02 소프트웨어 개발 보안 구현
▶ 입력 데이터 검증 및 표현 취약점
⦁ XSS(Cross Site Script) : 검증되지 않은 외부 입력 데이터가 포함된 웹페이지를 사용자가 열람할 때 부적절한 스크립트가 실행되는 공격
⦁ 사이트 간 요청 위조(CSRF; Cross Site Request Forgery) : 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
⦁ SQL 삽입(Injection) : 악의적인 SQL 구문을 삽입하고 실행시켜 정보를 열람, 조작할 수 있는 취약점 공격법
▶ 네트워크 보안 솔루션
⦁ 방화벽(Firewall) : 기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템
⦁ 웹 방화벽 (WAF; Web Application Firewall)
⦁ 네트워크 접근 제어(NAC; Network Access Control) : 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션
⦁ 침입 탐지 시스템(IDS; Intrusion Detection System) : 네트워크에 발생하는 이벤트를 모니터링하고, 침입을 실시간으로 탐지하는 시스템
⦁ 침입 방지 시스템(IPS; Intrusion Prevention System) : 네트워크에 대한 공격이나 침입을 실시간적으로 차단하는 시스템
⦁ 무선 침입 방지 시스템(WIPS; Wireless Intrusion Prevention System) : 무선 단말기의 접속을 자동 탐지
⦁ 통합 보안 시스템(UTM; Unified Threat Management) : 다양한 보안 장비의 기능을 하나로 통합한 장비
⦁ 가상사설망(VPN; Virtual Private Network) : 인터넷과 같은 공중망에 인증, 암호화, 터널링 기술을 활용해 마치 전용망을 사용하는 효과를 가지는 보안 솔루션
▶ 콘텐츠 유출 방지 솔루션
⦁ 데이터 유출 방지(DLP; Data Loss Prevention) : 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단
⦁ 디지털 저작권 관리(DRM; Digital Right Management) : 디지털 저작물에 대한 보호와 관리 솔루션
▶ 비즈니스 연속성 계획(BCP; Business Continuity Plan)
각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비스니스 연속성을 보장하는 체계
▶ 비즈니스 연속성 계획 관련 주요 용어
⦁ BIA(Business Impact Analysis) : 장애나 재해로 인한 운영상의 주요 손실을 볼 것을 가정하여 비즈니스 영향 분석
⦁ RTO(Recovery Time Objective) : 업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간
⦁ RPO(Recovery Point Objective) : 업무중단 시점부터 데이터가 복구되어 다시 정상 가동될 때 데이터의 손실 허용 시점
⦁ DRP(Disaster Recovery Plan) : 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획
⦁ DRS(Disaster Recovery System) : 재해 복구 센터
▶ DRS의 유형
⦁ Mirror Site : 재해 발생 시 복구까지의 소요 시간(RTO)은 즉시
⦁ Hot Site : 4시간 이내
⦁ Warm Site : 수일 ~ 수주
⦁ Cold Site : 수주 ~ 수개월
▶ 보안 공격 관련 중요 용어
⦁ 워터링 홀(Watering Hole) : 특정인이 잘 방문하는 웹 사이트에 악성코드를 심는 공격기법
⦁ 토르 네트워크 : 네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하며, 익명으로 인터넷을 사용할 수 있는 가상 네트워크
⦁ 핑거 프린팅 : 멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자 정보를 삽입해 콘텐츠 불법 배포자에 대한 위치 주적이 가능한 기술
⦁ CWE : 미국 비영리 회사인 MITRE 사가 중심이 되어 소프트웨어에서 공통적으로 발생하는 약점을 체계적으로 분류한 목록
⦁ 디렉토리 리스팅(Listing) 취약점 : 공격자가 서버 내의 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점
⦁ 부 채널 공격(Side Channel Attack) : 암호화 알고리즘의 물리적 특성을 측정 해 내부 비밀정보를 획득
⦁ 드라이브 바이 다운로드(Drive By Download) : 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버로 연결하여 감염시킴
'자격증 > 정보처리기사' 카테고리의 다른 글
| [정보처리기사] 성능 개선 및 운영체제 | 민민의 하드디스크 - 티스토리 (0) | 2023.04.17 |
|---|---|
| [정보처리기사] 테스트 케이스 | 민민의 하드디스크 - 티스토리 (0) | 2023.04.17 |
| [정보처리기사] 접근 통제 기법 및 암호화 알고리즘 | 민민의 하드디스크 - 티스토리 (0) | 2023.04.17 |
| [정보처리기사] 소프트웨어 개발 보안 설계 및 공격 기법 | 민민의 하드디스크 - 티스토리 (0) | 2023.04.17 |
| [정보처리기사] 공통 모듈과 모듈화 | 민민의 하드디스크 - 티스토리 (0) | 2023.04.17 |
