20250923 인증 강화 알고리즘

보안을 강화하기 위한 인증 강화 알고리즘에 대한 수업을 해주셨다.

 

인증 강화 알고리즘

1. 세션 하이재킹 방지

세션(Session)은 사용자가 로그인한 후 서버가 사용자를 식별하기 위해 발급하는 일종의 "임시 인증 토큰"이다.

세션 하이재킹은 공격자가 사용자의 세션을 탈취해서 사용자인 것처럼 행동하는 공격이다.

 

방지 방법

방지 방법으로는 세션 ID뿐 아니라 요청 환경 정보를 함께 검증해서 세션 하이재킹 위험을 줄일 수 있다.

* 다른 정보 (header, ip...) 추가 확인

 

2. Brute Force 공격 방지

Brute Force(부르트 포스) 공격이란 말 그대로 무작정 힘으로 찾아내는 공격이다.

주로 로그인 화면에서 시도되고 공격자가 가능한 모든 조합을 하나씩 시도해서 정답을 찾아내는 방식이다.

 

방지 방법

인증 시도 횟수에 제한을 두어서 방지할 수 있다. 그러므로 로그인 시도 제한을 꼭 걸어야 한다.

 

3. 패스워드 강화

공격자들의 Brute Force, 사전, 유출된 비밀번호 목록 등을 활용해서 쉽게 계정을 탈취할 수 있기 때문에

패스워드를 강화해야 한다.

 

패턴 확인, 암호화 저장, 암호화 전송

 

4. 암호화 전송 (HTTPS 사용)

출처 : https://openeg.tistory.com/403

 

암호화 알고리즘은 크게 2가지, 복호화 가능 알고리즘과 불가능 알고리즘이 있다.

복호화 가능 알고리즘에는 다시 2가지 대칭키와 비대칭키 알고리즘이 있다.

대칭키 암호화 알고리즘

한 개의 키를 사용해서 데이터를 암호화와 복호화하는 방식이다.

즉, 같은 키로 암호화하고 복호화하기 때문에 대칭키라고 부른다.

 

평문 ---[암호화 키]---> 암호문
암호문 ---[같은 키]---> 평문

 

비대칭키 암호화 알고리즘

서로 다른 두 개의 키를 사용해서 데이터를 암호화하고 복호화하는 방식이다.

키 종류에는 2가지가 있는데 공개키와 개인키가 있다.

공개키는 누구나 알 수 있고 암호화 용도이다. 개인키는 소유자만 알고 있고 복호화 용도로 쓰인다.

 

송신자 → 공개키로 암호화 → 수신자만 개인키로 복호화 → 기밀 데이터 보호

위의 경우 데이터 기밀성을 확보할 수 있다. 누가 암호화하고 누가 복호화하느냐가 핵심이다.

 

비대칭키 서명

송신자 → 개인키로 데이터 서명 → 수신자 공개키로 서명 검증 → 송신자 인증 + 데이터 변조 여부 확인

개인키는 서명자만 가지고 있어서 누구나 공개키로 확인 가능하다.

 

데이터 무결성 + 인증 확보를 위해 쓰인다.

 

전자 문서 인증에 쓰인다.

 

위의 알고리즘이 사용되는 예시 그림

출처 : https://velog.io/@ektmf4411/HTTPS-SSL