Today I Learned
추석이지만 공부!!
소프트웨어 개발 보안 구축
Secure SDLC
보안상 안전한 소프트웨어를 개발하기 위해 SDLC(소프트웨어 생명 주기)에 보안 강화 프로세스를 포함한 것
- Seven Touchpoints : SW 보안의 모범사례를 SDLC에 통합한 방법론
소프트웨어 개발 보안 요소 - A
보안 3대 요소
-
기밀성(Confidentiality)
시스템 내의 정보와 자원은 인가된 사용자에게만 접근 허용
정보 전송 중 노출되더라도 데이터를 읽을 수 없다. -
무결성(Integrity)
시스템 내 정보는 오직 인가된 사용자만 수정 가능 -
가용성(Availability)
인가받은 사용자는 시스템 내 정보와 자원을 언제든 사용 가능
시큐어 코딩
Secure Coding. 구현단계에서 보안 요소를 고려하며 코딩하는 것
보안 취약점을 사전 대응해 안정성과 신뢰성 확보
보안 관련 용어
SQL 삽입 - A
웹 응용 프로그램에 SQL을 삽입해 내부 DB의 데이터를 유출 및 변조하고 관리자 인증을 우회하는 보안 약점
크로스 사이트 스크립팅(XSS)
웹페이지에 악의적인 스크립트를 삽입해 정보 탈취나 비정상적인 기능을 유발하는 보안 약점
메모리 버퍼 오버플로
프로그램에 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓰려고 할 때 발생하는 보안 약점
보안기능
-
HTTPS : 웹브라우저와 서버간 안전한 통신을 위해 HTTP와 암호 통신 규약을 결합한 것
-
SSL(Secure Sockets Layer) : TCP/IP 계층과 애플리케이션 계층 사이에 위치해 인증, 암호화, 무결성을 보장하는 업계 표준 프로토콜
-
하드코딩 : 데이터를 코드 내부에 직접 입력해 프로그래밍하는 방식
하드코드된 암호화 키는 유출이나 무차별 대입공격에 의해 탈취될 수 있다.
스택가드 - B
주소가 저장되는 스택에서 발생하는 보안 약점을 막는 기술
메모리상에서 프로그램의 복귀주소와 변수 사이에 특정 값을 저장해두었다가 그 값이 변경되었을 경우 오버플로우 상태로 가정해 프로그램 실행을 중단해 잘못된 복귀 주소 호출을 막는 기술
접근제어자
프로그래밍 언어에서 특정 개체를 선언할 때 외부로부터 접근을 제한하기 위해 사용되는 예약어
- in Java : public, protected, default, private
보안 솔루션
인증
Authentication. 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차
자신의 신원을 시스템에 증명하는 과정
방화벽(Firewall)
기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별해 수용, 거부, 수정하는 기능을 가진 침입 차단 시스템
내부->외부 패킷은 그대로 통과시키고, 외부->내부 패킷은 체크해 인증된 패킷만 통과시키는 구조
침입 탐지 시스템(IDS)
IDS. 컴퓨터 시스템의 비정상적인 사용, 오용, 남용등을 실시간으로 탐지하는 시스템
- 오용 탐지 : 미리 입력해둔 공격패턴이 탐지되면 이를 알려줌
- 이상탐지 : 평균적인 시스템의 상태를 기준으로 비정상적인 행위나 자원의 사용이 감지되면 이를 알려줌
침입 방지 시스템(IPS)
IPS. 비정상적인 트래픽을 능동적으로 차단하고 격리하는 보안 솔루션.
침입 방지 시스템 = 방화벽 + 침입 탐지 시스템
데이터 유출 방지(DLP)
DLP. 내부 정보의 외부 유출을 방지하는 보안 솔루션
조직 내의 PC와 네트워크상의 모든 정보를 검색하고 사용자 행위를 탐지해 외부로의 유출을 사전에 막는 역할을 수행
VPN - A
Virtual Private Network. 통신 사업자의 공중 네트워크와 암호화 기술을 이용해 사용자가 마치 자신의 전용 회선을 사용하는 것 처럼 해주는 보안 솔루션
암호화된 규격을 통해 인터넷망을 전용선의 사설망을 구축한 것처럼 이요하므로 비용 부담을 줄일 수 있다.
- SSL VPN : PC에 VPN Client 프로그램을 설치해 VPN 서버에 접속하는 방식. 암호화를 위해 SSL 프로토콜을 사용
- IPSec VPN : VPN 서버가 설치된 각각의 네트워크를 서로 연결하는 방식. 암호화를 위해 IPSec 프로토콜을 사용
NAC
네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안관리 기능을 제공하는 보안 솔루션
망에 접속한 PC들의 SW 사용 현황을 관리해 불법 SW 설치를 방지
SIEM - A
다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합해 관리하는 빅데이터 기반의 보안 솔루션
방화벽, IDS IPS, 웹방화벽, VPN 등에서 발생한 로그 및 보안 이벤트를 통합해 관리해 비용 및 자원 절약
SSH - A
Secure SHell. 다른 컴퓨터에 원격으로 접속해 작업을 수행할 수 있도록 다양한 기능을 지원하는 프로토콜
데이터 암호화와 강력한 인증방법으로 보안성이 낮은 네트워크에서도 안전하게 통신할 수 있다.
Key를 통한 인증방법을 사용하려면 사전에 클라이언트의 공개키를 서버에 등록해야 한다.
기본적으로 22번 포트를 사용한다.
암호화
개인키 암호화 기법 - B
Private Key Encryption. 동일한 키로 암호화하고 복호화하는 암호화 기법
대칭암호기법 또는 단일키 암호화 기법이라고 한다
- 특징
암호화와 복호화 속도가 빠르다
관리해야할 키의 수가 많다
스트림 암호화 방식
평문과 동일한 길이의 스트림을 생성해 비트 단위로 암호화 하는 방식
LFSR, RC4, TKIP
TKIP - A
기존의 무선랜보안프로토콜인 WEP의 취약성을 보완한 데이터 보안 프로토콜
키 길이를 128비트로 늘리고 패킷당 키 할당, 키값 재설정 등의 키 관리방식을 개선했다.
블록 암호화 방식
한 번에 하나의 데이터 블록을 암호화하는 방식
DES, SEED, AES, ARIA, IDEA, Skipjack
IDEA - A
스위스의 라이(Lai)와 메시(Messey)가 1990년에 개발한 PES를 개발한 알고리즘. 128비트의 key를 사용해 64비트 블록을 암호화하는 알고리즘
Skipjack - A
국가안정보장국(NSA)에서 개발한 암호화 알고리즘
클리퍼칩이라는 IC칩에 내장되어 있다.
80비트의 key를 사용해 64비트 블록을 암호화한다.
전화기와 같은 음성 통신 장비에 삽입되어 주로 음성데이터를 암호화한다.
DES - A
1974년 IBM이 개발하고 1975년 NBS에 의해 비국의 국가 표준으로 발표된 암호화 알고리즘.
키길이 56비트로 64비트의 블록을 16회의 라운드로 암호화한다.
기술 발전으로 2001년 AES로 대체된다.
AES - A
2001년 미국 표준 기술 연구소(NIST)에서 발표한 대칭키 암호화 알고리즘
DES의 한계를 느껴 대체하기 위해 공모해 발표
블록크기는 128비트이며 키 길이에따라 AES-128, AES-192, AES-256으로 분류된다.
공개키 암호화 기법
Public Key Encryption. 공개키는 사용자에게 공개하고 복호화할때 비밀키는 관리자가 비밀리에 관리하는 암호화 기법
비대칭 암호기법이라고도 한다
- 특징
암호화와 복호화 속도가 느리다.
관리해야할 키의 수가 적다.
대표적으로 RSA 기법이 있다.
RSA - B
1978년 MIT에서 제안된 공개키 암호화 알고리즘
큰 숫자는 소인수분해하기 어렵다는 것을 기반으로 만들어짐
공개키와 비밀키를 사용
해시 - B
임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것. 일방향 함수이다.
SHA시리즈, HAVAL, MD4, MD5, N-HASH, SNEFRU등이 있다.
SHA 시리즈
해시 알고리즘 중 1993년 미국국가안보국(NSA)이 설계. 미국 국립표준연구소에 의해 발표된 암호화 알고리즘
MD5 - A
1991년 R.rivest가 MD4를 개선한 암호화 알고리즘
블록 크기가 512비트, 키 길이 128비트.
512비트 입력 메시지 블록을 처리하면 128비트 state 값이 변한다.
N-HASH
1989년 일본의 전신전화주식화사에서 발표한 암호화 해시 함수
블록크기와 키 길이가 모두 128비트
SNEFRU
1990년 R.C.Merkle이 말표한 해시함수
이집트 파라오 이름을 따왔다. 128비트 256비트 출력을 지원한다.
32비트 프로세서에서 구현을 용이하게할 목적으로 개발되었다.
