소프트웨어 개발 보안

소프트웨어 개발 보안소스 코드 등에 존재하는 보안 취약점을 제거하고, 보안을 고려하여 기능을 설계 및 구현하는 등 소프트웨어 개발 과정에서 지켜야 할 일련의 보안 활동SW 개발 보안 용어자산(Assets): 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상ex)

DoS(Denial of Service) 공격DoS 공격이란 악의적으로 시스템을 공격해서 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게

DDoS(Distributed Denial of Service) 공격DDoS 공격은 DoS 공격의 또 다른 형태로 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 기법이다.해커들은 취약한 인터넷 시스템에 대한 액세스가 이뤄지면, 침입한

DRDoS(Distributed Reflection Denial of Service) 공격공격자는 출발지 IP를 공격 대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부(DoS)상태가 되는 공격

세션 하이재킹 (Session Hijacking) -- 공격자가 인증 작업 등이 완료되어 정상통신을 하고있는 다른 사용자의 세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 계속하는 행위이다. 인증 작업이 완료된 세션을 공격하기 때문에 OTP, Chal

애플리케이션 공격애플리케이션 공격은 OSI 7계층 중 응용 계층(7계층)을 공격하는 방법으로 주로 HTTP와 관련된 공격이 주를 이룬다.공격 기법HTTP GET Flooding: 과도한 GET 메시지를 이용하여 웹 서버의 과부하를 유발시키는 Cache Control A

네트워크 공격네트워크 공격(network attack)은 네트워크(OSI 7계층 - 3계층) 활동을 방해하여 능력을 약화시키거나 제거하는 것을 목적으로 네트워크에 대한 치명적이고 비합리적인 행동과 작전을 말한다.공격 기법스니핑(Sniffing)공격대상에게 직접 공격을

시스템 보안 위협버퍼 오버플로우 공격은 메모리에 할당된 버퍼 크기를 초과하는 양의 데이터를 입력하여 이로 인해 프로세스의 흐름을 변경시켜서 악성 코드를 실행 시키는 공격기법이다.메모리 영역 중 Local Value나 Return Address가 저장되는 스택 영역에서

기타 보안 관련 용어사람들의 심리와 행동 양식을 교묘하게 이용해서 원하는 정보를 얻는 공격기법사회 공학의 한 기법으로, 특정대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여, 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도하여 사

인증 (Authentication)서버 인증은 다중 사용자 시스템과 망 운영 시스템에서 사용자들에게 접근 권한을 부여하기 위해 접속자의 로그인 정보를 확인하는 보안 절차이다.전송된 메시지 무결성 및 송신자를 검증하는 과정이 인증에 해당한다.SSL 인증서를 설치하면 정보

암호화 알고리즘데이터의 무결성, 기밀성 확보를 위해 정보를 쉽게 해독할 수 없는 형태로 변환하는 기법이다.대칭 키 암호 방식대칭 키 암호 방식은 암호화와 복호화에 같은 암호 키를 사용하는 알고리즘이다. 암호화를 위해 비밀 키 전달을 위한 키 교환이 필요하고, 암호화 및

데이터 암호화 전송 기법민감한 정보를 통신 채널을 통하여 전송 시에는 반드시 암/복호화 과정을 거쳐야 한다.IPSec (Internet Protocol Security)IPSec은 IP 계층(3계층)에서 무결성과 인증을 보장하는 인증 헤더(AH)와 기밀성을 보장하는 암

SW 개발 보안 적용 사례미국 국토안보국의 지원을 받아 수행된 소프트웨어 보증 프로젝트의 결과물 중 하나로, 보안 활동의 성숙도 수준을 영역별로 측정함으로써 소프트웨어 개발에 필요한 보안 능력 향상을 목표로 하는 개발 프레임워크OWASP에서 개발한 개방형 보안 프레임워

시큐어 코딩 가이드시큐어 코딩 가이드는 설계 및 구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하고, 외부 공격으로부터 안전한 소프트웨어를 개발하는 기법이다.입력 데이터 검증 및 표현입력 데이터로 인해 발생하는 문제들을 예방하기

보안 솔루션기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템일반적인 네트워크 방화벽과 달리 웹 애플리케이션 보안에 특화된 보안장비로 SQL 인젝션, XSS 등과 같은 웹 공격을 탐지하고 차단한다단말기가 내부 네트워크에 접속을 시도할

비즈니스 연속성 계획각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실 평가를 조사하는 BCP를

보안 공격 및 대응 관련 용어암호화 알고리즘의 실행 시기의 전력 소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호 키 등 내부 비밀번호를 부 채널에서 획득하는 공격 기법악의적인 해커가 불특정 웹서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시