정처리 기사 실기 정리 - 9

9 파트는 소프트웨어 보안 설계이다. SQL에서 머리를 많이 썼는데, 여기도 나올 것들은 나오니까 주의해야한다.

 

Secure SDLC	보안상 안전한 소프트웨어를 개발하기 위해 SLDC에 보안 강화를 위한 프로세스를 포함한 것	요구사항 분석, 설계, 구현, 테스트, 유지보수 등 SLDC 전체에 걸쳐 수행되어야 할 보안 활동을 제시한다.
CLASP	SLDC의 초기 단계에서 보안 강화를 위해 나온 방법론
SDL	마이크로소프트 사에서 안전한 개발을 위해 기존의 SDLC를 개선한 방법론
Seven TouchPoints	보안의 모법 사례를 SDLC에 통합한 방법론

 

 

소프트웨어 보안 요소
기밀성	시스템 내의 정보와 자원은 인가된 사용자만 접근 가능, 전송 중 노출되어도 읽을 수 없어야함
무결성	시스템 내의 정보는 오직 인가된 사용자만 수정 가능해야함
가용성	인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 쓸 수 있어야함
인증	시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인지 확인하는 모든 행위
부인 방지	데이터 송/수신한 자가 그 사실을 부인할 수 없도록 증거를 제공

 

암호 알고리즘	주민번호, 은행계좌 등 중요 정보를 보호하기 위한 암호화된 문장으로 만드는 방법
암호화 방식	양방향	개인 키 stream 방식 - 평문과 동일한 길이의 스트림 생성하여 비트 단위로 암호화하는 방식, LFSR, RC4 Block 방식 - 한 번에 하나의 데이터 블록을 암호화하는 방식, DES, SEED, AES, ARIA
		공개키 암호키와 해독키가 서로 다른 기법, 알고리즘이 복잡하고 암/복호화 속도가 느리다. RSA, EIGama
	단방향	HASH SHA - 1993 미국 NIST 개발 MD5 - 1992년 Ron Risvet이 개발, 충돌 회피성 이슈로 사용 안함 HAS-160 국내 개발, SHA와 유사

 

서비스 공격 유형
서비스 거부 유형 (DOS)	시스템 자원을 고갈시키는 공격, 대량의 데이터를 한 곳의 서버에 집중시킴
스머프	IP나 ICMP의 특성을 악용, 큰 데이터를 한 사이트에 집중시킴으로 네크워크를 마비시킴
ping of death	비 정상적인 크기의 패킷을 전송하여 네트워크를 마비
TCP SYN Flooding	TCP 연결의 취약점을 악용한 서비스 거부 공격
Tear Drop	패킷 재조합 문제를 악용, 순서가 조작된 일련의 패킷을 조각을 보내 리소스 고갈 유도
분산 서비스 거부 유형(DDOS)	여러 대의 공격자를 분산 배치, 동시에 서비스 거부 공격을 진행함
네트웤크 침해 공격 관련 유형
피싱	진짜 웹 사이트처럼 꾸며진 가짜 웹 사이트를 통해 개인정보를 탈취시킴
파밍	도메인을 탈취, 악성 코드를 통해 DNS 이름을 속여 사용자가 진짜 웹 사이트에 온 줄 착각하게 만들어 개인정보를 탈취
스니핑	타인의 패킷 교환을 엿듣는 방식으로 개인 정보를 탈취
스미싱	문자에 첨부된 링크를 클릭하면 악성 코드를 설치하는 공격 방식
세션 하이재킹	서버와 연결된 클라이언트 사이의 세션 정보를 가로채는 공격
키 로거	사용자의 키보드 움직임을 탈취
SQL 인젝션	악의적인 SQL 명령을 응용 프로그램이 수행하도록 하는 공격
XSS	게시판 글에 원본과 함께 악성 코드를 삽입하여 글에 접속하면 악성코드가 실행, 정보를 유출시키는 공격
스피어 피싱	공격 대상이 접속할 사잍느를 미리 감염 시키고, 이후 공격 대상이 접속하면 악성 코드로 감염시키는 방식
APT	다양한 IT  기술과 방식을 이용, 조직적으로 특정 기업이나 네트워크에 침투한 다음 보안을 무력화시키고 정보를 수집하고 유출시도