[정보처리기사 실기] 9. 소프트웨어 개발 보안 구축

★ 용어 위주 파트/암호 부분 확인

9-1. 소프트웨어 개발 보안 설계

◎ SW 개발 보안의 3대 요소

• 기밀성: 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
• 무결성: 정당한 방법을 따르지 않고서는 데이터가 변경 될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손되지 않음을 보장
• 가용성: 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속해서 사용할 수 있도록 보장하는 특성

◎ SW 개발 보안 용어

• 자산: 조직의 데이터
• 위협: 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위
• 취약점: 위협이 발생하기 위한 사전 조건
• 위험: 위협이 취약점을 이용해 조직의 자산 손실 피해를 가져올 가능성

◎ DoS : 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 해 사용하지 못하게 하는 공격

◎ DoS 공격의 종류

◎ DDoS : 여러 대의 공격자를 분산 배치해 동시에 동작하게 함으로써 특정 사이트 공격

◎ DDoS 공격 도구 

◎ DRDoS공격 : 공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부(DoS)가 되는 공격이다.

◎ 애플리케이션 공격 (DDoS서비스 마비 공격)

◎ 네트워크 공격

◎ 버퍼 오버플로우 공격 

◎  백도어

◎  주요 시스템 보안 공격 기법

◎ 보안관련용어

◎ 접근통제기법

◎ 서버접근통제유형

◎ 인증 기술의 유형

◎ 접근 통제 보호 모델

◎ 암호 알고리즘

- 양방향 (암호화, 복호화)

• 대칭 키 암호 방식 = 비밀키 암호방식 (암호화 키 = 복호화 키)
• -> 블록 암호 방식 : DES, AES, SEED, ARIA, IDEA
• -> 스트림 암호 방식 : RC4, LFSR, SEAL
• 비대칭 키 암호 방식 = 공개키 암호방식  (암호화 키 =! 복호화 키)
• -> RSA, ECC, ELGAMAL, 디피-헬만

 

- 일방향 (암호화)

• 해시 암호 방식 : MAC, MDC

 

◎ 대칭 키 암호화 알고리즘

• DES : 1975년 미국 연방 표준국에서 발표
• SEED
• AES
• ARIA
• IDEA
• LFSR

◎ 비대칭 키 암호화 알고리즘

• 디피-헬만 : 최초 공개키 알고리즘. 이산대수
• RSA : 1977년 3명의 MIT수학교수가 고안, 소인수 분해하는 수학적 알고리즘
• ECC :  RSA 암호 방식에 대한 대안, 타원 곡선 암호
• ELGAMAL : 이산대수의 계산이 어려운 문제를 기본원리로 함

◎ 해시 암호화 알고리즘

•  MD5
• SHA-1
• SHA-256/384/512
• HAS-160

◎ IPSec(INTERNET PROTOCOL SECURITY)

• IP 계층에서 무결성과 인증을 보장하는 인증 헤더와 기밀성을 보장하는 암호화를 이용한 IP 보안 프로토콜
• -> 인증/암호화/키 관리 프로토콜로 구성

◎ SSL/TLS : 전송계층과 응용계층 사이에서 클라이언트와 서버 간의 웹 데이터 암호화, 상호 인증 및 전송 시 데이터 무결성을 보장하는 보안 프로토콜

◎ S-HTTP : 웹상에서 네트워크 트래픽을 암호화하는 주요 방법, 클라이언트와 서버 간 전송되는 모든 메시지를 각각 암호화해 전송하는 기술

◎ 개인정보보호 관련 법령

• 개인정보 보호법/ 정보통신망법/신용정보법
• -> 민감 정보 : 주체의 사생활을 현저하게 침해할 수 있는 정보
• -> 고유 식별정보 : 개인을 고유하게 구별하기 위해 부여된 식별 정보

 

9-2 소프트웨어 개발 보안 구현

◎ 입력 데이터 검증 및 표현 취약점

◎ 네트워크 보안 솔루션

◎ 콘텐츠 유출방지 솔루션

◎ 비즈니스 연속성 계획

◎ 비즈니스 연속성 계획 관련 주요 용어

◎ DRS의 유형

◎ 보안 공격 관련 중요 용어