\n\n정보처리기사 공부 후 정리 자료입니다. 정확하지 않을 수 있으니 꼭 책을 참고해서 공부하세요\n2020 정보 처리 기사 소프트웨어 보안 구축 요약 입니다. 정처기 공부를 할 때 활용하세요.
\n
하향식 비용 산정 기법 : 과거의 유사한 경험을 바탕으로 전문 지식이 많은 개발자들이 참여한 회의를 통해 비용을 산정하는 비과학적인 방법
전문가 감정 기법 : 조직 내에 있는 경험이 많은 두 명 이상의 전문가에게 비용 산정을 의뢰델파이 기법 : 전문가 감정 기법의 주관적인 편견을 보완 하기 위해 많은 전문가의 의견을 종합하여 산정상향식 비용 산정 기법 : 프로젝트의 세부적인 작업 단위별로 비용을 산정한 후 집계하여 전체 비용을 산정
LOC : 소프트웨어 각 기능의 원시 코드 라인 수 의 비관치, 낙관치, 기대치를 측정하여 예측치를 구하고 이를 이용하여 비용을 산정노력(인월) = 개발 기간 × 투입 인원 = LOC / 1인당 월평균 생산 코드 라인 수\n(E = D x N = LOC / M)\n개발 비용 = 노력(인월) × 단위 비용 (1인당 월평균 인건비)\n(C = E x U)\n개발 기간 = 노력(인월) / 투입 인원\n(D = E / N)\n생산성 = LOC / 노력(인월)\n(H = LOC / E)개발 단계별 인월수 기법 : LOC 기법을 보완하기 위한 기법으로, 각 기능을 구현시키는 데 필요한 노력을 생명 주기의 각 단계별로 산정[예제]LOC 기법에 의하여 예측된 총 라인 수가 30,000라인, 개발에 참여할 프로그래머가 5명,\n프로그래머들의 평균 생산성이 월간 300라인일 때 개발에 소요되는 기간은?\n - 노력(인월) = LOC/1인당 월평균 생산 코드 라인 수 = 30,000/300 = 100명\n - 개발 기간 = 노력(인월)/투입 인원 = 100/5 = 20개월분산 서비스 거부(DDoS) 공격 : 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것으로, 네트워크에서 취약점이 있는 호스트들을 탐색한 후 이들 호스트들에 분산 서비스 공격용 툴을 설치하여 에이전트로 만든 후 DDoS 공격에 이용자원 고갈 공격 : 서버의 자원을 고갈시킬 목적으로 다수의 공격자 또는 시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써 서버의 정상적인 기능을 방해
SYN 플러딩(SYN Flooding) : TCP는 신뢰성있는 전송을 위해 3-way-handshake를 거친 후에 데이터를 전송하게 되는데, SYN Flooding은 공격자가 가상의 클라이언트로 위장하여 3-way-handshake과정을 의도적으로 중단시킴으로써 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 함UDP 플러딩(UDP Flooding) : 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 응답 메시지를 생성하게 하여 자원을 고갈시키는 공격. ICMP 패킷은 변조되어 공격자에게 전달되지 않아 대기함스머핑(Smurfing) : IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크 또는 시스템의 상태를 불능으로 만듦죽음의 핑(poD = Ping of Death) : Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비애플리케이션 공격
HTTP GET 플러딩(Flooding) : Cache Control Attack 공격. http 캐시 옵션을 조작하여 캐싱 서버가 아닌 웹서버가 직접 처리하도록 유도해서 웹서버 자원을 소진시키는 서비스 거부 공격Slowloris(Slow HTTP Header DoS) : HTTP GET 메소드를 사용하여 헤더의 최종 끝을 알리는 개행 문자열인 \\r\\n\\r\\n을 전송하지 않고 \\r\\n만 전송하여 대상 웹서버와 연결 상테를 장시간 지속시키고 연결 자원을 모두 소진시키는 공격RUDY :요청 헤더의 Content-length를 비정상적으로 크게 설정하여 메시지 바디 부분을 매우 소량으로 보내 계속 연결 상태를 유지시키는 공격네트워크 서비스 공격
네트워크 스캐너(Scanner)/스니퍼(Sniffer) : 네트워크 하드웨어 및 소프트웨어 구성의 취약점 파일을 위해 공격자가 사용하는 공격 도구패스워드 크래킹(Password Cracking) : 사전 크래킹과 무차별 크래킹 방법을 사용해 네트워크 패스워드를 탐색IP 스푸핑(IP Spoofing) : 서버에 대한 인증되지 않은 액세스 권한을 입수하는데 사용하는 기법트로이 목마 : 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으킴취약점 공격:
랜드 어택(Land Attack) : 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 공격 대상에게 전송하는 것으로, 이 패킷을 받은 공격 대상은 송신 IP 주소가 자신이므로 자신에게 응답을 수행하게 되는데, 이러한 패킷이 계속해서 전송될 경우 자신에 대해 무한히 응답봉크/보잉크(Bonk/Boink) : 프로토콜의 오류 제어를 이용한 공격기법으로서 시스템의 패킷 재전송과 재조립이 과부하를 유발티어 드롭(TearDrop) : 데이터의 송·수신 과정에서 패킷의 크기가 커 여러 개로 분할되어 전송될 때 분할 순서를 알수 있도록 Fragment Offset값을 함께 전송하는데, 이 값을 변경시켜 수신측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생스미싱 : 문자 메시지를 이용해 사용자의 개인 신용 정보를 빼내는 수법스피어 피싱(Spear Phishing) : 사회 공학의 한 기법으로 특정 대상을 선정한 후 일반적인 이메일로 위장한 메일을 지속적으로 발송하여, 발송 메일의 링크나 파일을 클릭하도록 유도해 사용자의 개인정보를 탈취APT(지능형 지속 위협) : 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격무작위 대입 공격(Brute Force Attack) : 암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격큐싱(Qshing): QR코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로 그램을 설치하도록 하는 금융사기 기법의 하나로, QR코드와 개인정보 및 금융정보를 낚는다는 의미의 합성 신조어SQL 삽입(Injection) 공격 : 전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이 터베이스 등의 데이터를 조작하는 일련의 공격 방식좀비 PC : 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터로, C&C서버의 제어를 받아 주로 DDoS 공격 등에 이용C&C 서버 : 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버봇넷 : 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태웜 : 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종제로 데이 공격 : 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기도 전에 해당 취약점을 통하여 이루어지는 보안 공격키로거 공격 : 컴퓨터 사용자의 키보드 움직임을 탐지해 ID, 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 해킹 공격랜섬웨어 : 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 암호화해 사용자가 열지 못하게 하는 프로그램백도어 : 시스템 설계자가 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀 통로로, 컴퓨터 범죄에 악용되기도 함기밀성, 무결성, 가용성 유지행정안전부 : 소프트웨어 개발 보안 정책을 총괄한국 인터넷 진흥원 : 소프트웨어 개발 보안 정책 및 가이드를 개발발주기관 : 소프트웨어 개발 보안의 계획을 수립사업자 : 소프트웨어 개발 보안 관련 기술 수준 및 적용 계획을 명시감리법인 : 감리 계획을 수립하고 협의요구사항 분석 단계 : 보안 항목에 해당하는 요구사항을 식별하는 작업을 수행, 전산화되는 정보가 가지고 있는 보안 수준을 보안요소별로 등급을 구분하여 분류설계 단계 : 식별된 보안 요구사항들을 소프트웨어 설계서에 반영, 보안 설계서를 작성구현 단계 : 표준 코딩 정의서 및 소프트웨어 개발 보안 가이드를 준수하며, 설계서에 따라 보안 요구사항들을 구현테스트 단계 : 설계 단계에서 작성한 보안 설계서를 바탕으로 보안 사항들이 정확히 반영되고 동작되는지 점검유지 보수 단계 : 이전 과정을 모두 수행하였음에도 발생할 수 있는 보안 사고들을 식별하고, 사고 발생 시 이를 해결하고 보안 패치를 실시시큐어 코딩 : 소프트웨어의 구현단계에서 발생할 수 있는 보안 취약점들을 최소화하기 위해 보안 요소들을 고려하며 코딩하는 것기밀성 : 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용무결성 : 시스템 내의 정보는 오직 인가된 사용자만 수정가용성 : 인가받은 사용자는 언제라도 사용인증 : 시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지를 확인하는 모든 행위부인 방지 : 데이터를 송·수신한 자가 송·수신 사실을 부인할 수 없도록 송·수신 증거 제공세션 통제
입력 데이터 검증 및 표현
보안 기능
시간 및 상태
에러 처리
코드 오류
캡슐화
API 오용
DNS Lookup에 의존한 보안 결정 : 도메인명에 의존하여 인증이나 접근 통제 등의 보안 결정을 내리는 경우 DNS 검색을 통해 도메인 이름을 비교하지 않고 IP 주소를 직접 입력하여 접근취약한 API 사용: 보안 문제로 사용이 금지된 API를 사용하거나, 잘못된 방식으로 API를 사용했을 때. 보안 문제로 금지된 함수(strcat, strcpy, sprintf 등)는 안전한 함수로 대체하고, API의 매뉴얼을 참고하여 보안이 보장되는 인터페이스를 사용개인키 암호화 기법(대칭 암호 기법/단일키 암호화 기법) : 동일한 키로 데이터를 암호화하고 복호화공개키 암호화 기법(비대칭 암호 기법): 데이터를 암호화할 때 사용하는 공개키는 데이터베이스 사용자에게 공개, 복호화할 때의 비밀키는 관리자가 비밀리에 관리해시(Hash) : 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것개인키 암호화 알고리즘 : 암호화와 복호화에 같은 암호키를 쓰는 알고리즘블록 암호 방식 : 긴 평문을 암호화하기 위해 고정 길이의 블록을 암호화하는 블록 암호 알고리즘을 반복하는 방법
SEED(128) : 1999년 한국인터넷진흥원(KISA)에서 개발한 블록 암호화 알고리즘, 블록 크기는 128비트이며, 키 길이에 따라 128, 256으로 분류ARIA(Academy,Research Institute,Agency)(128) : 2004년 국가정보원과 산학연협회가 개발한 블록 암호화 알고리즘, 블록 크기는 128비트이며, 키 길이에 따라 128, 192, 256으로 분류DES(Data Encryption Standard)(64) : 1975년 미국 NBS에서 발표한 개인키 암호화 알고리즘, 블록 크기는 64비트이며, 키 길이는 56비트AES(Advanced Encryption Standard)(128) : 2001년 미국 표준 기술 연구소(NIST)에서 발표한 개인키 암호화 알고리즘, 블록 크기는 128비트이며, 키 길이에 따라 128, 192, 256으로 분류스트림 암호 방식 : 매우 긴 주기의 난수열을 발생시켜 평문과 더불어 암호문을 생성하는 방식
RC4: 로널드 라이베스트가 만든 스트림 암호로, 전송 계층 보안(TLS)이나 WEP등의 여러 프로토콜에 사용공개키 암호화 알고리즘 : 데이터를 암호화할 때 사용하는 공개키는 데이터베이스 사용자에게 공개, 복호화할 때의 비밀키는 관리자가 비밀리에 관리
디피-헬만 : 암호 키를 교환하는 방법으로서 두 사람이 암호화되지 않은 통신망을 통해 공통의 비밀 키를 공유할 수 있도록 하는 방식RSA : 로널드 라이베스트, 아디 샤미르, 레너드 애들먼의 앞글자를 딴 비대칭 키(공개 키 )암호화 알고리즘. 현재 비대칭 키 암호 방식 중 가장 널리 쓰임. 소인수 분해의 어려움 이용해시 방식 : 단방향 알고리즘으로서 임의의 데이터를 고정된 길이의 데이터로 매핑하는 함수
SHA : 미국 국가안보국(NSA) 이 1993년에 처음으로 설계했으며, 미국 국가 표준으로 지정된 해시 암호화 알고리즘.(SHA-2 : SHA-224, SHA-256, SHA-384, SHA-512)MD5 : (128bit)RFC 1321로 지정되어 있으며, 로널드 라이베스트가 예전에 쓰이던 MD4를 대체하기 위해 고안한 알고리즘