SECTION 133 Secure SDLC
(1) Secure SDLC
Secure SDLC는 보안상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것을 의미한다.
요구사항 분석, 설계, 구현, 테스트, 유지보수 등 SDLC 전체 단계에 걸쳐 수행되어야 할 보안 활동을 제시한다.
(3) 소프트웨어 개발 보안 요소
| 보안 요소 | 설명 |
| 기밀성(Confidentiality) | 시스템 내의 정보와 지원은 인가된 사용자에게만 접근이 허용됨 정보가 전송 중에 노출되더라도 데이터를 읽을 수 없음 |
| 무결성(Integrity) | 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음 |
| 가용성(Availability) | 인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있음 |
| 인증(Authentication) | 시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지를 확인하는 모든 행위 |
| 부인 방지(NonRepudiation) | 데이터를 송/수신한 자가 송/수신 사실을 부인할 수 없도록 송/수신 증거를 제공함 |
SECTION 135 입력 데이터 검증 및 표현
(1) 입력 데이터 검증 및 표현
| 보안 약점 | 설명 |
| SQL 삽입 | 웹 응용 프로그램에 SQL을 삽입하여 |
| 크로스사이트 스크립팅(XSS) | 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나, 비정상적인 기능 수행을 유발하는 보안 약점 |
| 메모리 버퍼 오버플로 | 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓰려고 할 때 발새앟는 보안 약점 설정된 범위의 메모리 내에서 올바르게 읽거나 쓸 수 있도록 함으로써 방지할 수 있음 |
SECTION 139 코드 오류
(1) 코드 오류
| 보안 약점 | 설명 |
| 널 포인터(Null Pointer) 역참조 | 널 포인터가 가리키는 메모리의 위치에 값을 저장할 때 발생하는 보안 약점 포인터를 이용하기 전에 널 값을 갖고 있는지 검사함으로써 방지할 수 있음 |
SECTION 140 캡슐화
(2) 접근 제어자
개체를 선언할 때 외부로붜의 접근을 제한하기 위해 사용되는 예약어이다.
| 접근 제어자 | 클래스 내부 | 패키지 내부 | 하위 클래스 | 패키지 외부 |
| Public | O | O | O | O |
| Protected | O | O | O | X |
| Default | O | O | X | X |
| Private | O | X | X | X |
SECTION 142 암호 알고리즘
(4) 양방향 알고리즘의 종류
| 알고리즘 | 특징 |
| SEED | 블록 크기는 128비트이며, 키 길이에 따라 128, 256으로 분류됨 |
| ARIA | 2004년 국가정보원과 산학연협회가 개발한 블록 암호화 알고리즘 |
| DES | |
| AES | |
| RSA | 공개키 암호화 알고리즘 큰 숫자는 소인수분해하기 어렵다는 것에 기반하여 만들어짐 |
(5) 해시(Hash)
| 해시 함수 | 특징 |
| SHA 시리즈 | |
| MD5 | 1991년 R.Rivest가 MD4를 대체하기 위해 고안된 암호화 해시 함수 블록 크기가 512비트이며, 키 길이는 128비트임 |
SECTION 143 서비스 공격 유형
(1) 서비스 거부(Dos; Denial of Service) 고격
대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로서, 표적이 되는 정상적인 기능을 방해하는 것이다.
(3) SMURFING(스머핑)
IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격 방법
(6) LAND Attack(Local Area Network Denial Attack)
패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 공격 대상에서 전송하는 것이다.
(7) DDos(Distributed Denial of Service, 분산 서비스 거부) 공격
DDoS 공격은 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행
(9) 정보 보안 침해 공격 관련 용어
| 용어 | 의미 |
| C&C 서버 | 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버를 말함 |
| 키로거 공격 | 컴퓨터 사용자의 키보드 움직임을 탐지해 ID, 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 해킹 공격 |
| 랜섬웨어 | 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 암호화해 사용자가 열지 못하게하는 프로그램 |
| 백도어 | 시스템 설계자가 서비스 기술자나 유지 보수 프로그램 작성자(Programmer)의 액세스 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀 통로 |
SECTION 147 보안 솔루션
(3) 침입 탐지 시스템(IDS; Intrusion Detection System)
(4) 침입 방지 시스템(IPS; Intrusion Prevention System)
(7) VPN(Virtual Private Network, 가상 사설 통신망)
암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션
'자격증 > 정보처리기사 실기' 카테고리의 다른 글
| 시나공 정보처리기사 실기 요약 11장 응용 SW 기초 기술 활용 (0) | 2021.09.30 |
|---|---|
| 시나공 정보처리기사 실기 요약 10장 프로그래밍 언어 활용 (0) | 2021.09.30 |
| 시나공 정보처리기사 실기 요약 8장 SQL 응용 (0) | 2021.09.29 |
| 시나공 정보처리기사 실기 요약 7장 애플리케이션 테스트 관리 (0) | 2021.09.27 |
| 시나공 정보처리기사 실기 요약 6장 화면 설계 (0) | 2021.09.27 |