Certificate/정보처리기사

[velog] 정처기 실기 요약 [9] 소프트웨어 개발 보안 구축

Walker_ 2024. 3. 15. 17:38

https://velog.io/@dlsdk2526/%EC%A0%95%EC%B2%98%EA%B8%B0-%EC%8B%A4%EA%B8%B0-%EC%9A%94%EC%95%BD-9-%EC%86%8C%ED%94%84%ED%8A%B8%EC%9B%A8%EC%96%B4-%EA%B0%9C%EB%B0%9C-%EB%B3%B4%EC%95%88-%EA%B5%AC%EC%B6%95

 

정처기 실기 요약 [9] 소프트웨어 개발 보안 구축

SW 개발 보안의 3대 요소 기밀성(Confidentiality) : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성 무결성(Integrity) : 정당한 방법을 따르지 않고서는 데이터가 변경

velog.io

 

좋은 공부자료를 공유해주시는 분들 감사합니다.

 

SW 개발 보안의 3개 요소

 - 기밀성 : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성

 - 무결성 : 정당한 방법을 따르지 않고서는 데이터가 변경 될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손되지 않음을 보장하는 특성

 - 가용성 : 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속해서 사용할 수 있도록 보장하는 특성

 

Dos_ 공격자 컴퓨터 1개, 직접 공격

 - 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 해 사용하지 못하게 하는 공격

 

Dos 공격 종류

 - SYN 플러딩, UDP 플러딩, 스머프/스머핑, 죽음의 핑, 랜드어택, 티어드롭, 봉크/보잉크

 

DDos_공격자가 여러 대의 컴퓨터를 감염 시킴, 공격 지시

 - 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트 공격

 

DDos 공격 도구

 - Trinoo : 많은 소스로부터 통합된 UDP flood 서비스 거부 공격을 유발하는데 사용

 - TFN : Trinoo와 비슷한 분산 도구, 많은 소스에서 하나 혹은 여러 개의 목표 시스템에 대해 서비스 거부 공격

 - Stacheldraht : 분산 서비스 거부 에이전트 역할

 

DRDoS

 - 공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송,

   공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부가 되는 공격이다.

 

애플리케이션 공격

 - HTTP GET Flooding, Slowloris, RUDY, Slow HTTP Read Dos, Hulk DoS, Hash DoS

 

네트워크 공격

 - 스니핑, 네트워크 스캐너, 스니퍼, 패스워드 크래킹(사전 크래킹, 무차별 크래킹, 패스워드 하이브리드 공격, 레인보우 테이블 공격), IP 스푸핑, ARP 스푸핑, ICMP Redirect, 트로이 목마

 

시스템 보안 위협

 - 버퍼 오버플로우(유형 : 스택 버퍼, 힙 버퍼 / 대응 방안 : 스택가드, 스택쉴드, ASLR)

 - 백도어

 - 주요시스템보안 공격기법 (포맷 스트링 공격, 레이스 컨디션 공격, 키로거 공격, 루트킷)

 

보안 관련 용어

 - 스피어피싱, 스미싱, 큐싱, APT 공격, 공급망 공격, 제로데이 공격, 웜, 악성 봇, 사이버 킬체인

 - 랜섬웨어, 이블 트윈 공격, 난독화, Tripwire, Ping, Tcpdump

 

접근 통제 기법

 - 식별, 인증, 인가, 책임추적성

 

서버 접근 통제 유형

 - 임의적 접근 통제, 강제적 접근 통제, 역할 기반 접근 통제

 

인증 기술 유형

 - 지식기반, 소지기반, 생체기반, 특징기반

 

접근 통제 보호 모델

 - 벨-라파둘라 모델, 비바 모델

 

암호 알고리즘

 - 양방향 (대비 비공)

  - 암호화 = 복호화

  - 블록 암호 방식 (DES, AES, SEED, ARIA, IDEA)

  - 스트림 암호 방식 (LFSR, RC4)

 - 비대칭키(공개키)

  - 암호화 != 복호화

  - 디피-헬만, RSA, ECC, EIGamal

 

일방향

 - 복호화 불가능

  - 해시암호방식(MAC, MDC) : MD5, SHA-1, SHA-256/384/512, HAS-160

 

IPSec

 - IP계층에서 무결성과 인증을 보장하는 인증 헤더와 기밀성을 보장하는 암호화를 이용한 IP보안 프로토콜

  - 인증, 암호화, 키 관리 프로토콜로 구성

 

SSL/TLS

 

S-HTTP

 

개인정보보호 관련 법령

 - 민감 정보, 고유 식별정보

 

입력 데이터 검증 및 표현 취약점

 - XSS, 사이트간 요청 위조, SQL 삽입

 

네트워크 보안 솔루션

 - 방화벽, 웹 방화벽, 네트워크 접근 제어, 침입 탐지 시스템, 침입 방지 시스템, 무선 침입 방지 시스템, 통합 보안 시스템, 가상 사설망

 

시스템 보안 솔루션

 - 스팸 차단 솔루션, 보안 운영체제

 

콘텐츠 유출 방지 솔루션

 - 데이터 유출 방지, 디지털 저작권 관리

 

비즈니스 연속성 계획

 - BIA, RTO, RPO, DRP, DRS

 

DRS의 유형

 - Mirror Site, Hot Site, Warm Site, Cold Site