9. 소프트웨어 개발 보안 구축

01. 소프트웨어 개발 보안 설계

기출 문제

1. 랜드 어택
   • 공격자가 패킷의 출발지 주소나 포트를 임의로 변경해서 출발지와 목적지 주소를 동일하게 함으로써 공격 대상 컴퓨터의 실행속도를 느리게 하거나 동작을 마비시켜 서비스 거부 상태에 빠지도록 하는 공격 방법
2. MD5
3. 스니핑은 공격대상에게 직접 공격을 하지 않고 데이터만 몰래 들여다보는 수동적 공격기법이다.
4. IPSec
   • 무결성과 인증을 보장하는 인증헤더와 기밀성을 보장하는 암호화를 이용한 프로토콜로 네트워크 계층인 인터넷 프로토콜에서 보완성을 제공해주는 표준화된 기술
5. SQL 인젝션 대응을 위해서는 바인딩 매개변수 방식 적용하여 사전에 변수 타입을 명시적으로 지정하거나 사용자로부터 입력될 수 있는 모든 값을 체크하여 필터링하고, Servlet Fitter 기능을 적용하는 방안
6. 가용성이란 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성이다.
7. 임의적 접근 통제
   • 시스템 객체의 접근을 개인 또는 그룹의 식별자에 기반을 둔 방법으로, 어떤 종류의 접근 권한을 가진 사용자가 다른 사용자에 자신의 판단에 따라 권한을 허용하는 접근제어 방식
8. 세션 하이재킹
   • 세션 하이재킹은 세션을 가로챈다 라는 의미로 정상적 연결을 RST패킷을 통해 종료시킨 후 재연결 시 희생자가 아닌 공격자에게 연결한다.
   • 세션 관리 취약점을 이용한 공격기법
9. AES
   • 미국 표준 기술 연구소에서 발표한 블록 암호화 알고리즘으로 DES의 성능문제를 극복하기 위해 개발된 128bit 블록 크기를 갖는 보안 알고리즘
10. DES
    • IBM에서 개발한 블록 암호화 알고리즘으로 블록의 크기는 64비트, 키 길이는 56비트, 16라운드 암호화 알고리즘
11. 1) 인증
    • 접근을 시도하는 가입자 또는 단말에 대한 식별 및 신분을 검증
    2) 권한 부여
    • 검증된 가입자나 단말에게 어떤 수준의 권한과 서비스를 허용
    3) 계정 관리
    • 리소스 사용에 대한 정보를 수집하고 관리하는 서비스
12. ARP Spoofing
    • 특정 호스트의 MAC 주소를 자신의 MAC 주소로 변경, 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 가로채는 공격기법
13. 1) IDEA
    • DES를 대체하기 위해 스위스 연방기술 기관에서 개발한 블록 암호화 알고리즘
    • 128bit의 키를 사용하여 64bit의 암호문을 만듬
    2) Skipjack
    • 미 국가안보국에서 개발한 Cipper 칩에 내장된 블록 알고리즘
    • 소프트웨어로 구현되는 것을 막고자 Fortezza Card에 칩 형태로 구현
14. 1) 사회공학
    • 사람들의 심리와 행동 양식을 교모하게 이용해서 원하는 정보를 얻는 공격기법
    2) 다크 데이터
    • 정보를 수집한 후, 저장만 하고 분석에 활용하고 있지 않은 다량의 데이터이다.
15. 1) 트러스트존
    • 프로세서 안에 독립적인 보안 구역을 따로 두어 중요한 정보를 보호하는 ARM 사에서 개발한 보안 기술로 프로세서 안에 독립적인 보안 구역을 따로 두어 중요한 정보를 보호하는 하드웨어 기반의 보안 기술
    2) 타이포스쿼팅
    • 네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠뜨리는 실수를 이용하기 위해 이와 유사한 유명 도메인을 미리 등록하는 일로, URL 하이재킹이라고도 부른다.
16. SSO
    • 커버로스에서 사용되는 기술로 한 번의 인증 과정으로 여러 컴퓨터상의 자원을 이용할 수 있도록 해주는 인증 기술

예상문제

-생략-

02. 소프트웨어 개발 보안 구현

기출 문제

1. RTO
   • 정보시스템 운영 중 서버가 다운되거나 자연재해나 시스템 장애 등의 이유로 고객에게 서비스가 불가능 한 경우가 종종 발생한다. 이와 같은 상황에서 비상사태 또는 업무 중단 시점부터 업무가 복구되어 다시 정상 가동될 때까지의 시간을 의미하는 용어
2. 1) Static Analysis (정적 분석)
   2) Dynamic Analysis (동적 분석)
3. ISMS (Information Security Management System) - 정보보호 관리체계의 영문
4. TKIP (Temporal Key Integirty Protocol) - 임시 키 무결성 프로토콜의 약자
5. Watering Hole
   • 공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시켜 놓고, 피해자가 방문했을 때 피해자의 컴퓨터에 악성 프로그램을 배포하는 공격기법
6. VPN
   • 여러 공중 인터넷망을 하나의 사설망처럼 사용할 수 있는 기술로 공중망과 사설망의 중간단계이고 방식으로는 SSL 방식과 IPSec 방식이 있다.
7. SIEM (Security Information and Event Management)
   • 다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안 로그와 이벤트 정보를 수집한 후 정보 간의 연관성을 분석하여 위협 상황을 인지하고, 침해사고에 신속하게 대응하는 보안 관제 솔루션이다. 특히 기업에서 생성되는 테라바이트 급의 정형 • 비정형 데이터와 방화벽, 안티바이러스 시스템, 서버, 네트워크 장비 등으로부터 수집한 다양한 데이터 등을 빅데이터 기반의 로그 분석을 통하여 보안의 위협 징후를 빠르게 판단 • 대응할 수 있도록 해준다.

예상 문제

-생략-

단원 종합 문제

-생략-