수 있는 제3자 - 인증서 체인: 신뢰 전파 - Let's Encrypt: 무료 인증서

네트워크 보안: 방화벽과 VPN

# 네트워크 보안 완벽 가이드 ## 1. 방화벽 ### Packet Filtering ```bash # iptables (Linux) # 포트 22 (SSH) 허용 sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 포트 80, 443 (HTTP/HTTPS) 허용 sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 나머지 차단 sudo iptables -P INPUT DROP # 규칙 확인 sudo iptables -L -n ``` ### Stateful Firewall ```bash # 기존 연결 허용 sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 새 연결은 특정 포트만 sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT ``` ## 2. VPN (Virtual Private Network) ### OpenVPN 설정 ```bash # 서버 설정 port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh2048.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" # 클라이언트 설정 client dev tun proto udp remote vpn.example.com 1194 ca ca.crt cert client.crt key client.key ``` ### WireGuard ```ini # 서버 [Interface] PrivateKey = server_private_key Address = 10.0.0.1/24 ListenPort = 51820 [Peer] PublicKey = client_public_key AllowedIPs = 10.0.0.2/32 # 클라이언트 [Interface] PrivateKey = client_private_key Address = 10.0.0.2/24 [Peer] PublicKey = server_public_key Endpoint = vpn.example.com:51820 AllowedIPs = 0.0.0.0/0 ``` ## 3. IDS/IPS ### Snort 규칙 ``` # SQL Injection 탐지 alert tcp any any -> any 80 (msg:"SQL Injection"; content:"UNION"; content:"SELECT"; sid:1000001;) # Port Scan 탐지 alert tcp any any -> any any (msg:"Port Scan"; flags:S; threshold:type both, track by_src, count 20, seconds 60; sid:1000002;) ``` ## 4. DDoS 방어 ### SYN Flood 방어 ```bash # SYN Cookies sudo sysctl -w net.ipv4.tcp_syncookies=1 # SYN Queue 크기 sudo sysctl -w net.ipv4.tcp_max_syn_backlog=4096 # Rate Limiting sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute -j ACCEPT ``` ## 5. Zero Trust **"신뢰하지 말고, 항상 검증하라"** ``` 기존: 내부 네트워크 = 신뢰 Zero Trust: 모든 접근 검증 - 사용자 인증 - 디바이스 검증 - 최소 권한 - 마이크로 세그멘테이션 ``` ## 결론 네트워크 보안은 **다층 방어**가 핵심입니다. **핵심:** - 방화벽: 첫 방어선 - VPN: 안전한 터널 - IDS/IPS: 공격 탐지/차단 - Zero Trust: 모든 접근 검증