[정보처리기사 실기] 9. 소프트웨어 개발 보안 구축

소프트웨어 개발 보안 구축

 

 

정보 보안 3요소 (기무가)

 

DoS (Denial Of Service)

시스템을 악의적으로 공격해 시스템의 자원을 부족하게 하여 사용하지 못하게 하는 공격

 

비즈니스 연속성 계획(BCP)

각종 재해나 재난 발생에 대비하여 핵심 업무 기능 수행의 연속성을 유지

• BIA (Business Impact Analysis)
• 장애나 재해로 인해 손실을 가정하여 시간 흐름에 따른 영향도 및 손실 평가를 조사하는 영향 분석
• RTO (Recovery Time Objective) - 재해 복구 시간
• 업무 중단 시점부터 업무가 복구 되어 다시 가동될 때 까지 시간
• RPO (Recovery Point Objective) - 재해 복구 시점
• 업무 중단 시점부터 데이터가 복구 되어 정상 가동될 때 데이터의 손실 허용 시점
• RCO (Recovery Communication Objective) - 네트워크 복구 시간
• 주 영업점과 DR센터 간 네트워크 복구 수준
• RSO (Recovery Scope Objective) - 재해 복구 범위
• 업무 중요도에 따른 복구 대상시스템 선정
• DRP (Disaster Recovery Plan)
• 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획
• DRS (Disaster Recovery System)
• 재해 복구 계획의 원활한 수행을 지원하기 위해 평상시에 확보하여 두는 인적, 물적 자원 및 이들에 대한 지속적인 관리 체계가 통합된 재해 복구 센터

 

서버 접근 통제 유형

 

서비스 공격

 

네트워크 공격

 

APT (Advance Persistent Threat)

특정 목표 대상에 대해 취약점을 파악하고, 지속적으로 다양한 방법으로 공격

 

정보 보안 공격

 

소프트웨어 보안 취약점

• XSS(Cross Site Script)

검증되지 않은 외부 입력 데이터가 포함된 웹 페이지가 전송되는 경우, 사용자가 해당 웹 페이지를 열람함으로써 웹 페이지에 포함된 부적절한 스크립트가 실행되는 공격

• CSRF 사이트 간 요청 위조

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹 사이트에 요청하게 하는 공격

• SQL Injection

웹 페이지의 입력 값을 통해 SQL 명령어를 주입하여 오작동을 일으키는 해킹 방법

 

ISMS (Information SecurityManagment System)

정부에서 시행하는 정보 보안성 인증 제도

 

ISMS - P

ISMS(정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합 인증 제도

 

NAT (Network Address Transformation)

• 라우터를 통해 사설 IP를 공인 IP로 변경할 때 필요한 주소 변환 서비스
• IP 패킷에서 외부의 공인 IP주소와 포트 주소에 해당하는 내부 IP주소를 재기록하여 라우터를 통해 네트워크 트래픽을 주고 받는 기술

 

해시 암호화 알고리즘 종류 (단방향)

• MD5(Message - Digest algorithm 5)

각각의 512bit짜리 입력 메세지 블록에 대해 차례로 동작

128bit 암호화 해시 함수

• SHA-1(Secure Hash Algorithm)

SHA 알고리즘의 한 종류

256bit 암호화 해시 함수

• HAS-160

국내 표준 서명 알고리즘 KCDSA(Korean Certificate-based Digital Signature Algorithm)를 위하여 개발된 해시 함수

 

해시 알고리즘 특성 3가지

역상 저항성	해시 값이 주어졌을 때, 그 해시 값을 생성하는 입력 값을 알아낼 수 없음
제2 역상 저항성	입력 값과 동일한 해시 값을 가지는 다른 입력 값을 찾을 수 없어야 함
충돌 저항성	해시 값이 이 같은 입력 값 두 개를 찾을 수 없음

 

암호화 방식

1. 대칭키

• Block 방식 (2bit 이상 묶음 연산)
  • SPN 구조 (전체를 통으로 암호화)
    • AES
    • ARIA (국가 보안 기술 연구소에서 개발)

1. 비대칭키

• 인수분해 - RSA

블록 암호 알고리즘

• AES
  • 128bit 평문을 128/192/256bit로 암호화 (DES와 관련)
• SEED
  • 순수 국내 기술로 개발한 128bit 및 256bit 대칭키 블록 암호화 알고리즘

블록 체인 합의 알고리즘

• 분산 컴퓨팅 기술 기반의 데이터 위변조 방지 기술
• P2P방식을 기반으로 소규모 데이터들이 연결되어 형성된 ‘블록’이라는 분산 데이터 저장 환경에 관리 대상 데이터를 저장하여 누구도 임의로 수정할 수 없음

 

보안 솔루션

• 방화벽
• 웹방화벽
• 침입 탐지 시스템 IDS
  • 이상탐지
  • 오용탐지
• 침입 방지 시스템 IPS
• 데이터 유출방지 DLP
• NAC (Network Access Control)
• ESM