정보처리/정보시스템구축관리12 소프트웨어 개발 보안 구축 구현 5/5 보안 용어 보안 공격 관련 용어부 채널 공격(Side Channel Attack)암호화 알고리즘의 실행 시기의 전력 소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호 키 등 내부 비밀 정보를 부 채널에서 획득하는 공격드라이브 바이 다운로드(Drive By Download)악의적인 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버(멀웨어 서버)로 연결하여 감염시키는 공격워터링 홀(Watering Hole)특정인에 대한 표적 공격을 목적으로 특정인이 잘 방문하는 웹 사이트에 악성코드를 심거나 악성코드를 배포하는 URL로 유인하여 감염시키는 공격비즈니스 스캠(Business SCAM)기업 이메일 계정 도용으로 무역 거래 대금을 .. 2025. 3. 28. 소프트웨어 개발 보안 구축 구현 4/5 SW 개발 보안 테스트와 결함 관리 소프트웨어 개발 보안 테스트의 개념소프트웨어 보안 요구사항이 반영되어 있음을 보증하고, 취약점을 발견하고 개선하여 안전한 소프트웨어를 개발하기 위한 활동소프트웨어 개발 보안 테스트의 유형정적 분석SW를 실행하지 않고 보안 약점을 분석, SW 개발 단계에서 주로 사용취약점 초기 발견으로 수정 비용 절감, 컴포넌트 간 발생할 수 있는 통합된 취약점 발견에 제한적, 설계 및 구조 관점의 취약점은 식별 가능동적 분석SW 실행 환경에서 보안 약점 분석, SW 시험 단계에서 주로 사용소스 코드 필요 없음, 정확도와 커버리지 향상, 구조 관점의 보안 약점은 식별 불가 비즈니스 연속성 계획(BCP) 비즈니스 연속성 계획(BCP, Business Continuity Plan)의 개념각.. 2025. 3. 27. 소프트웨어 개발 보안 구축 구현 3/5 시스템 보안 구현 유닉스/리눅스 주요 로그 파일유닉스/리눅스 로그가 저장되는 경로는 시스템마다 조금씩 다름. 일반적으로 유닉스의 경우 /var/adm 디렉터리에 주로 저장되며, 리눅스의 경우 /var/log 디렉토리에 주로 저장됨리눅스에서 /var/log 디렉토리에서 시스템의 모든 로그를 기록 및 관리하고 있음시스템의 /etc/syslog.conf 파일에서 시스템 로그 파일들의 위치를 지정하고 있음다양한 로그를 바탕으로 해커를 추적하는 것이 가능함wtmp/wtmpx : 사용자 로그인, 로그아웃 정보 및 시스템의 shutdown, reboot 정보. last 명령어로 정보 확인utmp/utmpx : 현재 시스템에 로그인한 사용자 정보. who, w, users, finger 명령어로 정보 확인btmp/bt.. 2025. 3. 26. 소프트웨어 개발 보안 구축 구현 2/5 SW 개발 보안 구현보안 기능보안 기능 개념소프트웨어 개발 단계에서 인증, 접근제어, 기밀성, 암호화, 권한 관리 등을 적절하게 구현하기 위한 보안 점검 항목들각 보안 기능은 서비스 환경이나 취급 데이터에 맞게 처리될 수 있도록 구현해야 함보안 기능 취약점적절한 인증 없이 중요 기능 허용보안 검사를 우회하여 인증 과정 없이 중요정보 또는 기능에 접근 및 변경이 가능중요정보나 기능을 수행하는 페이지에서는 재인증 기능을 통해 방지부적절한 인가접근제어 기능이 없는 실행경로를 통해 정보 또는 권한 탈취모든 실행경로에 대해 접근제어 감사를 수행하고, 사용자에게는 필요한 접근권만 부여하여 방지취약한 암호화 알고리즘 사용암호화된 환경설정 파일을 해독하여 비밀번호 등의 중요정보 탈취안전한 암호화 알고리즘, 안정성이 인.. 2025. 3. 25. 소프트웨어 개발 보안 구축 구현 1/5 SW 개발 보안 구현 시큐어 코딩 가이드설계 및 구현 단계에서 해킹 등의 공격을 초래할 가능성이 있는 잠재적인 보안 취약점(Vulnerability)을 사전에 제거하고, 외부 공격으로부터 안전한 소프트웨어를 개발하는 기법소프트웨어 보안 약점(Weakness)을 방지하기 위한 시큐어 코딩 가이드에 따른 개발 수행이 필요입력데이터 검증 및 표현프로그램 입력값에 대한 검증 누락과 부적절한 검증, 잘못된 형식 지정사용자와 프로그램 입력데이터에 대한 유효성 검증 체계를 수립하고 실패 시 처리 설계 및 구현보안 기능보안 기능(인증, 접근 제어, 기밀성, 암호화, 권한 관리 등)의 부적절한 구현인증과 접근 통제, 권한 관리, 비밀번호 등의 정책이 적절하게 반영되도록 설계 및 구현시간 및 상태거의 동시에 수행 지원하는.. 2025. 3. 24. 소프트웨어 개발 보안 구축 설계 7/7 소프트웨어 개발 보안 설계안전한 전송을 위한 데이터 암호화 전송민감한 정보를 통신 채널을 통하여 전송 시에는 반드시 암복호화 과정을 거쳐야 하고, IPSec, SSL/TLS, S-HTTP 등 보안 채널을 활용하여 전송PPTPPPTP(Point-to-Point Tunneling Protocol) 개념네트워크 레벨에서 데이터를 안전하게 전송하기 위해 사용하는 터널링 프로토콜로, 주로 VPN(가상 사설망) 연결에 사용됨TCP 포트 1723과 GRE(Generic Routing Encapsulation)를 사용하여 데이터 패킷을 캡슐화클라이언트와 서버 간의 인증 및 데이터 암호화를 지원하며, 낮은 비용과 간단한 설정으로 널리 사용L2FL2F(Layer 2 Forwarding) 개념시스코 시스템즈에서 개발한 터널.. 2025. 3. 23. 이전 1 2 다음
