728x90
9-0
- SECURE SDLC : 보안상 안전한 S/W를 개발하기 위해 SDLC에 보안강화를 위한 프로세스를 포함한 것
- 종류
- CLASP : Secure Software 사에서 개발, SDLC 초기 단계 보안 강화, 활동중심 역할 기반 프로세스로 구성
- SDL : Microsoft 사에서 기존의 SDLC를 개선한 방법론
- Seven TouchPoint : 보안의 모범사례를 SDLC에 통합한 방법론, 7개의 보안 활동을 수행
- 보안 요소
- 기밀성 : 정보와 자원은 인가된 사용자에게만 접근이 허용
- 무결성 : 오직 인가된 사용자만 수정가능
- 가용성 : 인가된 사용자는 언제라도 사용가능
- 인증 : 정보와 자원을 사용하려는자가 합법적인지 확인하는 모든 행위
- 부인방지 : 데이터 송,수신한자가 부인할 수 없도록 증거 제공
- 설계단계에서 보안활동
- 네트워크 : 개발환경을 분리하거나 방화벽 설치
- 서버 : 보안이 뛰어난 운영체제 사용, 외부 접근 통제
- 물리적 보안 : 출입통제, 공간 제한 등 감시 설비
- 개발 프로그램 : 허가 X 프로그램 통제, 무결성 검사 실시
9-1
- 세션 통제 : 세션은 서버와 클라이언트의 연결, 세션 통제는 세션의 연결로 인해 발생하는 정보를 관리
- 입력 데이터 검증 및 표현 : 입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현 단계에서 검증, 유효성 검증체계를 갖추고, 검증되지 않은 데이터 입력 시 처리하도록 구현
- 입력 데이터 검증 및 표현의 보안약점
- SQL 삽입 : 웹 응용프로그램에 SQL을 삽입하여, DB 서버의 데이터를 유출 및 변조, 관리자 인증 우회
- 경로조작 및 자원삽입 : 입,출력 경로를 조작하여 서버 자원을 수정,삭제
- 크로스사이트스크립팅 : 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취, 비정상적인 기능 수행 유발
- 운영체제 명령어 삽입 : 외부 입력 값을 통해 시스템 명령어의 실행을 유도함으로써 권한을 탈취&시스템 장애 유발
- 위험한 형식 파일 업로드 : 악의적인 명령어가 포함된 스크립트 파일을 업로드 -> 시스템 손상
- 신뢰 X URL 주소로 자동접속 연결 : 입력 값으로 사이트 주소를 받는 경우 이를 조작하여 방문자를 피싱사이트로 유도
- 메모리 버퍼 오버플로 : 프로그램의 오작동 유발, 악의적인 코드를 실행시켜 공격자가 프로그램을 통제할 수 있는 권한을 획득
9-2
- 코드오류 : S/W 구현 단계에서 개발자들이 코딩 중 실수하기 쉬운 형변환, 자원 반환 등의 오류를 예방하기 위한 보안점검항목
- 널포인터 역참조 : 널포인터가 가리키는 메모리에 어떠한 값을 저장할 때 발생하는 보안 약점
- 부적절한 자원 해제 : 자원을 반환하는 코드를 누락하거나 프로그램 오류로 할당된 자원을 반환하지 못하였을 때 발생하는 보안 약점
- 해제된 자원 사용 : 이미 사용 종료되어 반환된 메모리를 참조하는 경우 발생
- 초기화 되지 않은 변수 사용 : 변수 선언 후 값이 부여되지 않은 변수를 사용시 발생
- 캡슐화 :정보은닉이 필요한 중요한 데이터와 기능을 불충분하게 캡슐화하거나 잘못사용함으로써 발생할 수 있는 문제를 예방
- 잘못된 세션에 의한 정보 노출
- 제거되지 않고 남은 디버그코드
- 시스템 데이터 정보노출
- 접근 지정자
- public(클래스 내부, 패키지 내부, 하위 클래스, 패키지 외부)
- protected(클래스 내부, 패키지 내부, 하위 클래스)
- default(클래스 내부,패키지 내부)
- private(클래스 내부)
9-3
- 암호화 알고리즘 : 패스워드, 주민번호, 은행계좌 등과 같은 중요 정보를 보호하기 위해 평문을 암호화된 문장으로 만드는 절차 또는 방법
- 개인키 암호화 기법 : 동일한 키로 데이터를 암호화하고 복호화
- 블록 암호화 방식 : DES, SEED, AES, ARIA
- DES : NBS에서 발표한 개인키 암호화 알고리즘, 크기는 64비트
- SEED : KISA에서 개발한 블록 암호화 알고리즘, 크기는 128비트
- AES : NIST에서 발표한 DES 한계를 보완하기 위해 개발한 개인키 알고리즘, 크기는 128비트
- ARIA : 국가 정보원과 산학 협회가 개발한 블록화 알고리즘, 크기는 128비트
- 스트림 암호화 방식 : LFSR, RC4
- 블록 암호화 방식 : DES, SEED, AES, ARIA
- 공개키 암호화 기법 : 데이터를 암호화 할때는 공개키 사용, 복호화 할때는 비밀키 사용
- RSA : MIT의 라이베스트,샤미르,애들먼에 의해 제안된 공개키 암호화 알고리즘
- 해시 : 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것
- SHA 시리즈 : NSA가 설계하여 NIST에 의해 발표
- MD5 : MD4를 대체하기 위해 고안한 암호화 해시 함수, 크기는 512비트
- N-NASH : NTT에서 발표한 암호화 해시함수, 크기는 128비트
- SNEFRU : RC.Merkle이 발표한 해시함수, 크기는 512비트
- 솔트 : 암호화를 수행하기에 앞서 원문에 무작위의 값을 덧 붙이는 과정을 수행하는데, 이 때 덧붙이는 값
9-4
- 서비스 거부(DOS) 공격 : 표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 공격자 또는 시스템에서 대량의 데이터를 한곳의 서버에 집중적으로 전송하여 정상적인 기능을 방해
- 종류
- Ping of Death(죽음의 핑) : 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법
- SMURFING(스머핑) : IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능상태로 만드는 공격 방법
- SYN Flooding : TCP는 신뢰성 있는 전송을 위해 3-way-handshake를 거친 후에 데이터를 전송하게 되는데, 공격자가 가상의 클라이언트로 위장하여 이 과정을 의도적으로 중단시켜 대기 상태에 놓게 만드는 공격 방법
- Tear Drop : offset 값을 변경시켜, 수신측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생시켜, 시스템을 다운되도록 하는 공격방법
- Land : 패킷을 전송할 때 송신 IP주소와 수신 IP주소를 모두 공격 대상의 IP주소로 하여 공격 대상에게 전송하는 것, 이 패킷을 받은 공격 대상은 자신에게 무한히 응답함.
- DDOS(분산 서비스 거부 공격) : 여러 곳에 분산된 공격 지점에서 한곳의 서버에 대해 분산 서비스 공격을 수행
- 네트워크 침해 공격 관련 용어
- 스미싱 : SMS를 이용해 사용자의 개인 신용정보를 빼내는 수법
- 스피어피싱 : 사회공학의 한 기법으로, 메일의 본문 링크나 첨부파일을 클릭하도록 유도해 개인정보 탈취
- APT : IT 기술과 방식들을 이용해 조직적으로 때를 기다리면서 보안을 무력화 시키고 정보를 외부로 빼돌림
- 무작위 대입 공격 : 암호키를 찾아내기 위해 모든 값을 무작위로 대입하는 공격
- 큐싱 : QR코드를 통해 악성앱 다운로드 유도
- 피싱 : 이메일이나 메신저 등을 통해 공기관이나 금융기관 사칭하여 개인정보를 탈취
- Ping Flood : 특정 사이트에 매우 많은 ICMP 메시지를 보내 정상적으로 동작하지 못하게 하는 공격
- Evil Twin Attack : 무선 wifi 신호를 송출하여 계정정보나 신용정보를 빼감
- 정보보안 침해 공격 관련 용어
- 좀비 PC : 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터
- C&C 서버 : 해커가 원격지에서 사용하는 서버
- 봇넷 : 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결
- 웜 : 네트워크를 통해 연속적으로 자신을 복제하여 시스템 부하를 일으킴
- 제로 데이 공격 : 새로운 취약점이 밝혀진 후 공식적인 보안 패치가 배포되기 전 시간적 여유 없이 감행되는 해킹 공격
- 키로거 공격 : 키보드 움직임을 탐지해 중요한 정보를 탈취
- 랜섬웨어 : 사용자의 컴퓨터에 잠입해 내부 문서나 파일들을 암호화
- 백도어 : 설계자가 유지보수 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀 통로
- 트로이 목마 : 정상적인 기능을 하는 프로그램으로 위장하여 동작시 활성화하여 부작용을 일으킴
9-5
- 인증 : 다중 사용자가 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차
- 지식기반 인증 : 사용자가 기억하고 있는 정보를 기반으로 인증을 수행
- 소유기반 인증 : 사용자가 소유하고 있는 것을 기반으로 인증을 수행
- 생체기반 인증 : 사용자의 고유한 생체 정보를 기반으로 인증을 수행
- 침입 차단 및 탐지 등을 수행하여 외부로부터의 불법적인 침입을 막는 기술 및 시스템
- 방화벽 : 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용,거부,수정하는 기능을 가진 침입 차단 시스템
- 침입 탐지 시스템(IDS) : 컴퓨터 시스템의 비정상적인 사용,오용,남용 등을 실시간으로 탐지하는 시스템
- 침입 방지 시스템(IPS) : 방화벽 + 침입 탐지 시스템
- 데이터 유출 방지(DLP) : 내부 정보의 외부 유출을 방지하는 보안 솔루션
- 웹 방화벽 : 일반 방화벽이 탐지 못하는 SQL 삽입 공격, XXS 등의 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화
- VPN : 사설 네트워크로서, 인터넷 등 통신 사업자의 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 함
- NAC : 네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 보안 관리 기능을 제공하는 보안솔루션
- SSH : 다른 컴퓨터에 로그인, 원격 명령 실행, 파일 복사 등을 수행할 수 있도록 다양한 기능을 지원하는 프로토콜
- ESM : 로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션
728x90
'정보처리기사 실기' 카테고리의 다른 글
| 정보처리기사 실기 : 11장 SW 기초 기술 활용(통합모음 : 중요 키워드 정리) (0) | 2022.08.23 |
|---|---|
| 정보처리기사 실기 : 10장 애플리케이션 테스트(통합모음 : 중요 키워드 정리) (0) | 2022.08.23 |
| 정보처리기사 실기 : 8장 SQL응용(통합모음 : 중요 키워드 정리) (0) | 2022.08.23 |
| 정보처리기사 실기 : 7장 애플리케이션 테스트(통합모음 : 중요 키워드 정리) (0) | 2022.08.12 |
| 정보처리기사 실기 : 6장 화면 설계(통합모음 : 중요 키워드 정리) (0) | 2022.08.12 |
