입력 데이터 검증 및 표현
입력 데이터 검증 및 표현 취약점
XSS- 검증되지 않은 웹페이지가 전송되는 경우, 부적절한 스크립트가 실행
사이트 간 요청 위조 (CSRF)- 사용자 의지와 상관없이 공격자가 의도한 행위를 요청하게 되는 공격
SQL 삽입- 응용 프로그램의 취약점을 이용
- 악의적인 SQL 구문을 삽입
시스템 보안 구현
리눅스 주요 로그 파일
wtmp- 사용자 로그인/로그아웃 정보
- last 명령어
보안 솔루션
방화벽- 기업 내/외부 간 트래픽을 모니터링
웹 방화벽 (WAF)- XSS, SQL인젝션을 탐지하고 방지
네트워크 접근 제어 (NAC)- 바이러스나 웜으로부터 방지
가상사설망 (VPN)- 마치 전용망을 사용하는 효과
- SSL 방식과 IPSec 방식
SIEM- 위협에 대응하는 보안 관제 솔루션
- 머신러닝 기술을 이용하여 대량의 로그분석
ESM- 각종 이벤트 및 로그를 통합해서 관리
- 서로 다른 기종의 보안 장비들을 모니터링하여 통합 관리
SW 개발 보안 테스트와 결함 관리
정적 분석- SW를 실행하지 않고 보안 약점 분석
동적 분석- 실행 단계
비즈니스 연속성 계획(BCP)
- 각종 재해, 재난으로부터 위기관리를 기반으로 재해복구, 비상계획을 통해 비스니스 연속성을 보장하는 체계
비즈니스 연속성 계획 관련 주요 용어
BIA- BCP를 구축하기 위한 비즈니스 영향 분석
RTO- 다시 가동될 때까지의 시간
RPO- 데이터 손실 허용 시점
DRS- 재해복구센터
보안 용어
보안 공격 관련 용어
드라이브 바이 다운로드- 악성 스크립트를 설치하고 접속시 사용자 동의없이 실행되어 감염
워터링 홀- 자주 방문하는 페이지에 악성 코드를 심거나, URL로 유인하여 감염
하트블라드- 하트비트
스피어피싱- 파일 클릭하도록 유도하여 감염
스미싱- 문자메시지 피싱
큐싱- 큐알코드 피싱
봇넷- 악성 프로그램에 감염되어 다수의 컴퓨터들이 네트워크로 연결된 형태
제로데이 공격- 대응책이 발표되기 전 공격이 이루어지는 것
바이러스- 자가 증식 불가
웜- 자가 증식 가능
악성 봇- 공격 당해 원격으로 제어 0당하는 프로그램
랜섬웨어- 몸 값을 요구
이블 트윈- 무선 와이파이 피싱 기법
사회공학- 사람들의 심리와 행동을 이용
타이포스쿼팅- URL 하이재킹
- 네이버를 검색했는데 네이바가 나와서 해킹하는 방법
- 유사한 URL을 사용
주요 시스템 보안 공격 기법
키로거 공격- 키보드 움직임
보안 공격 대응 관련 용어
ISMS- 정보 자산을 관리, 보호하기 위한 종합적인 체계
트러스트존- ARM사에서 개발
- 프로세스 안에 독립적인 보안 구역을 두어 중요한 정보는 따로 보관
TKIP- 임시 키 무결성 프로토콜
안녕하세요, 박경서입니다.