■ 입력데이터 검증 및 표현 프로그램 입력 값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정, 일관되지 않은 언어셋 사용 등으로 인해 발생되는 보안약점으로 SQL 삽입, 크로스사이트 스크립트(XSS) 등의 공격을 유발할 수 있다. SQL 삽입 ■ 개요 데이터베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안취약점을 말한다. 취약한 웹 응용프로그램에서는 사용자로부터 입력된 값을 검증 없이 넘겨받아 동적쿼리(Dynamic Query)를 생성하기 때문에 개발자가 의도하지 않은 쿼리가 실행되어 정보유출에 악용될 수 있다. Python에서는 데..
공격자의 초점이 지속적으로 애플리케이션 계층을 향해 이동함에 따라 소프트웨어 자원보호가 중요해졌다. 최근 발생되는 인터넷상 공격시도의 약 75%는 소프트웨어보안취약점을 악용하는 것으로, 특히 외부에 공개되어 불특정다수를 대상으로 사용자 정보를 처리하는 웹 애플리케이션의 취약점으로 인해 중요정보가 유출되는 침해사고가 빈번하게 발생되고 있다. 보안강화를 위해 구축해놓은 침입차단시스템과 같은 보안장비로 응용프로그램 취약점에 대한 공격을 완벽히 방어하는 것은 불가능하다. 소프트웨어의 개발보안 미적용으로 제품 출시 때 수정 시 설계 단계보다 30배, 구현 단계 보다 20배가 넘는 수정비용이 필요 한 걸로 조사되었다. 국내의 경우, 2009년부터 전자정부서비스 개발단계에서 소프트웨어 보안약점을 진단하여 제거하는 소..
블록체인 관련 용어 ■ 자기 주권 신원 self-sovereign identity 기존 신원 확인 방식과 달리 분산 네트워크 기술을 활용하여 중앙 시스템에 의해 통제되지 않으며 개개인이 자신의 정보에 완전한 통제권을 갖도록 하는 기술 ■ 재전송 공격 replay attack 이전에 전송된 유효한 메시지를 다시 사용하는 공격 ■ 전자 서명 digital signature 서명자를 확인하고 서명자가 해당 전자 문서1)에 서명을 하였음을 나타내는데 이용하기 위하여 해당 전자 문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보. 전자 서명의 생성과 검증을 위해 각각 서명자가 가진 개인키와 해당 개인키에 대응하는 공개키를 사용함으로써, 서명자의 확인과 부인 방지가 가능하다. ■ 중간자 공격 man-in-the..
블록체인 관련 용어 ■ 블록체인 오라클 blockchain oracle 블록체인 시스템 외부에서 생성된 데이터를 이용하여 블록체인에 정보를 제공하는 서비스 ■ 블록체인 SW 플랫폼 blockchain software platform 블록체인 노드가 블록체인 시스템에 참여할 수 있도록 제공되는 프로세스, 저장소, 통신 기능의 집합 ■ 비잔틴 장애 허용 BFT, Byzantine Fault Tolerance 분산 환경에서 비잔틴 장애(단순 장애뿐만 아니라 담합, 거짓 응답 등 프로토콜의 규칙을 의도적으로 위반하는 행위)가 발생해도 정상적으로 합의를 도출할 수 있는 성질. 단, 전체 분산 개체 중 1/3 이상의 비잔틴 장애를 허용하는 프로토콜은 존재할 수 없다는 것이 증명되었다. ■ 비허가형 블록체인 perm..
블록체인 관련 용어 ■ 개인키 private key 공개키 암호 체계(public key cryptosystem)에서 각 사용자가 독립적으로 소유한 암호키의 하나로, 체계의 다른 사용자에게 공개하지 않고 비밀로 관리하여 사용하는 키. 개인키는 전자 서명 생성과 같이 개인키를 소유한 사용자임을 증명해야 하는 암호학적인 작업을 위해 사용된다. ■ 개체 entity 정보ㆍ통신 기술 시스템 내부 또는 외부의 사람, 기관, 기기, 프로세스 또는 이들의 집합 ■ 계정 account 시스템에 등록된 개체를 관리할 수 있는 식별자. 블록체인 솔루션에서 계정은 블록체인 노드(blockchain node), 서비스 제공자(service provider), 최종 사용자(end-user), 기기(device), 프로세스(pr..
블록체인의 기술적 특성 - 1 블록체인이란? ■ 블록체인 블록체인은 네트워크 내의 참여 개체가 공동으로 정보 및 가치의 이동을 기록·검증·보관·실행함으로써 중개자 없이도 데이터의 신뢰성 확보를 가능하게 하는 기술 jjanglabi.tistory.com 블록체인 구성 ■ 블록체인 아키텍처 일반적인 블록체인 아키텍처는 블록체인 SW 플랫폼, 블록체인 시스템, 블록체인 솔루션으로 구성되며, 이를 도식화하면 다음과 같다. 블록체인 SW 플랫폼은 각 블록체인 노드에 탑재되어 블록체인 노드가 블록체인 시스템에 참여할 수 있도록 제공되는 프로세스(암호 기능, 트랜잭션 관리, 스마트 컨트랙트, 탈중앙화 애플리케이션 등), 저장소(안전한 저장소, 원장 관리 등), 통신 기능(P2P/통신 프로토콜, 합의 프로토콜, 애플리..
블록체인이란? ■ 블록체인 블록체인은 네트워크 내의 참여 개체가 공동으로 정보 및 가치의 이동을 기록·검증·보관·실행함으로써 중개자 없이도 데이터의 신뢰성 확보를 가능하게 하는 기술이다. 블록체인은 참여 개체 모두 거래 내역 볼 수 있는 투명성, 한 번 연결된 블록은 수정하거나 삭제하기 어려운 불변성 등의 기술적 특성을 보유하고 있다. 기술적으로 정의하자면, 블록체인은 네트워크에 분산된 개체들이 합의 프로토콜을 통해 합의된 블록을 암호학적 해시 함수를 이용하여 덧붙이기만 가능하도록 차례로 연결한 분산 원장이다. 일반적으로 블록체인은 암호학적 해시 함수와 전자 서명 등의 암호기술을 이용하여 구현된다. ■ 블록체인의 특징 탈중앙화 decentralization 블록체인 네트워크 참여 개체 간의 분산ㆍ협업으로..
블로그를 시작한 지 4달 가까이 되는 시점입니다. 11월부터 꾸준히 포스팅을 하고 있지만, SEO에 맞는 글이라던지, 키워드라던지, 주제 선정의 문제라던지, 양질의 글을 쓰고 있지 않다던지 모종의 이유가 있겠죠. 결국, 글을 400개 정도 작성했으나, 아직도 평균 수익은 하루에 1달러도 아닌 0.02~0.05 달러 이런 수치로 나오고 있습니다. 1달러는 가뭄에 콩 나오듯 가끔씩... 1~2년 정도의 기간을 잡고 열심히 하려 했으나, 처참한 수익으로 진이 빠져서 원인 분석 및 문제 해결도 해보고 다른 블로거들의 의견도 같이 공유해보고자 작성합니다. 4개월간 운영한 블로그 상태 블로그를 시작한 11월부터, 글을 작성하고 있는 현재 2월 중순까지 방문자 수는 사실 계속 우상향 중입니다. 하지만, 문제가 있습니..