[실기] 초초초요약 - 9장 소프트웨어 개발 보안 구축

책 자체에서 A, B 이런 식으로 출제 정도를 표시하고, 출제된 년도 수도 나온다. 표시된 대로 한 번 이상 출제는 회색 배경, 두 번이상 및 직접 출제를 확인한 경우, 노랑 배경으로 표시할 예정이다. 또한 키워드 위주로 최대한 기억하기 쉽게 기록할 예정이다. 그래서 이해하기 힘들 수도있지만 최대한 쉽게 써볼 예정이다...

소프트웨어 개발 보안 요소

보안의 3대 요소

기밀성 Confidentiality
인가 사용자에게 접근 허용
무결성 Integrity
인가 사용자만 수정
가용성 Availability
인가 사용자 언제든 사용

인증 Authentication - 사용자가 합법적인 사용자인지 확인 (패스워드, 인증 카드, 지문...)

부인방지 NonRepudiation - 송 수신 증거 제공

SQL 삽입

web에 SQL 삽입 Injection, 데이터를 유출 및 변조하고 관리자 인증 우회하는 보안 약점.

스택 가드 ; Stack Guard

주소가 저장되는 stack에서 발생하는 보안 약점 막는 기술 중 하나

메모리상에서 특정 값지정, 변경되면 overflow 상태로 시행 중단.

접근 제어자

외부로부터 접근을 제한하기 위해 사용되는 예약어

접근 제어자	클래스 내부	패키지 내부	하위 클래스	패키지 외부
Public	O	O	O	O
Protected	O	O	O	X
Default	O	O	X	X
Private	O	X	X	X

개인키 암호화 기법 ; Private Key Encryption

동일한 키로 데이터를 암호화, 복호화하는 암호화 기법

= 대칭 암호 기법, 단일키 암호화 기법

속도가 빠르다.

관리할 키 수가 많다.

스트림 암호화 방식 : 평문과 동일 길이 스트림 생성, bit단위로 암호화
- LFSR
- RC4
- TKIP ; Temporal Key Integrity Protocol
  무선 랜 보안 프로토콜 WEP 취약성 보완한 데이터 보안 프로토콜
블록 암호화 방식 : 한 번에 하나의 데이터 블록 암호화.
- DES ; Data Encryption Standard
  미국 NBS 발표, 개인키 암호화 알고리즘
  *3 = 3DES 가 있음
  블록 64비트, 키 길이 56비트 . * 16회의 라운드
- SEED
- AES ; Advanced Encryption Standard
  미국 NIST 발표, DES의 한계 이후 발표
  블록 128비트, 키 길이 에 따라 AES-128, AES-192, AES-256
- ARIA
- IDEA ; International Data Encryption Algorithm
  : 스위스 Lai, Messey가 1990 개발 PES 개선한 알고리즘
  블록 64비트, 키 길이 128비트
- Skipjack
  : 국가 안전 보장국 NSA에서 개발한 암호화. Clipper Chip IC 칩 내장
  주로 음성 데이터 암호화
  블록 64비트, 키 길이 80비트

RSA ; Rivest Chamir Adleman
MIT 공개키 암호화 알고리즘
큰 숫자를 소인수분해 하기 어렵다는 것에 기반

해시 ; Hash
입력 데이터, 메시지를 고정 길이 값이나 키로 변환.
이 알고리즘 = 해시 함수, 값이나 키 = 해시값, 해시키
SHA... , HAVAL, N-NASH, SNEFRU, MD4,
- MD5 ; Message Digest algorithm 5
  : MD4 대체. 암호화 해시 함수.
  블록 크기 512비트, 키 길이 128비트

인증 Authentication

로그인을 요청한 사용자 정보 확인, 접근 권한 검증 보안 절차

지식 기반 인증 : pw, i-pin
소유 기반 인증 : 신분증, 메모리 카드, OTP
생체 기반 인증 : 지문, 홍채, 얼굴..
위치 기반 인증 : GPS, IP, 콜백..
행위 기반 인증 : 서명, 동작..

know, have, somthin u r, somwhere u r, do

침입 탐지 시스템 IDS ; Intrusion Detection System

비정상적 사용, 오용, 남용 등을 실시간 탐지

오용 탐지 Misuse Detection : 미리 입력해둔 공격 패턴 감지
이상 탐지 Anomaly Detection : 평균 상태 기준, 비정상 행위 감지

VPN ; Virtual Private Network

공중 네트워크, 암호화 기술 -> 사용자가 마치 자신 전용 회선 이용하는 것처럼 해주는 보안 솔루션

SSL VPN : pc에 VPN client 설치, 접속. 암호화를 위해 SSL protocol 사용.
IPSec VPN : VPN 서버가 설치된 각각 네트워크를 연결. 암호화를 위해 IPSec protocol 사용.

SIEM ; Security Information and Event Management

로그 및 보안 이벤트를 통합, 관리. 빅데이터 기반의 보안 솔루션 (장기간 수집, 관리 가능)

방화벽, IDS, IPS, 등 에서 발생한 로그 및 보안 이벤트 통합 관리

SSH ; Secure SHell 시큐어 셀

다른 컴퓨터 원격 접속 ㅇㅇ

데이터 암호화, 강력한 인증으로 안전 통신

key 인증 사용하려면 사전에 클라이언트 공개키를 서버에 등록

기본적으로 22port

AAA (3A)

사용자의 컴퓨터 자원 접근에 대한 처리와 서비스를 제공하는 기반 구조, 규격

인증 Authentication 신원 인증
인가 Authorization 검증 사용자 권한 허용
과금 Accounting 얼만큼 이용

정보보호 관리 체계 ISMS ; Information Security Management System

정보 자산을 안전하게 보호하기 위한 보호 절차와 대책

우리나라 한국인터넷진흥원KISA

죽음의 핑.. Ping of Death

패킷의 크리를 허용 범위 이상으로 전송 , 네트워크 마비시키는 서비스 거부 공격 방법

스머핑 SMURFING

IP나 ICMP의 특성을 악용, 엄청난 양 데이터 한 사이트 집중 보냄. 네트워크 불능 상태

LAND Attack ; Local Area Network Denial Attack

패킷 전송 시 송신 IP 주소, 수신 IP 주소를 모두 공격 IP 주소로.

자신에게 무한히 응답하게 하는 공격 방법

분산 서비스 공격용 툴

Agent의 역할을 수행하도록 설계된 프로그램. Daemon이라 부르며

종류

Trin00 : 초기 형태 데몬, UPD Flooding 공격 수행
TFN ; Trive Flood Network : UDP Flooding, TCP SYN Flood, ICMP 응답 요청, 스머핑 공격
TFN2K : TFN 확장판
Stacheldraht : 공격자, 마스터 쉽게 노출되지 않도록 암호화 통신. 툴 자동 업뎃

세션 하이재킹 Session Hijacking

상호 인증 과정, 접속 서버와 클라이언트 사이의 세션 정보를 가로채는 공격 기법

TCP 세션 하이재킹 : TCP-3-Way-Handshake 과정에 끼어들어 client - server 간 동기화된 시퀀스 번호를 가로채 무단으로 접근하는

ARP 스푸핑 ; ARP Spoofing

자신의 물리적 주소 MAC 를 공격 대상의 것으로 변조. 데이터 패킷을 가로채거나 방해.

- ARP(Address Resolution Protocol : host IP 주소를 호스트와 연결된 네트워크 물리적 주소 MAC address로 변환.

사회 공학 ; Social Engineering

인간 상호 작용의 깊은 신뢰를 바탕으로 속이는 비기술적 시스템 침입 수단

다크 데이터 ; Dark Data

데이터 수집, 활용되지 않고 저장만 되어있는 대량 데이터

타이포스쿼팅 ; Typosquatting

주소를 잘못 입력, 실수를 이용 -> 유사한 도메인을 미리 등록

= URL Hijacking

스니핑 Sniffing

네트워크의 중간에서 남의 패킷 정보 도청하는 해킹. 수동적 공격

워터링 홀 ; Watering Hole

웹사이트 사전에 감염, 방문시 악성 코드에 감염되게 하는 웹 기반 공격

키로거 공격 ; Key Logger Attack

컴퓨터 사용자 키보드 움직임 탐지해 정보를 빼가는 해경 공격

랜섬웨어 ; Ransomware

내부 문서나 파일을 암호화해 사용자가 열지 못하게 하는 프로그램

백도어 ; Back Door

시스템 설계자가 액세스 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀 통로

기타 정보 보안 관련 용어 1

스미싱 Smishing
SMS로 정보 빼내기
스피어 피싱 Spear Phishing
사회 공학. 메일로 링크 클릭 유도
APT (Advanced Persistent Threats, 지능형 지속 위협)
기술 이용해 기업 침투, 보안 무력화
무작위 대입 공격 (Brute Force Attack)
암호 모든 값 대입해 공격
큐싱 (Qshing)
QR 코드로 다운 유도, 개인정보 낚는다
WEP (Wired Equivalent Privacy, 유선급 프라이버시)
유선랜 LAN 비슷한 수준 무선 랜 WLAN 보안 프로토콜
WPA2 (Wi-Fi Protected Access 2)
WEP 취약성 대안. 무선랜 보안 기술 규격
EDR (Endpoint Detection & Response)
엔드포인트(요청 - 서비스 종착점인 서버 등) 영역 모니터링으로 위협 탐지 및 대응 기능 제공 솔루션
TMS (Threat Management System)
전사적 IT 인프라 위협 정보 수집. 분석
DTLS (Datagram Transport Layer Security)
전송 계층 프로토콜 UDP 기반, SSL/TLS와 유사한 보안 기능
크리덴셜 스터핑 (Credential Stuffing)
무차별 대입 공격. 확보한 로그인 자격 증명 무작위 대입, 탈취
POODLE (Padding Oracle On Downgraded Legacy Encryption)
TLS 연결 SSL 3.0으로 낮춰 취약점 이용해 암호문 해독
DDE (Dynamic Data Exchange)
microsoft - app 사이 데이터 전달 프로토콜. 문서로 위장한 악성 코드

기타 정보 보안 관련 용어 2

좀비 PC
악성코드 감염되어 조종하도록 만들어진. DDos 공격 등에 이용
C&C 서버
해커가 원격지에서 좀비 PC에 명령 내리고 제어
봇넷 Botnet
악의적인 의도로 사용될 수 있는 다수 컴퓨터들이 네트워크로 연결
제로 데이 공격 Zero Day Attack
취약점 발견 되었을때 공표되기 전에 공격. 공격의 신속성
트로이 목마 Trojan Horse
정상 기능인 척 위장. 동작할 때 활성화. 자기 복제 능력은 없음
CC 인증 (Common Criteria)
국가 정보보호시스템 평가기준 연동. 인증. 국제 표준
멀버타이징 Malvertising
Malware + Advertising 합성어. 온라인 광고로 코드 유포
정보공유분석센터 ISAC ; Information Shring. & Analysis Center)
취약점 및 요인과 대응방안에 관한 정보 제공. 정보통신기반 시설 보호 업무
업무연속성계획 BCP ; Cusiness Continutiy Planning
각종 재해 재난으로부터 위기관리를 기반, 비즈니스 연속성을 보장하기 위한 계획. RTO, RPO, 등... 설정
데이터 디들링 Data Diddling
처리할 자료를 다른 자료로 바꿔서 철. 부정한 의도로 수정하여 잘못된 결과가 나오도록
비트로커 BitLocker
Windows 7 부터. 전용 볼륨 암호화 기능. TPM + AES-128
공급망 공격 Supply Chain Attack
소프트웨어 공급망에 침투, 악성코드 배포.
바이러스 Virus
운영체제나 저장된 데이터에 손상. 복제, 감염
웜 Worm
네트워크를 통해 연속적 복제, 시스템 다운. 분산 서비스 거부 공격, 버퍼 오버플로 공격, 슬래머 ....

중요 키워드 순 재정리

두번 나온건 없다 회색위주로 기억하면 될듯하다

'정보처리기사' 카테고리의 다른 글

[실기] 초초초요약 - 12장 제품 소프트웨어 패키징 (0)	2024.10.20
[실기] 초초초요약 - 11장 응용 SW 기초 기술 활용 (2)	2024.10.20
[실기] 초초초요약 - 8장 SQL 응용 (5)	2024.10.17
[실기] 초초초요약 - 7장 애플리케이션 테스트 관리 (4)	2024.10.16
[실기] 초초초요약 - 6장 화면 설계 (1)	2024.10.16

search