본문 바로가기

Others/정보처리기사

[정보처리기사] 소프트웨어 개발 보안 설계

1. 소프트웨어 개발 보안 설계

SW 개발 보안

- 기밀성, 무결성, 가용성

- 자산, 위협, 취약점, 위험

 

DoS(Denial of Service)

- 시스템의 자원을 부족하게 해 원래 의도된 용도로 사용이 불가능하도록 하는 공격

- SYN Flooding, UDP Flooding, Smurf, Ping Of Death, Land Attack, Tear Drop, Bonk / Boink

 

DDoS(Distributed Dos)

- 여러 대의 공격자를 분산 배치하여 동싱 동작하게 함으로써 특정사이트를 공격

- DoS를 여러 좀비PC로 수행

- 핸들러, 에이전트, 마스터, 공격자, 데몬 프로그램

 

DRDoS(Distributed Reflection Dos)

- 공격자가 출발지 IP를 공격대상 IP로 위조해 다수의 반사서버로 요청하여 공격대상자가 다수의 응답을 받게돼 DoS

 

애플리케이션 공격

- HTTP GET 플러딩, Slowloris, RUDY, Slow HHTP Read DoS, Hulk Dos, Hash Dos

 

네트워크 공격

- 스니핑, 네트워크 스캐너, 패스워드 크래킹(Dictionary Cracking, Brute Force Cracking, Password Hybrid Attack, Rainbow Table Attack), IP Spoofing, ARP Spoofing, ICMP Redirect 공격, 트로이 목마

 

버퍼 오버플로우 공격

- 스택 버퍼 오버플로우 공격, 힙 버퍼 오버플로우 공격

 

시스템 보안 기법

- 포맷 스트링 공격, 레이스 컨디션 공격, 키로거 공격, 루트킷

 

보안 관련 용어

- 스피어 피싱, 스미싱, 큐싱, 봇넷, APT 공격, 공급망 공격, 제로데이 공격, 웜, 악성 봇, 사이버 킬체인, 랜섬웨어, 이블 트윈 공격, 난독화, Tripwire, Ping, Tcpdump

 

인증 기술

- 지식기반 인증, 소지기반 인증, 생체기반 인증, 특징기반 인증

 

서버 접근 통제

- 식별, 인증, 인가, 책임추적성

- 임의적 접근 통제(DAC), 강제적 접근 통제(MAC), 역할기반 접근 통제(RBAC)

 

접근 통제 보호 모델

- 벨-라파듈라 모델, 비바 모델

 

암호 알고리즘

- 대칭 키 암호 방식: 블록 암호 방식(DES, AES, SEED), 스트림 암호 방식(RC4)

- 비대칭 키 암호 방식: RSA, ECC, Elgamal, 디피-헬만

- 해시 암호 방식: MAC(HMAC, NMAC), MDC(MD5, SHA)

 

IPSec

- IP 계층에서 무결성과 인증을 보장하는 인증 헤더, 기밀성을 보장하는 암호화를 이용한 IP 보안 프로토콜

- 전송 모드, 터널 모드

- 인증 프로토콜, 암호화 프로토콜, 키 관리 프로토콜

 

SSL/TLS

- 4계층과 7계층 사이에서 클라이언트와 서버 간의 암호화, 무결성을 보장하는 보안 프로토콜

- 기밀성, 상호인증, 데이터 무결성

 

S-HTTP

- 클라이언트와 서버 간에 전송되는 모든 메시지를 각각 암호화하여 전송하는 기술

 

2. 소프트웨어 개발 보안 구현

시큐어 코딩

- 입력데이터 검증 및 표현, 보안 기능, 시간 및 상태, 에러 처리, 코드 오류, 캡슐화, API 오용

 

입력 데이터 검증 및 표현 취약점

- XSS, CSRF, SQLI

 

네트워크 보안 솔루션

- 방화벽, 웹 방화벽, 네트워크 접근 제어 ...

 

비즈니스 연속성 계획

- 각종 재해, 장애, 재난으로부터 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계

- BIA: 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정해 시간 흐름에 따른 영향도 및 손실평가를 조사하는 비즈니스 영향 분석

- RTO: 업무중단 시점부터 업무가 복구돼 다시 가동될 때까지의 시간

- RPO: 업무중단 시점부터 데이터가 복구돼 다시 정상가동될 때 데이터 손실 허용 시점

- DRP: 재난으로 장기간에 걸쳐 시설의 운여이 불가능한 경우를 대비한 재난 복구 계획

- DRS: 재난복구계획의 수행을 위한 지속적인 관리체계가 통합된 재해복구센터

 

DRS

- Mirror Site, Host Site, Warm Site, Cold Site