소프트웨어 개발 보안 구축 구현 5/5

소프트웨어 개발 보안 구축 구현

보안 용어

보안 공격 관련 용어

부 채널 공격(Side Channel Attack)

• 암호화 알고리즘의 실행 시기의 전력 소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호 키 등 내부 비밀 정보를 부 채널에서 획득하는 공격

드라이브 바이 다운로드(Drive By Download)

• 악의적인 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버(멀웨어 서버)로 연결하여 감염시키는 공격

워터링 홀(Watering Hole)

• 특정인에 대한 표적 공격을 목적으로 특정인이 잘 방문하는 웹 사이트에 악성코드를 심거나 악성코드를 배포하는 URL로 유인하여 감염시키는 공격

비즈니스 스캠(Business SCAM)

• 기업 이메일 계정 도용으로 무역 거래 대금을 가로채는 사이버 범죄

하트블리드(Heartvleed)

• OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이에 대한 검증을 수행하지 않는 취약점을 이용하여 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있도록 하는 취약점

크라임웨어(Crimeware)

• 중요한 금융 정보 또는 인증 정보를 탈취하거나 유출을 유도하여 금전적인 이익 등의 범죄행위를 목적으로 하는 악성코드

토르 네트워크(Tor Network)

• 네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하며, 익명으로 인터넷을 사용할 수 있는 가상 네트워크

MITM 공격(Man In The Middle Attack)

• 네트워크 통신을 조작하여 통신 내용을 도청 및 조작하는 공격
• 통신을 연결하는 두 사람 사이 중간에 침입하여 두 사람의 정보를 탈취하는 중간자 공격

DNS 스푸핑 공격(DNS Spoofing Attack)

• 공격 대상에게 전달되는 DNS 응답(IP 주소)을 조작하거나 DNS 서버의 캐시(Cache) 정보를 조작하여 희생자가 의도하지 않은 주소로 접속하게 만드는 공격
• DNS 캐시 포이즈닝(Cache Poisoning)이라고도 함

포트 스캐닝(Port Scanning)

• 공격자가 침입 전 대상 호스트에 어떤 포트(서비스)가 활성화되어 있는지 확인하는 기법으로 침입 전 취약점을 분석하기 위한 사전 작업

디렉토리 리스팅 취약점(DLV, Directory Listing Vulnerability)

• 웹 애플리케이션을 사용하고 있는 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화되어 있으면, 공격자가 강제 브라우징을 통해서 서버 내의 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점

리버스 셸 공격(Reverse Shell Attack)

• 타깃 서버가 클라이언트(공격자)로 접속해서 클라이언트가 타깃 서버의 셸을 획득해서 공격하는 기법

익스프로잇(Exploit)

• 소프트웨어나 하드웨어의 버그 또는 취약점을 이용하여 공격자가 의도한 동작이나 명령을 실행하도록 하는 코드 또는 그러한 행위

스턱스넷(Stuxnet)

• 독일 지멘스 사의 SCADA 시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해서 오작동을 일으키는 악성코드 공격

크리덴셜 스터핑(Credential Stuffing)

• 사용자 계정을 탈취해서 공격하는 유형 중 하나로, 다른 곳에서 유출된 아이디와 비밀번호 등의 로그인 정보를 다른 웹 사이트나 앱에 무작위로 대입해 로그인이 이루어지면 타인의 정보를 유출하는 기법

보안 공격 대응 관련 용어

허니팟(Honeypot)

• 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템으로 일부러 허술하게 만들어서 해커에게 노출하는 유인시스템

OWASP Top 10

• 웹 애플리케이션 취약점 중 공격 빈도가 높으며, 보안상 큰 영향을 줄 수 있는 10가지 취약점에 대한 대응 방안을 제공하는 웹 보안 기술 가이드

템퍼 프루핑(Temper Proofing)

• 소프트웨어와 시스템을 외부에서의 악의적인 조작으로부터 보호하는 기술
• 위변조와 같은 이상 조작을 감지하고, 이를 발견했을 때 프로그램이 오작동하도록 만드는 기술

핑거 프린팅(Finger Printing)

• 멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자 정보를 삽입하여 콘텐츠 불법 배포자에 대한 위치 추적이 가능한 기술(저작권 정보구매자 정보)

워터 마킹(Water Marking)

• 디지털 콘텐츠에 저작권자 정보를 삽입하여, 불법 복제 시 워터마크를 추출, 원소유자를 증명할 수 있는 콘텐츠 보호 기술

이상금융거래탐지시스템(FDS, Fraud Detection System)

• 전자금융거래에 사용되는 단말기 정보, 접속 정보, 거래 정보 등을 종합적으로 분석하여 의심 거래를 탐지하고, 이상 거래를 차단하는 시스템

CC(Common Criteria)

• 정보기술의 보안 기능과 보증에 대한 평가 기준(등급), 정보보호 시스템의 보안 기능 요구사항과 보증 요구사항 평가를 위해 공통으로 제공되는 국제 평가 기준

사이버 위협정보 분석 공유시스템(C-TAS, Cyber Threate Analysis System)

• 사이버 위협정보를 체계적으로 수립해서 인터넷진흥원(KISA) 주관으로 관계 기관과 자동화된 정보공유를 할 수 있는 침해 예방 대응 시스템

장착형 인증 모듈(PAM, Pluggable Authentication Module)

• 리눅스 시스템 내에서 사용되는 각종 애플리케이션 인증을 위해 제공되는 다양한 인증용 라이브러리

CVE(Common Vulnerabilities and Exposures)

• 미국 비 영리회사인 MITRE 사에서 공개적으로 알려진 소프트웨어의 보안취약점을 표준화한 식별자 목록
• 규칙 : CVE-(연도)-(순서)

CWE(Common Weakness Enumeration)

• 미국 비 영리 회사인 MITRE 사가 중심이 되어 소프트웨어에서 공통적으로 발생하는 약점을 체계적으로 분류한 목록으로, 소스 코드 취약점을 정의한 데이터베이스
• 소프트웨어 약점은 SDLC 과정에서 발생할 수 있기 때문에 설계, 아키텍처, 코드 단계 등에 대한 취약점 목록을 포함

ISMS(Information Security Management System)

• 조직의 주요 정보자산을 보호하기 위하여 정보보호 관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리하고 운영하기 위한 종합적인 체계

PIMS(Personal Information Management System)

• 기업이 개인정보보호 활동을 체계적, 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 여부를 점검, 평가하여 기업에게 부여하는 인증제도

PIA(Privacy Impact Assessment)

• 개인정보를 활요하는 새로운 정보 시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시 동 시스템의 구축, 운영, 변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조사 및 예측, 검토하여 개선 방안을 도출하는 체계적인 절차

TKIP(Temporal Key Integrity Protocol)

• 임시 키 무결성 프로토콜
• IEEE 802.11i의 암호화 방식으로 초기 Wi-Fi 장비에서 널리 사용되었던 안전하지 않은 WEP(Wired Equivalent Privacy) 암호화 표준을 대체하기 위한 암호 프로토콜