9장 (소프트웨어 개발 보안 구축)
SDLC → 개발 생명주기
Secure SDLC
- CLAPS - SDLC의 초기 보안강화 방법론
- SDL - SDLC 를 개선한 방법론
- Seven Touchpoints - 소프트웨어 보안의 모범사례를 SDLC에 통합한 방법론
소프트웨어 개발 보안 요소
- 기밀성 (Confidentiality) - 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용됨.
- 무결성 (Integrity) - 시스팀 내의 정보와 자원은 오직 인가된 사용자만 수정 가능.
- 가용성 (Availability) - 시스템 내의 정보와 자원은 언제라도 사용 가능.
- 인증 (Authentication) - 사용자가 인증을 하는 행위. (비밀번호, 지문 등)
- 인가 (Authorization) - 인증을 마친 사용자에게 허가시켜주는 행위 (로그인 성공했으니까 들어가~)
- 부인방지 (nonrepudiation) - 데이터를 송 수진한자가 사실을 부인할 수 없도록, 송.수신 증거를 줌
- 스크립트 (script) - 프로그램 언어 외의 간단한 언어로 작성한 명령어 등을 일컫는 말. asp, jsp, php 등.
- SSL (Secure Sockets Layer) - 데이터를 송수신하는 기기 사이에 위치해 인증, 암호화, 무결성을 보장하는 표준 프로토콜
- 하드코드 - 데이터를 코드 내에 입력하여 프로그래밍 하는 방식.
암호 알고리즘
양방향
- 개인키 (대칭키)
- stream 방식 → LSFR, RC4
- block 방식 → DES, SEED, AES, ARIA
- DES → 블록크기 64, 키길이 56, 3번 보안적용 3DES
- AES → DES 업그레이드버전 블록크기 128, 키 길이에 따라 128,192,256
- ARIA → 한국의 AES , AES와 크기가 모두 같음 2004년에 개발.
- 공개키 (비대칭키) →RSA
단방향 (HASH)
→ 임의의 길이의 입력 데이터나 메세지를 고정된 길이의 값이나 키로 변환하는 것.
- SHA 시리즈, MD5, N-NASH, SNEFRU
서비스 공격 유형
서비스 거부 (Dos)
- Ping of Death → Ping 명령을 패킷 허용범위 이상으로 해서 보냄.
- SMURFING → 한 사이트에 엄청난 요청을 보내서 공격대상자에게 엄청난 응답이 오도록.
- SYN Flooding → 3way handshake 에서 답을 안해 대기하도록 만드는것
- TearDrop → 패킷의 Offset 값을 변형시켜 조립시 문제가 되도록함.
- LAND Attack → 송신지를 공격대상자로 해 계속 자신에게 응답하도록 함
- DDos → 분산된 공격지점에서 한곳의 서버에 대해 분산 공격을 수행.
TrinOO 가장 초기 형태의 데몬, 주로 UDP Flooding 공격을 수행
| TFN | UDP Flooding 뿐 아니라. TCP SYN Flood, ICMP응답요청, 스머핑 공격 수행 |
| TFN2K | TFN 확장판 |
| Stacheldraht | 이전 툴들의 기능을 유지하면서 공격자, 마스터, 에이전트가 쉽게 노출되지 않도록 수행 |
네트워크 침해 공격 관련 용어
세션 하이재킹 3way hand shake 과정에 끼어들어 동기화된 클라이언트의 시퀀스 번호를 가로챔.
| ARP 스푸핑 | ARP 통신시, 자신의 물리적 주소를 공격대상의 것으로 변조해 데이터 패킷을 가로챔. |
| 스미싱 | 문자메시지를 이용해 신용정보 빼내기 |
| 스피어 피싱 | 사회공학 기법 |
| APT | 조직적으로 특정 기업이나 조직에 침투해 무력화 시키고 공격 |
| 무작위 대입 공격 | 모든 값 대입해서 공격 |
| 큐싱 | 큐알코드를 통해 악성앱 설칲하게함 |
| SQL 삽입 공격 (Injection) | 스캐너 프로그램 혹은 봇넷을 이용해 데이터를 조작해 공격하는 방식 |
| 크로스 사이트 스크립팅(XSS) | 특정 게시물이나 이메일의 링크를 클릭시 로그인 정보나 개인정보가 해커에게 넘어가는 공격기법 |
| 스니핑 | 네트워크의 중간에서 남의 패킷을 도청. |
| 사이트간 요청 위조 (CSRF) | 사용자 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 |
스캐너 프로그램 → 네트워크 상의 서버들을 스캔하면서 열린포트, 제공 서비스, 취약점등 스캔하는 프로그램
정보 보안 침해 공격 관련 용어
좀비 PC 악성코드에 감염되어 컴퓨터를 조정할 수 있도록 만들어진 컴퓨터를 말함.
| C&C 서버 | 좀비 피시들을 조종하는 서버를 뜻함. |
| 봇넷 | 악의적인 의도로 사용되게 만들어진 다수의 피시들을 네트워크 형태로 연결한 형태. |
| 웜 | 네트워크를 통해 자신을 연속적으로 복제하여 시스템의 부하를 높여 시스템을 다운시키는 형태 |
| 제로데이 공격 | 보안 취약점을 발견했을때 존제자체를 알기전에 빠르게 공격하는 형태 |
| 키로거 공격 | 사용자의 키보드 움직임을 탐지 |
| 랜섬웨어 | 컴퓨터에 잠입해 문서나 파일을 암호화하고 돈을 요구하는 형태 |
| 백도어 | 설계자가 유지보수의 편의성을 위해 보안을 제거하여 만들어놓은 비밀 통로. (열린포트, 로그분석, SetUID 파일 검사) |
| 트로이 목마 | 일반적인 파일로 위장해 있는 것. |
보안 솔루션
→외부로부터의 불법적인 침입을 막는 것.
- 침입 탐지 시스템 (IDS) → 탐지하는거
- 방화벽
- 침입 방지 시스템 (IPS) → IDS로 탐지하고 방화벽으로 막는 시스템.
- 데이터 유출 방지 (DLP) → PC와 네트워크상 모든 정보를 검색해 내부 정보의 유출을 막는 보안솔루션
- 웹 방화벽 → 웹 기반 공격(SQL삽입, XSS, Cross-Stie)을 방어할 목적으로 만들어진 웹서버에 특화됨.
- VPN → 가상 사설 통신망
- NAC → MAC 주소를 IP 관리시스템에 등록해 일관된 보안 관리 기능을 제공
- ESM →로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션
'정보처리기사 > 단원별 개념정리' 카테고리의 다른 글
| 정보처리기사-11장(운영체제, 프로세스, OSI7계층, 프로토콜, 병행제어) (1) | 2023.01.26 |
|---|---|
| 정보처리기사-10장(프로그래밍, 연산자, 포인터 예제) (0) | 2023.01.26 |
| 정보처리기사-8장(SQL, DB, 프로시저, 트리거, 커서) (0) | 2023.01.26 |
| 정보처리기사-7장(Application 테스트, 정적/동적 테스트, 결함, 분석) (0) | 2023.01.26 |
| 정보처리기사-6장(화면설계,UI, 품질요구사항, ISO/IEC) (0) | 2023.01.25 |
