1. 소프트웨어 개발 보안 설계
< SW 개발 보안 >
- SW 개발 보안 구성요소 : 기밀성 / 무결성 / 가용성
- SW 개발 보안 용어 :
| 자산(Assets) | 데이터 또는 조직의 소유자가 가치를 부여한 대상 |
| 위협(Threat) | 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위 |
| 취약점(Vulnerability) | 위협이 발생하기 위한 사전 조건 |
| 위험(Risk) | 위협이 취약점을 이용하여 조직의 자산 손실 피해를 가져올 가능성 |
< 입력 데이터 검증 및 표현 >
- 입력 데이터 검증 및 표현 취약점 :
| XSS | 검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격 |
| 사이트 간 요청 위조(CSRF) | 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 |
| SQL 삽입 | 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격 기법 |
2. 소프트웨어 개발 보안 구현
< 암호 알고리즘 >
- 암호 알고리즘 : 데이터의 무결성 및 기밀성 확보를 위해 정보를 쉽게 해독할 수 없는 형태로 변환하는 기법
- 방식 :
| 양방향 방식 | 대칭 키 암호 방식 | - 암호화와 복호화에 같은 암호 키 사용 - 블록 암호 방식 / 스트림 암호 방식 - DES / AES / SEED |
| 비대칭 키 암호 방식 = 공개키 암호 방식 |
- 사전에 개인 키를 나눠 가지지 않은 사용자들이 안전하게 통신하는 방식 - 공개키로 암호화된 메시지는 반드시 비밀키로 복호화해야 한다. - 디피-헬만 / RSA |
|
| 일방향 방식 | 해시 암호 방식 | - 고정된 길이의 암호문(해시값)을 출력하는 암호 방식 - 복호화가 불가능 - MAC / MDC |
1. 시스템 보안 설계
< 서비스 공격 유형 >
| Dos 공격 | - 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격 - SYN 플러딩 / UDP 플러딩 / 스머프,스머핑 / 죽음의 핑 / 랜드 어택 / 티어 드롭 / 봉크,보잉크 |
| DDoS 공격 | - 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 기법 - 구성요소 : Handler / Agent / Master / Attacker / Daemon |
| DRDoS 공격 | - 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부가 되는 공격 |
| 애플리케이션 공격 | - DDoS 서비스 마비 공격 - HTTP GET 플러딩 / Slowioris / RUDY / Slow HTTP Read Dos / Hulk DoS / Hash DoS |
| 네트워크 서비스 공격 | 네트워크 스캐너, 스니퍼 / 패스워드 크래킹 / IP 스푸핑 / ARP 스푸핑 / ICMP Redirect 공격 / 트로이 목마 |
| 시스템 보안 위협 | - 버퍼 오버플로우 : 메모리에 할당된 버퍼 크기를 초과하는 양의 데이터를 입력하여 이로 인해 프로세스의 흐름을 변경시켜서 악성 코드를 실행시키는 공격기법 - 백도어 : 정상적인 인증 절차를 우회하는 기법 |
| 보안 관련 용어 | - 스피어피싱 / 스미싱 / 큐싱 / 봇넷 / APT 공격 / 공급망 공격 / 제로데이 공격 / 웜 / 악성 봇 / 사이버 킬체인 / 랜섬웨어 / 이블 트윈 / 난독화 / Tripwire / Ping / tcpdump |
< 서버 인증 >
- 서버 인증 : 다중 사용자 시스템과 망 운영 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차
- 인증 기술의 유형 : 지식기반 / 소지기반 / 생체기반 / 특징기반
< 서버 접근통제 >
- 서버 접근통제 : 사람 또는 프로세스가 서버 내 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능
- 유형 : 임의적 접근통제 DAC / 강제적 접근통제 MAC / 역할 기반 접근통제 RBAC
- 접근통제 보호 모델 : 벨-라파둘라 모델(기밀성 강조, No Read Up, No Write Down) / 비바 모델(무결성 보장, No Read Down, No Write Up)
2. 시스템 보안 구현
< 보안 솔루션 >
- 네트워크 보안 솔루션 : 방화벽 / 웹 방화벽 / 네트워크 접근 제어(NAC) / 침입 탐지 시스템(IDS) / 침입 방지 시스템(IPS) / 무선 침입 방지 시스템(WIPS) / 통합 보안 시스템(UTM) / 가상사설망(VPN)
- 시스템 보안 솔루션 : 스팸 차단 솔루션 / 보안 운영체제(Secure OS)
- 콘텐츠 유출 방지 보안 솔루션 : 보안 USB / DRM / DLP
< 취약점 분석 >
- 취약점 분석 절차 : 자산 조사 및 분석 -> 진단 대상 선정 -> 제약사항 확인 -> 진단 수행 -> 결과 분석 -> 보고서 작성
'8. 자격증 > 8-1. 정보처리기사' 카테고리의 다른 글
| 정처기 실기 1-2. 현행 시스템 분석 (0) | 2021.10.04 |
|---|---|
| 정처기 실기 1-1. 소프트웨어 개발방법론 (0) | 2021.09.21 |
| 정처기 5-1. 소프트웨어 개발방법론 활용 / 5-2. IT 프로젝트 정보시스템 구축관리 (0) | 2021.08.16 |
| 정처기 4-3. 응용 SW 기초 기술 활용 (0) | 2021.08.16 |
| 정처기 4-1. 서버프로그램 구현 / 4-2. 프로그래밍 언어 활용 (0) | 2021.08.16 |