반응형
secure SDLC : 보안상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것
secure SDLC의 대표적인 방법론
SDL : 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 방법론
Seven Touchpoints : 소프트웨어 보안의 모범 사례를 SDLC에 통합한 방법론
소프트웨어 개발 보안 요소
- 기밀성 : 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용됨
- 무결성 : 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음
- 가용성 : 인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있음
- 인증 : 시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지를 확인하는 모든 행위
- 부인방지 : 데이터를 송수신한 자가 송수신한 사실을 부인할 수 없도록 송수신 증거를 제공함
입력데이터 검증 및 표현
보안약점
- SQL 삽입 : 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고, 관리자 인증을 우회하는 보안약점
- 경로 조작 및 자원 삽입 : 데이터 입출력 경로를 조작하여 서버 자원을 수정, 삭제할 수 있는 보안 약점
- 크로스사이트스크립팅(XSS) : 웹 페이지시에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나 비정상적인 기능 수행을 유발하는 보안 약점
- 운영체제 명령어 삽입 : 외부입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한을 탈취하거나 시스템 장애를 유발하는 보안 약점
- 위험한 형식 파일 업로드 : 악의적인 명령어가 포함된 스크립트 파일을 업로드 함으로써 시스템에 손상을 주거나 시스템을 제어할 수 있는 보안 약점
- 신뢰되지 않는 URL 주소로 자동 접속 연결 : 입력값으로 사이트 주소를 받는 경우 이를 조작하여 방문자를 피싱 사이트로 유도하는 보안 약점
- 메모리 버퍼 오버플로 : 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓰려고 할 때 발생하는 보안 약점
암호 알고리즘
양방향 알고리즘의 종류
- SEED : 블록 암호화 알고리즘, 블록 크기는 128비트, 키 길이에 따라 128, 256으로 분류됨
- ARIA : 국가정보원과 산학연협회가 개발한 블록 암호화 알고리즘
- DES : 개인 암호화 알고리즘, DES를 3번 적용하여 보안을 더욱 강화한 3DES도 있음
- AES : 미국 표준 기술 연구소에서 발표한 개인키 암호화 알고리즘. DES의 한계를 느낀 NIST(미국 표준 기술 연구소)에서 공모한 후 발표
- RSA : MIT의 라이베스트, 샤미르, 애들먼에 의해 제안된 공개키 암호화 알고리즘, 큰 숫자를 소인수분해 하기 어렵다는 것에 기반하여 만들어짐
- IDEA : 스위스의 라이와 메시가 PES를 개선한 알고리즘. 블록 크기는 64비트 이고, 키 길이는 128비트
- SKIPJACK : 국가 안전 보장국(NSA)에서 개발한 암호화 알고리즘, 클리퍼칩이라는 IC칩에 내장되어 있음. 블록 크기는 64비트이고, 키 길이는 80비트, 음성 데이터를 암호화 하는 특징이 있음
- TKIP : 무선랜 보안에 사용된 WEP을 보안한 데이터 보안 프로토콜. 임시키 무결성 프로토콜이라고도 함
해시 : 임의의 길이의 입력데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것을 의미
- SHA 시리즈 : 미국 국가안보국(NSA)이 설계, 미국 국립 표준 기술 연구소에 의해 발표
- MD5 : MD4를 대체하기 위해 고안한 암호화 해시함수, 블록 크기가 512 비트이며, 키 길이는 128비트
- N-NASH : 일본의 전신전화주식회사에서 발표한 암호화 해시함수, 블로크기와 키 길이 모두 128비트
- SNEFRU : 32비트 프로세서에서 구현을 용이하게 할 목적으로 개발
서비스 공격 유형
- 서비스 거부 공격(DOS) : 표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 공격자 또는 시스템에서 대량의 데이터를 한곳의 서버에 집중적으로 전송함으로써 표적이되는 서버의 정상적인 기능을 방해하는 것
- 분산서비스 거부 공격(DDOS) : 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대한 분산 서비스 공격을 수행하는 것
- 죽음의 핑 : 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격대상의 네트워크를 마비시키는 서비스 거부 공격 방법
- 스머핑 : IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격방법
- SYN FLOODING : TCP는 신뢰성 있는 전송을 위해 3-WAY-HANDSHAKE를 거친 후에 데이터를 전송하게 되는데 SYN FLOODING은 공격자가 가상의 클러이언트로 위장하여 3-WAY-HANDSHAKE 과정을 의도적으로 중단시킴으로써 공격대상지인 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법
- TearDrop : 데이터의 송수신 과정에서 패킷의 크기가 커 여러개로 분할되어 전송될때 분할 순서를 알 수 있도록 fragment offset 값을 함께 전송하는데 TearDrop은 이 offset 값을 변경시켜 수신측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생시킴으로써 시스템이 다운되도록 하는 공격 방법
- land attack : 패킷을 전송할 때 송신 ip주소와 수신 ip주소를 모두 공격대상의 ip주소로 하여 공격대상에게 전송하는 것
네트워크 침해 공격 관련 용어
- 스미싱 : 문자메시지를 이용해 사용자의 개인 신용 정보를 빼내는 수법
- 시피어 피싱 : 일반적인 이메일로 위장한 메일을 지속적으로 발생하여 첨부된 링크나 파일을 클릭하도록 유도해 사용자의 개인정보를 탈취하는 방법
- 사회공학 : 컴퓨터 보안에 있어서 인간 상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 시스템 침입 수단
- 다크데이터 : 특정 목적을 가지고 데이터를 수집하였으나, 이후 활용되지 않고 저장만 되어있는 대량의 데이터를 의미
- 타이포스쿼팅 : 유명 도메인과 유사한 도메인을 미리 등록하는 일. URL 하이재킹
- sql 삽입 공격 : 웹사이트를 무차별적으로 공격하는 과정에서 ㅜ치약한 사이트가 발견되면 데이트베이스 등의 데이터를 조작하는 일련의 공격방식
- 스니핑 : 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당됨
정보보안 침해 공격 관련 용어
- 좀비PC : 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터, C&C 서버의 제어를 받아 주로 DDOS 공격 등에 이용
- C&C 서버 : 해커가 원격지에서 감염됨 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용되는 서버
- 봇넷 : 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
- 웜 : 네트워크를 통해연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종
- 제로데이공격 : 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기도 전에 해당 취약점을 통하여 이루어지는 보안 공격
- 키로거 공격 : 컴퓨터 사용자의 키보드 움직임을 탐지해 ID, 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 해킹 공격
- 랜섬웨어 : 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 암호화해 사용자가 열지 못하게 하는 프로그램
- 백도어 : 시스템설계자가 서비스 기술자나 유지보수 프로그램 작성자의 액세스 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀통로
- 트로이목마 : 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어있다가 해당 프로그램이 동작할 때 활성화 되어 부작용을 일으키는 것
보안솔루션
- 방화벽 : 기업이나 조직 내부의 네트워크와 인터넷간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 기능을 가진 침입 차단 시스템
- 침입 탐지 시스템(IDS) : 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
- 침입 방지 시스템(IPS) : 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등의 방어 조치를 취하는 보안 솔루션
- 데이터 유출 방지(DLP) : 내부 정보의 외부 유출을 방지하는 보안 솔루션
- 웹 방화벽 : 일반 방화벽이 탐지하지 못하는 SQL 삽입 공격, XSS 등의 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽
- VPN(가상사설 통신망) : 인터넷 등 통신 사업자의 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용회선을 사용하는 것처럼 해주는 보안솔루션
- NAC : 네트워크에 접속하는 내부 PC의 MAC주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 보안 솔루션
- SIEM : 다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리하는 빅 데이터 기반의 보안 솔루션
반응형
'정보처리기사' 카테고리의 다른 글
| 경로제어 / 트래픽제어 / 신기술 / 회복 / 병행제어 / 교착상태 (0) | 2023.09.16 |
|---|---|
| 프로그래밍 언어 표현 (0) | 2023.09.12 |
| 운영체제 / 프로토콜 / 네트워크 (0) | 2023.09.10 |
| 애플리케이션 테스트 (0) | 2023.09.03 |
| 미들웨어 / 인터페이스 / 화면설계 / 소프트웨어 품질 (0) | 2023.09.02 |