[정보처리기사 실기] 9장 소프트웨어 개발 보안 구축

 

 

 

이번에는 2022년도 실기 시험 준비하면서 노트정리 했었던 내용들을 포스팅 해보겠습니다. 내용이 많이 부족하시겠지만 어디까지 참고용으로만 봐주시면 감사하겠습니다. 😁😁

 

참고로, 시간 관계상 전부 정리되어 있지는 않습니다. 추가로 저는 C등급과 D등급은 학습 목표에서 제외했습니다.

 

해당 내용은 2022년도 시나공 출판사의 정보처리기사 실기 책의 내용이 조금 포함되어 있습니다.

싸니까 믿으니까 인터파크도서

 

가급적 책은 구매하셔야 하고 출판사는 시나공 또는 수제비로 공부하시는 것을 추천드립니다.

 

 

---

A등급

 

📢 Secure SDLC

 

• Secure SDLC
  • SDLC(소프트웨어 개발 생명주기)에 보안 강화를 위한 프로세스를 포함한 것
  • 대표적인 방법론
    • CLASP: SDLC의 초기 단계에서 보안을 강화하기 위해 개발된 방법론
    • SDL: 마이크로소프트 사에서 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 방법론
    • Seven Touchpoints: 소프트웨어 보안의 모범사례를 SDLC에 통합한 방법론
• SDLC 단계별 보안 활동
  • 요구사항 분석 단계 → 설계 단계 → 구현 단계 → 테스트 단계 → 유지보수 단계
• 소프트웨어 개발 보안 요소
  • 기밀성(Confidentiality)
    • 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용
    • 정보가 전송 중에 노출되더라도 데이터를 읽을 수 없음
  • 무결성(Integrity)
    • 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음
  • 가용성(Availability)
    • 인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있음
  • 인증(Authentication)
    • 시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지를 확인하는 모든 행위
  • 부인 방지(NonRepudiation)
    • 데이터를 송수신한 자가 송수신 사실을 부인할 수 없도록 송수신 증거를 제공

 

 

📢 암호 알고리즘

 

• 중요한 정보를 보호하기 위해 평문을 암호화된 문장으로 만드는 절차 또는 방법

 

• 개인키 암호화(Private Key Encryption) 기법
  • 동일한 키로 데이터를 암호화하고 복호화하는 암호화 기법
  • = 대칭 암호 기법 = 단일키 암호화 기법
  • 종류
    • 스트림 암호화 방식
      • 평문과 동일한 길이의 스트림을 생성하여 비트 단위로 암호화 하는 방식
      • 종류: LFSR, RC4
    • 블록 암호화 방식
      • 한 번에 하나의 데이터 블록을 암호화 하는 방식
      • 종류: DES, SEED, AES, ARIA
• 공개키 암호화(Public Key Encryption) 기법
  • 암호화할 때 사용하는 공개키(Public Key)는 사용자에게 공개하고, 복호화 할때의 비밀키(Secret Key)는 관리자가 비밀리에 관리하는 암호화 기법
  • = 비대칭 암호 기법
  • 대표적으로 RSA가 있음
• 양방향 알고리즘의 종류
  • SEED
    • 블록 암호화 알고리즘
    • 블록 크기는 128비트
    • 키 길이에 따라 128, 256으로 분류
  • ARIA
    • 2004년 국가정보원과 산학연협회가 개발한 블록 암호화 알고리즘
  • DES
    • 1975년 미국 NBS에서 발표한 개인키 암호화 알고리즘
    • 블록 크기는 64비트, 키 길이는 56비트이며 16회의 라운드를 수행함
    • DES를 3번 적용하여 보안을 더욱 강화한 3DES(Triple DES)도 있음
  • AES
    • 2001년 미국 표준 기술 연구소(NIST)에서 발표한 개인키 암호화 알고리즘
    • DES의 한계를 느낀 NIST에서 공모한 후 발표
    • 블록 크기는 128비트
    • 키 길이에 따라 AES-128, AES-192, AES-256
  • RSA
    • 큰 숫자를 소인수분해 하기 어렵다는 것에 기반하여 만들어짐
• 해시(Hash)
  • 임의의 길이의 입력 데이터나 메세지를 고정된 길이의 값이나 키로 변환하는 것
  • 종류
    • SHA 시리즈: 1993년 미국 국가안보국(NSA) 설계, 미국 국립표준기술 연구소(NIST)에 의해 발표
    • MD5(Message Digest algorithm 5): 블록 크기가 512비트, 키 길이 128비트
    • N-NASH: 블록 크기와 키 길이가 모두 128비트
    • SNEFRU: 32비트 프로세서에서 구현을 용이하게 할 목적으로 개발

 

 

📢 서비스 공격 유형

 

• 서비스 거부(Dos; Denial of Service) 공격
  • 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 서버의 정상적인 기능을 방해하는 것
• Ping of Death(죽음의 핑)
  • 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크를 마비시키는 서비스 거부 공격 방법
  • 공격에 사용되는 큰 패킷은 수백 개의 패킷으로 분할되어 전송
• SMURFING(스머핑)
  • IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를ㄹ 불능 상태로 만드는 공격 방법
• SYN Flooding
  • 3-way-handshake 과정을 의도적으로 중담시킴으로써 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법
• TearDrop
  • Offset 값을 변경시켜 수신 측에 과부하를 발생시킴으로써 시스템이 다운되도록 하는 공격 방법
• LAND Attack(Local Area Network Denial Attack)
  • 패킷을 전송할 때 송신 IP주소와 수신 IP주소를 모두 공격 대상의 IP주소로 하여 자신에 대해 무한히 응답하게 하는 공격
• DDOS(Distributed Denial of Service, 분산 서비스 거부) 공격
  • 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것
  • Trin00
    • 가장 초기 형태의 데몬
    • 주로 UDP Flooding 공격을 수행
  • TFN(Tribe Flood Network)
    • UDP Flooding 뿐만 아니라 TCP SYN Flood 공격, ICMP 응답 요청, 스머핑 공격 등을 수행
  • TFN2K
    • TEN의 확장판
  • Stacheldraht
    • 이전 툴들의 기능을 유지하면서, 공격자, 마스터, 에이전트가 쉽게 노출되지 않도록 암호화된 통신을 수행
• 네트워크 침해 공격 관련 용어
  • 세션 하이재킹(Session hijacking)
    • 상호 인증 과정을 거친 후 접속해 있는 서버와 서로 접속되어 클라이언트 사이의 세션 정보를 가로채는 공격 기법
  • ARP 스푸핑(ARP Spoofing)
    • ARP의 취약점을 이용한 공격 기법
    • 자신의 **물리적 주소(MAC)**를 공격대상의 것으로 변조하여 공격 대상에게 도달해야 하는 데이터 패킷을 가로채거나 방해함
  • 스미싱(Smishing)
    • 문자 메세지(SMS)를 이용해 사용자의 개인 신용 정보를 빼내는 수법
  • 스피어 피싱(Spear Phishing)
    • 사회공학의 한 기법
    • 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인정보를 탈취
  • 스니핑(Sniffing)
    • 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당
  • SQL 삽입(Injection) 공격 (개인적으로 중요)
    • 데이터베이스 등의 데이터를 조작하는 일련의 공격방식
  • 크로스사이트 스크립팅(XSS; Cross Site Scripting) (개인적으로 중요)
    • 네트워크를 통한 컴퓨터 보안 공격의 하나로, 웹 페이지의 내용을 사용자 브라우저에 표현하기 위해 사용되는 스크립트의 취약점을 약용한 해킹 기법
• 정보 보안 침해 공격 관련 용어
  • 좀비(Zombie) PC
    • 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터
    • DDoS 공격 등에 이용
  • C&C 서버
    • 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서법
  • 봇넷(Botnet)
    • 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
  • 웜(Worm)
    • 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종
    • 분산 서비스 거부 공격, 버퍼 오버플로 공격, 슬래머(SQL허점을 이용하여 SQL서버를 공격하는 웜 바이러스)
  • 제로 데이 공격(Zero Day Attack)
    • 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기도 전에 해당 취약점을 통하여 이루어지는 보안 공격
  • 키로거 공격(Key Logger Attack)
    • 컴퓨터 사용자의 키보드 움직임을 탐지해 개인의 중요한 정보를 몰래 빼가는 해킹 공격
  • 랜섬웨어(Ransomware)
    • 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 암호화해 사용자가 열지 못하게 하는 프로그램
  • 백도어(Back Door, Trap Door)
    • 시스템 설계자가 서비스 기술자나 유지 보수 프로그램 작성자(Programmer)의 액세스 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀 통로로, 컴퓨터 범죄에 악용되기도 함
  • 트로이 목마(Trojan Horse)
    • 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 것으로, 자기 복제 능력은 없음

300x250

 

 

📢 보안 솔루션

 

• 보안 솔루션
  • 외부로부터의 불법적인 침입을 막는 기술 및 시스템
• 방화벽(Firewall)
  • 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용/거부/수정하는 기능을 가진 침입 차단 시스템
• 침입 탐지 시스템(IDS, Intrusion Detection System)
  • 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
• 침입 방지 시스템(IPS, Intrusion Prevention System)
  • 비정상적인 트래픽을 능동적으로 차단하고 격리하는 보안 솔루션
• 데이터 유출 방지(DLP; Data Leakage/Loss Prevention)
  • 내부 정보의 외부 유출을 방지하는 보안 솔루션
• 웹 방화벽(Web Firewall)
  • 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽
• VPN(Virtual Private Network, 가상 사설 통신망)
  • 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션
• NAC(Network Access Controll)
  • 네트워크에 접속하는 내부 PC의 일괄된 보안 관리 기능을 제공하는 보안 솔루션
• ESM(Enterprise Security Management)
  • 로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션

 

 

 

---

B등급

 

📢 입력 데이터 검증 및 표현

 

• 보안 약점
  • SQL 삽입(Injection)
    • 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고, 관리자 인증을 우회하는 보안 약점
  • 경로 조작 및 자원 삽입
    • 데이터 입출력 경로를 조작하여 서버 자원을 수정/삭제할 수 있는 보안 약점
  • 크로스사이트스크립팅(XSS)
    • 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈튀하거나, 비정상적인 기능 수행을 유발하는 보안 약점
  • 운영체제 명령어 삽입
    • 외부 입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한을 탈취하거나 시스템 장애를 유발하는 보안 약점
  • 위험한 형식 파일 업로드
    • 악의적인 명령어가 포함된 스크립트 파일을 업로드함으로써 시스템에 손상을 주거나, 시스템을 제어할 수 있는 보안 약점
  • 신뢰되지 않는 URL 주소로 자동접속 연결
    • 입력 값으로 사이트 주소를 받는 경우 이를 조작하여 방문자를 피싱 사이트로 유도하는 보안 약점
  • 메모리 버퍼 오버플로
    • 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓰려고 할 때 발생하는 보안 약점

 

 

📢 보안 기능

 

• 보안 약점
  • 적절한 인증 없이 중요기능 허용
  • 부적절한 인가
  • 중요한 자원에 대한 잘못된 권한 설정
  • 취약한 암호화 알고리즘 사용
  • 중요정보 평문 저장 및 전송
  • 하드코드된 암호화 키

 

 

---

마치며..

 

원래는 저만 보려고 노트 정리했던 내용이라서 허술한 점이 많기도 할 거고 오타도 있을 수 있습니다. 참고용으로만 봐주세요 😂

 

많이 부족한 내용이셨겠지만 도움이 되셨다면 댓글 한 번씩 남겨주시면 많이 뿌듯할 것 같습니다. 😁😁

 

 

 

 

 

 

 

[정보처리기사 실기] 10장 프로그래밍 언어 활용

시간 관계상 노트 정리 대신 문제 풀이로 대체... 😢😢

 

 

[정보처리기사 실기] 11장 응용 SW 기초 언어 활용

시간 관계상 노트 정리 대신 문제 풀이로 대체... 😢😢

 

 

[정보처리기사 실기] 12장 제품소프트웨어 패키징

시간 관계상 노트 정리 대신 문제 풀이로 대체... 😢😢