Feccle 의 IT자료 모음

Ⅰ. Certificate Transparency(CT) 이란? SSL/TLS 인증서의 발급 과정을 감시하고 투명성을 보장하기 위한 공개 로깅 시스템입니다. 인증서가 발급되거나 사용되기 전에 이를 기록한 공개 로그 서버를 통해 인증서의 무결성을 검증하고, 불법적으로 발급된 인증서를 탐지할 수 있도록 도와줍니다. Ⅱ. Certificate Transparency(CT) 주요 목적 ⅰ. 불법 인증서 발급 방지    : 신뢰할 수 없는 CA(Certificate Authority)가 허위 인증서를 발급하더라도 이를 투명하게 기록하여 탐지 가능.  ⅱ. 발급 프로세스 투명화    : 인증서가 공개 로그에 기록되므로 발급 내역을 누구나 검증 가능.  ⅲ. 중간자 공격 방어    : 위조된 인증서 사용을 감지하여 ..

Ⅰ. HSTS(HTTP Strict Transport Security) 란?웹사이트가 브라우저와의 모든 통신에서 HTTPS를 강제하도록 설정하는 웹 보안 정책 메커니즘입니다. HSTS는 HTTP 요청이 발생하지 않도록 제한하며, HTTPS 프로토콜을 통해 암호화된 통신을 보장하여 중간자 공격(MITM)이나 SSL Stripping 공격과 같은 위협으로부터 사용자를 보호합니다.  중간자 공격(MITM) : 공격자가 사용자와 서버 간의 통신을 몰래 가로채거나 조작하는 공격 방식SSL Stripping 공격 : HTTPS 연결을 HTTP로 다운그레이드하여 보안 연결을 무력화하는 중간자 공격의 한 유형Ⅱ.  HSTS(HTTP Strict Transport Security) 주요 목적 ⅰ. 강제 HTTPS 사용 ..

Ⅰ. HPKP(HTTP Public Key Pinning) 이란? 웹사이트가 인증서 체인에 포함된 특정 공개 키(public key)를 브라우저에 미리 알려주는 보안 메커니즘입니다. 이를 통해 브라우저는 연결 시 서버가 제공하는 인증서가 사전에 지정된 공개 키와 일치하는지 확인할 수 있습니다. HPKP는 인증서 위조 공격이나 신뢰할 수 없는 CA(Certificate Authority)에서 발급된 인증서로 인한 피해를 방지하기 위해 설계되었습니다. Ⅱ. HPKP(HTTP Public Key Pinning) 주요 목적 ⅰ. 인증서 위조 방지    : 공격자가 허위 인증서를 생성해 사용자의 데이터를 탈취하는 것을 방지.  ⅱ. 강화된 보안    : 서버에서 허용하는 공개 키를 미리 브라우저에 알려줌으로써, ..

Ⅰ. 워터링 홀(Watering Hole) 공격이란? 사이버 공격 기술 중 하나로, 특정 그룹이나 조직이 자주 방문하는 웹사이트를 감염시켜 악성코드를 배포하는 공격 방식입니다. 이 이름은 야생 동물들이 물을 마시러 가는 "물웅덩이"를 매복하는 포식자의 전략에서 유래했습니다. 공격자는 피해자가 주로 활동하는 영역을 미리 파악하고, 그들이 "스스로 찾아오도록" 만드는 간접적인 방법을 사용합니다. Ⅱ. 워터링 홀(Watering Hole) 공격의 작동 원리 ⅰ) 타겟 선정공격자는 특정 조직(기업, 정부 기관, 연구소 등) 또는 특정 사용자를 표적으로 삼습니다. 대상이 자주 방문하는 웹사이트, 특히 신뢰할 수 있는 웹사이트를 조사합니다.  ⅱ) 웹사이트 침해타겟 그룹이 자주 방문하는 웹사이트를 해킹하여 악성코드..

Ⅰ. Software Development Life Cycle (SDLC)란? 소프트웨어 개발의 효율성과 품질을 높이기 위해 체계적으로 설계된 프로세스입니다. SDLC는 소프트웨어 개발 프로젝트를 관리하고, 요구사항 수집에서 배포 및 유지보수에 이르기까지 모든 단계를 포괄합니다. Ⅱ. Software Development Life Cycle (SDLC) 목적 ⅰ. 품질 보장: 고품질 소프트웨어를 적시에 제공.  ⅱ. 비용 효율성: 불필요한 작업과 리소스 낭비 방지.  ⅲ. 시간 관리: 프로젝트 일정과 리소스를 효율적으로 관리.  ⅳ. 위험 최소화: 프로젝트 위험을 예측하고 예방. Ⅲ. Software Development Life Cycle (SDLC) 주요 7 단계No단계명목표활동결과물1요구사항 분석(..

Ⅰ. CI/CD(Continuous Integration/Continuous Deployment) 란? 소프트웨어 개발과 배포 과정을 자동화하고 효율화하는 방법론입니다. 이 방법론은 소프트웨어 개발 주기를 단축하고, 품질을 향상시키며, 배포 과정을 안정적으로 만드는 데 중점을 둡니다. CI/CD는 지속적 통합(Continuous Integration, CI)과 지속적 배포(Continuous Deployment, CD)로 구성되어 있습니다.ⅰ. 지속적 통합 (Continuous Integration, CI) 지속적 통합(CI)은 개발자들이 코드 변경 사항을 자주, 그리고 정기적으로 중앙 저장소에 통합하는 개발 관행입니다. CI의 주요 목표는 코드 변경 사항을 자주 병합하고, 자동화된 빌드와 테스트를 통해..

Ⅰ. robots.txt 란? 웹사이트 소유자가 검색 엔진 크롤러(봇)에게 특정 웹 페이지를 크롤링하거나 특정 웹 페이지를 크롤링 하지 않도록 설정하기 위해 사용하는 텍스트 파일입니다. robots.txt 파일은 웹사이트의 루트 디렉터리에 위치하며, 검색 엔진은 일반적으로 이 파일을 읽고 해당 사이트에서 크롤링 가능한 영역과 금지된 영역을 결정하는 역할을 합니다. Ⅱ. robots.txt 구성 요소ⅰ. User-agent: 특정 검색 엔진 크롤러를 지정합니다. 예: Googlebot, Bingbot ⅱ. Disallow/Allow: 크롤링을 허용하거나 금지할 경로를 지정합니다. ⅲ. Sitemap: 사이트맵의 위치를 검색 엔진에 알림. ⅳ. 파일 위치: 항상 웹사이트의 루트 디렉터리 Ⅲ. robots.t..

Ⅰ. DNS 캐시 (DNS Cache)란? 도메인 이름을 IP 주소로 변환하는 과정(DNS 조회)을 효율적으로 수행하기 위해 조회 결과를 로컬에 저장하는 메커니즘입니다. 이는 DNS 서버와 클라이언트(사용자 디바이스) 모두에서 구현되며, 인터넷 사용 속도를 높이고 네트워크 트래픽을 줄이는 데 중요한 역할을 합니다. Ⅱ. DNS 캐시 (DNS Cache) 원리 ⅰ. DNS 조회 과정    1) 사용자가 A(www.test.com)사이트에 접속합니다.   2) 브라우저는 로컬 DNS 캐시를 확인하여 이전에 조회한 결과가 있는지 찾습니다.    3) 캐시에 결과가 없으면 네트워크 상의 DNS 서버에 요청을 보냅니다.    4) 응답받은 IP 주소를 DNS 캐시에 저장합니다.  ⅱ. 캐시 데이터 캐시에 저장된 ..

Ⅰ. DNSSEC (Domain Name System Security Extensions) 이란? 도메인 네임 시스템(DNS)에 보안 확장을 제공하기 위한 프로토콜입니다. DNS 자체는 설계상 안전하지 않으며, 인증 및 데이터 무결성 검증 기능이 없어서 DNS정보의 위-변조가 가능하다는 문제가 있습니다. DNSSEC는 이를 보완하여 DNS 데이터의 무결성과 출처를 확인할 수 있도록 설계되었습니다. Ⅱ. DNS (Domain Name System) 문제점DNS는 인터넷 사용자가 웹사이트 도메인을 IP 주소로 변환하도록 설계되었습니다. Ex) www.tistory.com 이라는 도메인을 192.168.1.1 로 변환ⅰ. 데이터 위변조    : DNS 응답을 가로채거나 위조하여 사용자를 악성 사이트로 리디렉션..

Ⅰ. HA(High Availability) 구성이란?High Availability(HA)는 시스템, 애플리케이션, 또는 서비스가 장애 발생 시에도 지속적으로 작동할 수 있도록 설계하는 것을 말합니다. 이는 다운타임을 최소화하고 서비스의 연속성을 보장하는 것을 목표로 합니다. HA 구성은 데이터 동기화 외에도 서버, 네트워크, 애플리케이션, 장애 복구 메커니즘이 통합적으로 작동해야 완전한 시스템 가용성을 보장합니다. Ⅱ.  HA(High Availability) 핵심 구성요소ⅰ. 다중 서버/노드 구성  1) 액티브(Active) - 액티브(Active)      : 모든 서버가 동시에 작동하며 부하를 분산함. 하나의 서버가 장애가 나도 다른 서버가 즉시 처리.  2) 액티브(Active) - 패시브(P..