본문 바로가기
[아이티쓸잡] IT에 쓸만한 잡학사전/보안

[아이티쓸잡] 보안#4

by 제로썬 2023. 3. 29.

안녕하세요! 보안코치 제로썬이에요 :)

 

[아이티쓸잡]IT에 쓸만한 잡학사전에서는 다양한 IT 전문용어 등을 요약해서 설명하는 페이지입니다!!

 

자~~~~반복해서 익숙해질 때까지 계속 보고 이해 해보아요~~

 

 

 

07. 스테가노그래피(Steganography)

08. 디지털 워터마킹(Digital Watermarking)

09. 보안카드

10. OTP(One Time Password)

 

07. 스테가노그래피(Steganography)

스테가노그래피(Steganography) : 실제로 전달하고자 하는 정보 자체를 숨기는 것을 말하며 덮다’는 뜻의 그리스어‘스테가노스(Steganos)’와 ‘쓰다’라는 뜻의 그라페인 (grapein)이 합쳐진 말이다.

전달하려는 기밀 정보를 이미지 파일이나 MP3파일 등에 암호화해 숨기는 심층 암호 기술으로 스테가노그래피는 정보은닉(information hiding) 기법이라고 하며 임의의 커버이미지에 숨겨 전송한다.

스테가노그래피 과정

스테가노그래피를 하기 위해서 "Openstego"라는 오픈 소프트웨어(무료)이며 스테가노그래피를 하기 위한 도구로 JAVA 설치 필요하다.

출처 : openstego 홈페이지

OpenStego 두 가지 기능

  1) 데이터 숨기기 : 표지 파일(: 이미지)내의 모든 데이터를 숨길 수 있음

  2) 워터 마킹(베타) : 보이지 않는 서명이 있는 파일(:이미지) 워터 마킹(권한이 없는 파일 복사 감지 하는데 사용)

 

OpenStego 정보 숨기기(Hide Data)를 하기 위한 사용방법은 아래와 같다.

Hide Data(정보 숨기기), 출처 : OpenStego

 1) Message File : 숨기려는 파일 선택

 2) Cover File : 그림 파일 지정(메시지 파일과 결합을 위한 파일)

 3) Output Stego File : 스테가노그래피 파일 (메시지 결합된 은닉 파일) 지정

 4) Options

    4-1) Encryption Algorithm : AES128, AES256, DES -> 암호화 하기 위한 알고리즘 선택

    4-2) Password / Confirm Password 스테가노그래피 파일 비밀번호 / 비밀번호 확인

 

 

OpenStego 정보 추출(Extract Data)를 하기 위한 사용방법은 아래와 같다.

Extract Data(정보 추출), 출처 : OpenStego

 1) Input StegoFile : 스테가노그래피 파일 지정

 2) Output Folder for Message File : 정보를 추출하기 위한 파일 위치 지정

 3) Password : 스테가노그래피 파일 설정 시 비밀번호 입

 

OpenStego의 기능을 살펴봤고, 실패 어떻게 보여지는지 보기전에 다시 한번 스테가노그래피가 무엇인지 정의를 보자.

  • 스테가노그래피(Steganography) : 실제로 전달하고자 하는 정보 자체를 숨기는 것
  • 비밀.txt나무.jpg 파일 안에 숨기기 위해 스테가노그래피 하는 과정을 본다.

비밀(텍스트)와 나무(이미지) 스테가노그래피 전 화면

 

Hide Data(정보 숨기기) 설정하기, 출처 : OpenStego

OpenStego에 있는 Hide Data(정보 숨기기)를 통해 비밀.txt(텍스트) 정보를 나무.jpg(이미지)에 숨겨 보도록 한다.

비밀(텍스트)와 나무(이미지) 스테가노그래피 후 화면-1
비밀(텍스트)와 나무(이미지) 스테가노그래피 후 화면-2

비밀(텍스트)와 나무(이미지) 스테가노그래피 전 화면과 스테가노그래피 후 화면-2 이미지 사진을 봤을 때 텍스트 파일과 이미지 파일이 합쳐 있다는것을 알 수 있을까?? 없을 것이다. 육안으로는 절대 알 수 가 없다. 이것이 스테가노그래피이다.

그러면 다시 정보를 추출해서 합쳐진 정보를 분리 해보자.

Extract Data(정보 추출) 하기, 출처 : OpenStego

정보 추출 성공이 되면 아래와 같은 결과를 볼 수 있다.

정보 추출 성공 후 비밀(텍스트) 파일 확인

정말 파일이 합쳐진건지 확인하기 위해서 파일 속성(사이즈)를 보자.

파일 사이즈 비교

눈치 채신분들이 계실 것이다. 그렇다. jpg와 png 당연히 이미지 파일 사이즈가 다르다..... 만약 텍스트 파일이 이미지 파일과 합친다면 당연히 파일 사이즈가 커지겠지만 애초에 jpg와 png 이미지 파일 사이즈로는 비교하기 어려웠는데 이유는 openstego는 png만 변환되더라.... 당시 실습할 때 jpg로 했기 때문에 다시하기엔 귀찮..지 않지만 일단 패스....

궁금하신 분들은 openstego를 설치해서 동일 조건으로 파일로 합치면 파일사이즈 크기가 변화가 되는지 보면 좋겠다!

 

openstego도 설치하기 귀찮으신 분들은 아래 방법으로 해보길 권한다.

방법 : 윈도우 > 실행 > cmd(관리자 권한 실행) > copy /b 1.jpg(원본 이미지) + c.zip(숨길 정보) 1c.jpg(합쳐질 파일명)

 

위와 같은 방법으로 진행하면 아래와 같은 결과가 나온다.

copy를 이용한 파일 합치기

파일이 잘 합쳐진 것을 알기 위해 16진수를 볼 수 있는 HxD(16진수 편집기, 디스크 편집기 및 메모리 편집기)와 같은 편집기로 볼 수 있다. 우선 기본적인 개념을 익혀보자. EOI 그리고 그래픽 파일 시그니처

  • EOI(End of Image) : JPEG, PNG, GIF 등의 파일에는 파일의 끝을 알리는 바이트가 존재함
  • 그래픽 파일 시그니처 :  FF D9(JPEG/JFIF Format)

(왼쪽)그래픽 파일 시그니처(JPEG의 EOI)

파일의 끝자리를 보면 달라진 것을 볼 수 있다. 궁금하면 해보시길 권한다.(궁금하면 500원?)

 

08. 디지털 워터마킹(Digital Watermarking)

디지털 워터마킹(Digital Watermarking)은 사진이나 동영상 같은 각종 디지털 데이터에 저작권 정보와 비밀정보를 삽입하여 관리하는 기술(디지털 워터마크)을 말한다.

워터마크는 그림이나 문자를 디지털 데이터에 삽입하여 원본 출처 및 정보를 추적할 수 있고, 기능으로 저작권 보호, 위조/변조 판별, 불법 복제 추적 기타 등등이 있다.

 

워터마크 단계

워터마크 삽입 → 콘텐츠 배포  불법 복제  소유권 증명

1) 워터마크 삽입 : 디지털 콘텐츠에 소유자만 아는 마크를 삽입한다.

2) 콘텐츠 배포 : 워터마크가 삽입된 콘텐츠는 네트워크를 통해 배포한다.

3) 불법 복제 : 악의적인 목적을 띤 사용자가 불법 복제하여 사용하는 경우가 발생한다.

4) 소유권 증명 : 콘텐츠 삽입된 자신의 워터마크를 추출하여 소유권을 증명한다.

 

워터마킹 기술의 종류

Robust 워터마킹은 콘텐츠에 삽입된 정보가 외부 공격에 견딜 수 있도록 있게 함

포렌식마킹은 콘텐츠에 구매자 정보를 삽입하여 불법 복제 시 해당 구매자를 추적 가능함

Fragile 워터마킹은 콘텐츠를 의도적으로 훼손하거나 위⋅변조 시 삽입된 워터마크가 검출되지 않도록 함으로써 인증과 무결성을 제공함 

워터마킹(OpenStego) 서명 써보기

디지털 워터마킹(베타), 출처 : OpenStego

기능 설명

  • Digital Watermarking -> Generate Signature
  • Generate Signature : 서명 생성
  • Output Signature File : 서명된 파일 이름명 설정

워터마크 삽입하기, 출처 : OpenStego

Embed Watermark

1) 워터마크 할 이미지 선택

2) 워터마크에 사용할 시그니처 파일 선택

3) 워터마크 삽입된 파일 이름명

나무(이미지), hong.sig(서명) 합치기

나무(원본이미지)를 hong.sig파일을 이용한 워터마크 삽입을 하면 나무-1(워터마크) 생성이 된다.

아래와 같이 워터마크가 되었는지 확인한다.

워터마크 확인 및 변조 없을 경우, 출처 : OpenStego

Verify Watermark

1) 확인하고 싶은 워터마크된 파일 선택

2) 원본 시그니처 파일 선택

3) 파일(워터마크)와 시그니처 파일(워터마크 비교 확인)

 

Verify Watermark를 해보면 Strength를 통해 변환이 없었다는 것을 알 수 있다.

만약 해당 파일을 변조한다면 아래와 같은 결과가 나온다.

워터마킹된 파일을 변조했을 경우 화면, 출처 : OpenStego

 

09. 보안카드

보안카드란 은행과 증권에서 인터넷 뱅킹이나 모바일 뱅킹, 텔레뱅킹때 사용된다.

보안카드는 30개의 난수로 구성되며, 보안카드 번호를 분할 입력하도록 되어 있다.

사용 방법은 하나는 앞 2자리, 또 다른 하나는 2자리 번호를 각각 입력하여 보안카드의 암호값과 고객이 입력한 값이 동일한 경우 보안카드 검증 절차를 완료하게 된다.

보안카드(예시)

10. OTP(One Time Password)

OTP(One Time Password)은고정된 비밀번호 대신 무작위로 생성되는 일회용 비밀번호를 이용하는 사용자 인증 방식이다.(1회에 한해 사용할 수 있는 비밀번호 시스템)

 

OTP 발생기의 종류

1) 토큰형 OTP

  • 흔히 금융기관, 증권에서 구입하여 사용함

토큰형 OTP

2) 카드형 OTP

  • 기존 토큰의 불편한 휴대성을 개선하여 나온 OTP토큰

카드형 OTP

3) 하이브리드 OTP

  • 기존 사용되던 하드웨어형 토큰은 배터리가 닳으면 사용 불가능하고 휴대하기 까다롭고 소프트웨어형 토큰은 보안이 취약하여 은행 거래에 부적하다는 단점이 있음(두가지 시스템을 이용하여 만듬)
  • NFC를 사용하여 안드로이드 단말기에서만 이용 가능하고 본인 명의 USIM이 장착된 기기여야 한다는 약점이 있음
  • 은행이 비밀번호 발생에 필요한 정보가 담긴 IC카드를 발급하고 고객 비밀번호가 필요할 때마다 전용 프로그램에 IC카드를 읽혀서 비밀번호를 생성하는 방식(배터리 교체 필요 없어서 반영구적으로 사용 가능함)
    • NFC(Near Field Communication) : 근거리 무선 통신을 하기 위한 기술
    • IC카드란 IC(Integrated Circuit = 집적회로)칩이 탐재되어 있는 카드로 반도체 메모리 기억소자를 장착하여 대용량의 정보를 담을 수 있는 전자식 카드를 말함

하이브리드 OTP

 

 

생각날때 마다 자주 보시고 자신이 용어, 개념, 정의를 말할 수 있어야 합니다!

 

오늘도 좋은 하루 되세요 :)

이전 글이 궁금하다면 밑에 링크로 보시면 되세요!!

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

https://zerotrust.tistory.com/24

 

[아이티쓸잡] 보안#3

안녕하세요! 보안코치 제로썬이에요 :) [아이티쓸잡]IT에 쓸만한 잡학사전에서는 다양한 IT 전문용어 등을 요약해서 설명하는 페이지입니다!! 자~~~~반복해서 익숙해질 때까지 계속 보고 이해 해

zerotrust.tistory.com

 

저작자표시 비영리 변경금지

'[아이티쓸잡] IT에 쓸만한 잡학사전 > 보안' 카테고리의 다른 글

[아이티쓸잡] 보안#6  (0) 2023.04.02
[아이티쓸잡] 보안#5  (0) 2023.03.30
[아이티쓸잡] 보안#3  (0) 2023.03.27
[아이티쓸잡] 보안#2  (0) 2023.03.22
[아이티쓸잡] 보안#1  (0) 2023.03.21

관련글

댓글

티스토리툴바