지크의 IT field

1. 국가별 개인정보보호 제도

1) 유럽 연합

 - 자연인의 신원이 확인되거나 가능한 것과 관련한 정보

 - 직/간접적 신원 증명하는 정보 특히 신체/생리/정신/경제/사회적 동일성에 관한 하나 혹은 그 이상을 참조하여 알 수 있는 사람

2) OECD

 - 식별되거나 식별 가능한 개인에 관한 모든 정보

3) 독일

 - 신원이 확인되거나 가능한 개인의 인적/물적 환경 일체의 정보

 - 독일연방데이터보호법 제 3조

4) 영국

 - 데이터 관리자가 보유하고 있거나 관리 가능성이 많은 데이터, 기타 정보로부터 신원 확인 가능한 생존한 사람의 관련 데이터

 - 개인에 대해 표현된 의견, 데이터 관리자의 지시 사항, 개인과 관계된 모든 타인에 관한 의견 포함

 - 데이터 보호법

5) 미국

 - 개인에 관한 정보(성명, 신분번호, 기호, 지문, 사진 등) 개인에게 배정된 식별을 위한 특기 사항

 - 미연방프라이버시법 제522조의 2

6) 캐나다

 - 신원을 확인할 수 있는 개인에 대한 정보

 - 개인정보보호와 전자문서에 관한 법 제 2조

7) 일본

 - 생존하는 개인에 관한 정보로서 당해 정보에 포함되는 성명, 생일, 기타 기술 등에 의해 특정 개인 식별이 가능한 것

 - 다른 정보와 용이하게 조합되어 식별할 수 있는 정보를 포함

 - 개인정보보호에 관한 법률 제 2조

8) 한국

 - 살아있는 개인에 관한 정보(성명, 주민등록번호, 영상)를 통해 개인 식별이 가능한 정보

 - 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함

 - 개인정보보호법

2. 해외 주요 국가에서 보호되는 개인정보의 범위

1) 독일

 - 전자/비전자 처리된 모든 개인정보를 보호 대상으로 함

2) 영국

 - 자동화 장비에 의해 처리된 개인정보, 자동화 장비로 처리할 목적으로 기록된 개인정보 모두

3) 프랑스

 - 형식에 상관없이 직/간접적으로 자연인의 신원 확인이 가능한 모든 정보를 보호

 - 전산화, 수기 기록한 모든 개인정보

 - 정보 처리 파일 및 자유에 관한 법률

4) 일본

 - <민간 : 개인정보보호에 관한 법률>

 - 개인정보 DB: 정보 집합물을 전자 계산기를 이용해 검색할 수 있도록 체계화한 것 또는 특정 개인정보 검색의 용이를 위해 체계화 한 것

 - <공공: 행정 기관 보유의 개인정보보호에 관한 법률>

 - 행정 기관이 보유하는 전산화된 개인정보 및 수기 정보

5) 미국

 - 연방 프라이버시법 중심으로 적응 대상 기관에서 보유한 개인에 관한 기록과 시스템

 - Privacy ACt: 522a

6) 캐나다

 - 물리적 형태나 특성에 관계없이 적용(전자, 수기 정보 포함)

 - 개인정보 보호 와 전자 문서

개인정보의 가치 산정

CVM(Contingent Valuation Method)

 - 사용자가 개인정보 유출 피해라는 경제적 손실 회피를 위해 통신서비스에  지불할 의사 금액 평균

 - 설문 방식의 경제 가치 산정 기법

 - CVM으로 WTA(수용 의사 금액)을 추정, 개인정보의 경제적 가치 분석 가능

 - 사고 발생 시 위자료 수준 및 분쟁 발생 시 배상 금액 판정의 기준으로 활용 가능

※개인정보 유출에 의한 경제적 가치 및 비시장 재화의 경제적 가치를 추정하는 데 사용하는 CVM을 이용한다. 이것으로 WTP(Willingness to Pay)를 산출.

개인정보 유형별 등급

1. 출제 기준

2. 개인정보의 개요

 2.1 개인정보의 정의

 2.2 개인정보의 유형 및 종류

- 식별, 식별 가능 정보로 구분

- 정보 주체로부터 받은 정보, 자동으로 생성되는 정보, 가공 및 재생산 된 정보로 분류

- 제공 정보: 회원 가입이나 서비스 등록을 위해 사업자에게 제공하는 정보

- 생성 정보: 사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관한 정보(쿠키값, 로그, 접속 정보, 검색 기록, 구매 정보 등)

- 쿠키: 개인 식별을 목적으로 사용되는 정보. 서비스 이용 과정에서 생성되는 식별 가능 정보.

SQL인젝션

1. SQL 인젝션이란?

  1) 개요

SQL인젝션은 SQL Query를 처리하는 과정에서 예상치 못한 입력 값에 의해 DBMS의 정보를 노출하고 특정 명령어 실행 등이 발생하는 취약점을 노리는 공격기법이다. 인젝션 공격 중 가장 대표적인 기법 중의 하나.

인젝션 공격은 OWASP(Open Web Application Security Project)에서 발표하는 OWASP top 10에서 항상 등장하는 단골 손님이다. 데이터베이스의 민감한 정보들을 위/변조 하거나 삭제를 하는 등, 심각한 위협이 되기 때문.

사용자는 WEB을 통해 DB를 조회하는데, 이 때 공격자가 악의적인 목적의 쿼리문을 조작하여 인가되지 않은 DB의 정보를 요청한다.

즉, 입력 받은 데이터를 이용해 구문을 완성하는 특정 페이지에서 입력값의 적절한 검증절차 없이 쿼리문에 포함되어 실행될 때 발생한다.

  2) 시스템 영향

SQL injection이 시스템에 미치는 영향은 다양하다. 대표적으로 웹 어플리케이션의 인증을 우회하여 권한 이상의 명령을 실행할 수 있게 된다. 또한 데이터베이스의 내용을 덤프하거나 조작, 파괴도 가능하다. 시스템 함수를 호출할 수도 있으며, 결과 값에 따라 시스템의 주요 파일을 노출할 수도 있다.

세미콜론(;)을 이용하여 2개 이상의 쿼리문을 동시에 실행시킬 수 있다. 또한 UNION SELECT 구문을 이용해 2개 이상의 쿼리 결과값을 합칠 수 있다.

2. 공격 원리

  1) SQL 쿼리문 동작 프로세스

아이디 / 패스워드 입력 -> SQL 쿼리문 생성 -> 데이터베이스에 쿼리문 전송 -> 데이터베이스에서 쿼리문 실행 -> 결과값 반환

그림1 - SQL 쿼리문의 동작 프로세스

  2) 공격 방법

>논리적 오류를 이용하는 방법

  - 사용자 인증 창을 통해 입력 받은 ID와 PW 문자열이 인증을 위한 SQL 쿼리문의 일부가 되는 데 이것을 악용하는 방법이다.

그림2 - 관리자 로그인 페이지에서 인증 우회 시도

위 그림이 인증 우회에서 가장 대표적인 구문이다. 이것을 서버로 전송할 때 Burp Suite로 가로챈 내용이 아래 그림이다.

그림3 - php에게 넘겨지는 값을 burp suite로 가로챈 모습

기본적으로 파라미터 값의 시작에 홑따옴표가 붙는다. 그래서 'or과 같은 형태로 or의 앞부분을 닫아주는 것이다. or연산은 둘 중 하나만 참이어도 참이기 때문에 앞에는 어떤 것이 들어와도 상관이 없다. 엉뚱한 값을 넣어도 되는 것이다. 물론 특정 아이디에 접속하고 싶을 경우에는 올바른 아이디값을 입력하고 패스워드에 위 구문을 실행시키는 형식으로 사용이 가능하다.

불특정 ID로 접속할 경우(이 경우 DB의 맨 첫 번째로 저장된 ID로 접속 된다.)

특정 ID에 패스워드 인증을 우회하는 경우

이러한 형식으로 접근이 가능하다.

물론 요즘 웹사이트를 대상으로 이 정도의 공격은 거의 대부분 막힌다고 봐야한다. 어설프게 사용했다가 쇠고랑 차지 않도록 각별히 주의해야한다.

  3) 대표적 공격 문자열

SQL Injection의 우회를 잘 정리한 글은 lena04님의 블로그에서 확인 가능 하다(링크)

글이 길어지면 가독성이 떨어지므로 여기까지만 진행하고 다음 글에서 논리적 오류를 이용한 공격 방법을 이어서 설명하도록 하겠다.

두둥! 첫 포스팅!

안녕하세요. 지크입니다! 

티스토리 가입 후 첫 포스팅을 정보처리기사로 하게 됐습니다. 2년 간 수 없이 괴롭혀왔던 정보처리기사...네 이놈... 이제는 헤어지자...

지난 10월 7일 2018년 3회 정보처리기사 실기 시험을 보고 왔습니다.

새벽 2시에 일어나 시험장 근처 24시 카페에서 밤새 마지막 공부를 했습니다. 

그 전날 까지 점수가 60점 커트라인을 벗어나지 못했기 때문에..

2017년 3회차 응시했을 때 처참하게 발렸던 기억이 있어서 2018년엔 응시할 엄두를 내지 못했습니다. 

그런데 그 1, 2회 합격률 60% 무엇...?

이번에는 반드시 합격하겠다는 마음으로 마지막 1주일 간 휴일도 반납하고 하루 14시간 씩 공부했습니다. 불안해서 살 수가 없었어...

공부는 기사퍼스트(<-링크)로 했습니다. 시나공으로 공부하는 것도 생각해봤으나 지난 필기도 두 번만에 붙고 실기도 한 번 떨어져서 뭔가 다른 곳에서 하고 싶었거든요. 그래서 구글링을 해보니 기사퍼스트가 뙇! 

인강도 꽤 잘 구성되어 있어서 좋았습니다. 본래 모든 시험은 인강 없이 보는 스타일이지만 너무 절박해서 인강 신청...! 

가격은 10만원 정도 합니다.

'이번에 떨어지면 사람도 아니다..'

벼랑 끝까지 몰아붙였더니 스트레스가 꽤 심했지만 그만큼 더 간절하게 공부했던 것 같아요.

시험지를 받았을 때 미소가 지어졌습니다. 시작부터 상당히 쉽게 출제됐거든요.

제일 문제였던 업무 프로세스 과목을 가장 쉽게  넘었습니다. 하지만 C언어가 발목을 잡을 줄이야..

문제는 일찍 풀었지만 한 다섯 번 여섯 번 가량 더 훑어본 것 같아요. 하나라도 덜 틀리자는 마음으로...!!

아래는 가답안입니다. 여러분들도 꼭 합격하시길..

※순서도는 대/소문자 구별을 하지 않으며, 답이 여러 개인 문제는 부분 점수가 있습니다.

※전산영어를 제외한 모든 문제는 조건이 없으면 한글/약어/풀네임 모두 정답입니다.

>>알고리즘(배점 25점)<<

1. 순서도(배점 12점)

 - 답: input(2), input(t+2), binary(t+1), input(j+1), gray(j+1), k=1, 4, 1(또는 k=4, 1, -1)

2. JAVA(배점 3점)

 - 답: 12

3. C언어(배점 5점)

 - 답: n-1, hist[i]

4. C언어(배점 5점)

 - 답: Next, pop()

>>데이터베이스(배점 25점)<<

1. SQL(배점 2점)

 - 답: 1

2. SQL(배점 5점)

 - 답: SELECT 학번 FROM 학생 WHERE 이름 LIKE'이%' ORDER BY 학년 DESC;

3. 릴레이션 용어(배점 12점)

 - 답: 애트리뷰트 또는 칼럼, 튜플 또는 로우(row), 도메인, NULL, 차수(Degree), 카디널리티(또는 기수, 대응수)

4. 병행제어(배점 6점)

- 답: O,X모두, O, 타임 스탬프(첫 번째 문제는 정확한 제시가 되어있지 않았기 때문에 둘 다 정답이라고 합니다.)

>>신기술(배점 25점)<<

1. 용어(배점 15점)

 - 답: 트러스트존, QKD, APT, 가용성, 킬스위치

2. 용어(배점 10점)

 - 답: MEMS, 위키노믹스, 웨버홀리즘, 컴패니언 스크린, IMT-2020

>>업무프로세스(배점 15점)<<

 - 답: EA, ERP, EAI, MOT, VOC

>>전산영어(배점 10점)<<

 - 답: VPN, VOIP, DRM

가채점 결과 72점이네요.. C언어 문제에서 부분 점수를 노려야 하는 상황입니다.

합격자 발표일은 11월 16일이네요. 다음 포스팅 때는 꼭 합격 통지서를 휘날리며 돌아올 수 있었으면 좋겠어요 ㅠ ㅠ...