정보처리기사 실기 스터디[2022-10-10] - 소프트웨어 개발 보안 구현

📌 Study

🔸 2022-10-10

[소프트웨어 개발 보안 구축]

2. 소프트웨어 개발 보안 구현

• 시큐어 코딩 가이드
  • 입력 데이터 검증 및 표현 : 입력값에 대한 검증 누락, XSS(검증되지 않은 웹 데이터 전송하여 악의적 스크립트 실행)
  • 보안 기능 : 기밀성, 암호화, 권환 관리
  • 시간 및 상태 : 병렬 시스템, 하나 이상의 프로세스가 동작하는 환경
  • 에러 처리 : 에러 메시지에 중요 정보 포함
  • 코드 오류 : 개발자가 범할 수 있는 코딩 오류
  • 캡슐화 : 인가되지 않은 사용자에게 데이터 누출
  • API 오용 : 의도되지 않은 API 사용, 보안 취약 API 사용

 

• 입력 데이터 검증 및 표현
  • XSS : 검증되지 않은 데이터가 포함된 웹페이작 전송되는 겨우 사용자가 열람함으로써 부적절한 스크립트 실행
  • CSRF : 사용자 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청
  • SQL Injection : 악의 적인 SQL 삽입, DB 접근

 

• XSS 공격 유형
  • Stored XSS : 악성 스크립트 포함된 페이지를 읽어 브라우저가 실행되면서 감염
  • Reflected XSS : 악성 URL을 생성한 후 이메일 클릭 유도
  • DOM XSS : DOM 기반 XSS 악성 URL을 생성한 후 이메일 클릭 유도

 

• SQL 인젝션 공격 유형
  • Form SQL 인젝션
  • Union SQL 인젝션
  • Stored Procedure SQL 인젝션
  • Mass SQL 인젝션 : 기존 SQL 인젝션 확장 개념, 한 번의 공격으로 대량 DB값 변조
  • Error-based SQL 인젝션
  • Blind SQL 인젝션 : 쿼리 결과의 참 거짓을 통해 의도하지 않은 SQL문 실행

 

• 캡슐화 => 속성과 메서드를 하나로 묶어서 객체로 구성

 

• 유닉스 / 리눅스 주요 로그 파일
  • wtmp/wtmpx : 사용자 로그인/로그아웃 정보, 시스템 shutdown/reboot
  • utmp/utmpx : 현재 시스템 로그인한 사용자 정보
  • btmp/btmpx : 로그인 실패한 정보
  • acct/pacct : 사용자별 실행되는 모든 명령어 로그

 

• 네트워크 보안 솔루션
  • 방화벽 : 기업 내부, 외부 간 트래픽을 모니터링 하여 시스템 접근 허용 혹은 차단하는 시스템
  • 웹 방화벽 : 일반적인 방화벽과 달리 웹 애플리케이션 보안에 특화, SQL 인젝션, XSS 등과 같은 웹 공격 탐지 및 차단
  • NAC : 내부 네트워크 접속 시도할 때 제어하고 통제하는 솔루션
  • IDS : 네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원 접근 및 보안정책 실시간으로 탐지
  • IPS : 네트워크에 대한 공격이나 침입을 실시간적으로 차단, 유해 트래픽 조치를 능동적으로 처리
  • WIPS : 무선 단말기 접속을 자동으로 탐지 및 차단
  • UTM : 방화벽, IDS, IPS, VPN 등 다양한 보안 장비의 기능을 하나의 장비로 통합하여 제공하는 시스템
  • VPN : 인터넷과 같은 공중망에 인증, 암호화, 터널링 기술을 활용하여 마치 전용망을 사용하는 효과가지는 보안 솔루션

 

• 시스템 보안 솔루션
  • 스팸 차단 솔루션 : 메일 서버 앞단에 위치하여 프록시 메일 서버로 동작
  • 보안 운영체제(Secure OS) : 컴퓨터 운영체제의 커널에 보안 기능을 추가한 솔루션

 

• 콘텐츠 유출 방지 솔루션
  • 보안 USB
  • DLP : 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션
  • DRM : 디지털 저작물에 대한 보호와 관리를 위한 솔루션

 

• 비즈니스 연속성 계획(BCP) : 각종 재난으로부터 위기관리 기반으로 비즈니스 연속성 보장하는 체계

 

• 비즈니스 연속성 주요 용어
  • BIA : 주요 손실을 가정하여 시간 흐름에 따른 영향도
  • RTO : 업무 중단 시점부터 복구되어 다시 가동될 때까지 시간
  • RPO : 업무 중단 시점부터 복구디어 다시 가동될 때 데이터 손실 허용 시점
  • DRP : 장시간 운영 불가능한 경우
  • DRS : 평상시 확보하여 두는 재해복구 센터

 

• DRS 유형
  • Mirror Site : 주 센터와 데이터 복구 센터 모두 운영 상태, 실시간 서비스
  • Hot Site : 주 센터와 동일한 수준의 자원 대기 상태, RTO 4시간 이내
  • Warm Site : 중요한 높은 자원만 부분적으로 보유, RTO 수일 ~ 수 주
  • Cold Site : 데이터만 원격지 보관, RTO 수주 ~ 수개월, 구축비용 저렴하나 복구 소요시간 길고, 신뢰도 낮음

 

• 보안 중요 용어
  • 부 채널 공격 : 암호화 알고리즘 내부 비밀 정보를 부 채널에서 획득하는 공격
  • 드라이브 바이 다운로드: 해커가 웹 페이지에 악성 스크립트를 설치하고, 사용자 동의 없이 실행되어 의도된 서버로 연결하여 감염
  • 워터링홀 : 특정인에 대한 표적 공격, 잘 방문하는 웹 사이트에서 악성코드 심거나 배포
  • 스캠 공격 : 기업 이메일 계정 도용하여 거래 대금 가로채는 사이버 범죄
  • 하트 블리드 : OpenSSL 암호화 확장 모듈 취약점 공격
  • 크라임웨어 : 중요한 금융정보 및 인증 정보 탈취, 금전적인 이익 범죄 목적 악성코드
  • 토르 네트워크 : 네트워크 경로를 알 수 없도록 익명으로 인터넷을 사용할 수 있는 가상 네트워크
  • MITM 공격 : 네트워크 통신을 조작하여 통신 내용 도청 및 조작
  • DNS 스푸핑 공격 : DNS 응답을 조작하거나 DNS 서버의 캐시 정보를 조작
  • 포트 스캐닝 : 침입 전 대상 호스트에 어떤 포트가 활성화되어 있는지 확인하는 기법
  • 디렉토리 리스팅 : 서버의 미흡한 설정으로 인덱싱 기능 활성화되어 있을 경우, 서버 내 모든 디텍토리 및 파일 목록 볼 수 있음
  • 리버스 쉘 공격 : 타깃 서버가 클라이언트(공격자)로 접속해서 쉘 획득하여 공격
  • 익스플로잇 : 소프트웨어 혹은 하드웨어 버그 또는 취약점을 이용하여 공격자가 의도한 동작으로 명령을 실행하도록 하는 행위
  • 스턱스넷 : 독일 지멘스사, 시스템 공격 목표로 제작된 악성코드로 주요 산업 기발 시설의 제어 시스템 오작동 일으키는 악성코드
  • 크리덴셜 스터핑 : 사용자 계정 탈취해서 공격

 

• 보안 공격 대응 관련 중요 용어
  • 허니팟 : 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템, 일부로 허술하게 만들어서 해커 유인
  • OWASP Top 10 : 웹 애플리케이션 취약점 10가지에 대한 대응 방안 제공 가이드
  • 핑거프린팅 : 멀티미디어 콘텐츠에 저작권, 사용자 정보를 삽입하여 불법 배포자 위치 추적
  • 워터마킹 : 디지털 콘텐츠에 저작권자 정보 삽입
  • FDS : 전자금융거래에 사용되는 단말기, 접속, 거래 정보 등을 종합적으로 분석하여 의심 거래 탐지
  • CC : 정보기술 보안 기능과 보증에 대한 국제 평가 기준
  • C-TAS : KISA 주관 자동화된 정보공유 할 수 있는 침해 예방 대응 시스템
  • PAM : 리눅스 시스템 내 사용되는 각종 애플리케이션 인증을 위해 제공되는 인증용 라이브러리
  • CVE : 미국 비 영리회사 MITRE사, 보안 취약점 표준화한 식별자 목록(규칙 : CVE - 연도 - 순서)
  • CWE : 미국 비 영리회사 MITRE사, 소프트웨어에서 공통적으로 발생하는 약점 체계적으로 분류한 목록