[정보처리기사실기] 9. 소프트웨어 개발 보안 구축

2021년 정보처리기사 실기 책 수제비로 공부했습니다. 공부하면서 정리한 요약내용입니다. 제가 이미 알고있는 내용은 요약정리에 없는 경우도 있습니다. 상세한 내용은 수제비책을 참조하세요.

 

SW 개발 보안 3대 요소 중요

기무가 - 기밀성 / 무결성 / 가용성

 

DoS 공격의 개념

시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격

 

랜드어택

출발지(Source) IP와 목적지(Destination) IP를 같은 패킷 주소로 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격기법

 

DDoS 공격의 개념 

DoS의 또 다른 형태로 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 기법 

 

DRDoS 공격의 개념

공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부(DoS)가 되는 공격

 

애플리케이션 공격 

HTTP GET 플러딩 / Slowloris / Rudy / Slow HTTP Read DoS / Hulk DoS / Hash DoS

 

네트워크 공격

스니핑 / 네트워크 스니퍼 / 패스워드 크래킹 / 사전 크래킹 / 무차별 크래킹 / 패스워드 하이브리드 / 레인보우테이블공격 / IP 스푸핑 / ARP스푸핑 / ICMP Redirect 공격 / 트로이 목마

 

버퍼오버플로우 

메모리에 할당된 버퍼의 크리를 초과하는 양의 데이터를 입력해서 프로세스 흐름을 변경시킴

 

버퍼오버풀로우 대응방법

스택가드/ 스택쉴드/ ASLR /  안전한 함수 사용 / 실행 제한

 

보안관련용어

포맷 스트링 공격 / 레이스 컨디션 공격 / 루트킷/ 스피어피싱 / 스미싱/ 큐싱 / 봇넷 / APT공격/ 공급망공격/ 제로데이 공격 / 웜 / 악성 봇 / 사이버 킬체인 / 랜섬웨어 / 이블트윈 / 키토커 공격

 

암호 알고리즘 방식 

대비해 - 대칭키 / 비대칭 키 / 해시

 

대칭키 암호

암호화와 복호화에 같은 암호 키를 쓰는 알고리즘 방식

 

비 대칭키 암호 방식 

(공개키 암호 방식) 사전에 개인 키를 나눠 가지지 않은 사용자들이 안전하게 통신하는 방식 (암호화와 복호화에 다른 암호 키를 쓰는 알고리즘 ) 

 

일방향 암호 방식 (해시 암호 방식) 

임의 길이의 정보를 입력받아, 고정된 길이의 암호문 (해시값)을 출력하는 암호 방식

 

IPSec 개념 

IP 계층(3계층)에서 무결성과 인증을 보장하는 인증 헤더(AH)와 기밀성을 보장하는 암호화(ESP)를 이용한 IP 보안 프로토콜 

 

시큐어코딩 

입보시 에코캡아 - 입력데이터 검증 및 표현 / 보안 기능 / 시간 및 상태 / 에러처리 / 코드 오류 / 캡슐화 / API 오용

 

XSS 

검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격

 

SQL 삽입

응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스(DB)의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격기법

 

CSRF 

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 

 

유닉스/리눅스 주요 로그 파일 

wtmp, utmp, btmp, lastlog, sulog, acct/pacct, xferlog, messages, secure 

 

보안 솔루션 

- 네트워크 - 방화벽, WAF, NAC, IDS, IPS, WIPS, UTM, VPN 

- 시스템보안 솔루션 - 스팸 차단 솔루션, 보안 운영체제(Secure OS) 

- 콘텐츠 유출 방지보안 솔루션 - 보안USB, DLP, DRM 

 

취약점 분석 절차

자산 조사 및 분석 -> 진단 대상 선정 -> 제약사항 확인 -> 진단 수행 -> 결과 분석/보고서 작성 

 

BCP 용어

BIA, RTO, RPO, DRP, DRS Mirror, Hot, Warm, Cold 

 

보안 용어 

- 부 채널 공격, DBD, 워터링 홀, 스캠 공격, 하트블리드, 크라임웨어, 

- DNS스푸핑, 포트스캐닝, 디렉토리 리스팅, 

- 리버스 쉘 공격, 익스플로잇, 스턱스넷 공격, 크리덴셜 스터핑, 허니팟, OWASP Top 10, 

- 핑거프린팅, 워터마킹, FDS, CPTED, CC, C-TAS, PAM, CVE, CWE