소프트웨어 개발 보안 구현

1. SW 개발 보안 구현

• 입력 데이터 검증 및 표현 취약점
  • XSS
    • 검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
  • 사이트간 요청 위조 (CSRF)
    • 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
  • SQL 삽입
    • 응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격기법

2. 시스템 보안 구현

• 네트워크 보안 솔루션
  • 방화벽
    • 기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템
  • 웹 방화벽 (WAF)
    • 일반적인 네트워크 방화벽과는 달리 웹 애플리케이션 보안에 특화된 보안장비
  • 네트워크 접근 제어 (NAT)
    • 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션
  • 침입 탑지 시스템 (IDS)
    • 네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원접근과 보안정책 위반 행위를 실시간으로 탐지하는 시스템
  • 침입 방지 시스템 (IPS)
    • 네트워크에 대한 공격이나 침입을 실시간적으로 차단하고 유해트래픽에 대한 조치를 능동적으로 처리하는 시스템
  • 무선 침입 방지 시스템 (WIPS)
    • 인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기를 탐지하는 시스템
  • 통합 보안 시스템 (UTM)
    • 다양한 보안 장비의 기능을 하나의 장비로 통합하여 제공하는 시스템
  • 가상사설망 (VPN)
    • 인터넷과 같은 공중망에 인증, 암호화 , 터널링 기술을 활용하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션

• 콘텐츠 유출 방지 보안 솔루션
  • 데이터 유출 방지 (DLP)
  • 디지털 저작 관리 (DRM)

3. SW 개발 보안 테스트와 결함 관리

• 스프트웨어 개발 보안 테스트의 유형
  • 정적 분석
  • 동적 분석

4. 비즈니스 연속성 계획 (BCP)

• 비즈니스 연속성 계획
  • 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계

• 비즈니스 연속성 계획 관련 주요 용어
  • BIA
    • 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석
  • RTO
    • 업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간
  • RPO
    • 업무중단 시점부터 데이터가 복구되어 다시 정상가동될 때 데이터의 손실 허용 시점
  • DRP
    • 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획
  • DRS
    • 재해복구계획의 원활한 수행을 지원하기 위해 통합된 재해복구센터

• DRS의 유형
  • Mirror Site (즉시)
  • Hot Site (4시간 이내)
  • Warm Site (수일~수주 이내)
  • Cold Site (수주~수월 이내)

Question

• RTO?
• CSRF?
• 방화벽?
• IDS?
• Secure OS?
• DLP?
• RPO?
• Warm Site?