9과목 - SW 개발 보안 구축 (2) SW 개발 보안 구현

입력 데이터 검증 및 표현 취약점

XSS(cross site scripting)	검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우 사용자가 해당 웹페이지를 열람함으로서 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
CSRF(cross site request forgery)	사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
SQL Injection	응용프로그램 보안 취약점을 활용하여 악의적인 SQL 구문을 삽입, 실행 시켜 DB의 접근을 통해 정보를 탈취 및 조작하는 공격

 

시스템 보안 구현

네트워크 보안 솔루션

방화벽 (firewall)	기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템
웹 방화벽 (WAF; web application firewall)	웹 애플리케이션 특화 방화벽
네트워크 접근 제어 (NAC; network access control)	단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션
침입 탐지 시스템 (IDS;intrusion detection system)	비인가 사용자에 의한 자원 접근과 보안 정책 위반 행위(침입)을 실시간으로 탐지하는 시스템
침입 방지 시스템 (IPS; intrusion prevention system)	네트워크 공격이나 침입을 실시간으로 차단
무선 침입 방지 시스템	인가되지 않은 무선 단말기 접속을 자동으로 탐지 및 차단. 보안 취약한 무선 공유기를 탐지하는 시스템
통합 보안 시스템 (UTM;unified threat management)	방화벽, 침입탐지시스템(IDS),침입방지시스템(IPS), VPN, 안티 바이러스, 이메일 필터링 등 다향한 보안 장비의 기능을 하나의 장비로 통합하여 제공하는 시스템
가상 사설망 (VPN;virtual private network)	인터넷과 같은 공중망에 인증, 암호화, 터널링 기술을 활용하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션
SIEM (Security Information and Event Management)	다양한 보안 장비와 보안 장비와 서버, 네트워크 장비등으로 부터 보안 로그와 이벤트 정보를 수집한 후 정보간의 연관성을 분석, 위협 상황을 인지하고 대응하는 보안 관제 솔루션
ESM (Enterprise Security Management)	방화벽, 침입 탐지 시스템, UTM, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트 및 로그를 통합해서 관리, 분석, 대응하는 전사적 통합 보안 관리 시스템

 

비즈니스 연속성 계획(BCP; Business Continuity Plan)

각종 재해, 장애, 재난으로부터 위기 관리를 기반으로 재해복구, 업무 복구 및 재개, 비상 계획등을 통해 비즈니스 연속성을 보장하는 체계

 

주요 용어들

BIA (Business Impact Analysis)	운영상 손실을 볼 것을 가정하여 BCP를 구축하기 위한 비즈니스 영향 분석
RTO (Recovery Time Objective)	업무중단 시점부터 업무가 복구되어 다시 가동될 때 까지의 시간
RPO (Recovery Point Objective)	업무중단 시점부터 데이터가 복구되어 다시 정상 가동될 때 데이터 손실 허용 시점
DRP (Disaster Recovery Plan)	재난으로 장시간에 걸쳐 운영이 불가능한 경우를 대비한 재난 복구 계획
DRS (Disaster Recovery System)	재해복구계획을 위해 평상시에 확보해 두는 재해 복구 센터

 

DRS 유형

Mirror Site	주 센터와 데이터복구센터 모두 운영 상태로 실시간 동시 서비스 가능 재해 발생 시 복구 시간은 이론상 거의 0
Hot Site	주 센터와 동일한 수준의 자원을 대기 상태로 원격지에 보유하며 최신 상태의 데이터를 유지
Warm Site	Hot Site와 유사한데 중요성이 높은 자원만 부분적으로 복구센터에 보유하고 있는 센터
Cold Site	데이터만 원격지에 보관. 다른 필요 자원을 조달하여 복구할 수 있는 센터

 

보안 용어

부 채널 공격	암호화 알고리즘 실행 시기의 전력소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호 키 등 내부 비밀정보를 부채널에서 획득하는 공격
드라이브 바이 다운로드	불특정 웹서버, 웹 페이지에 악성 스크립트를 설치, 사용자가 접속 시 동의 없이 실행되어 의도된 서버로 연결하여 감염시키는 공격 기법
워터링 홀	특정인이 잘 방문하는 웹사이트에 악성코드등을 배포하여 감염
비즈니스 스캠	기업 이메일 계정을 도용하여 무역 거래 대금을 가로채는 범죄
하트 블리드	하트비트라는 모듈에서 클라이언트 요청 메시지를 처리할 때 길이에 대한 검증을 수행하지 않는 취약점을 이용 시스템 메모리에 저장된 64KB크기의 데이터를 외부에서 제한 없이 탈취하는 취약점
크라임 웨어	중요한 금융정보 또는 인증정보를 탈취,유출을 유도하여 금전적인 이익등의 범죄행위를 목적으로 하는 악성 코드
토르 네트워크	익명으로 인터넷을 사용할 수 있는 가상 네트워크
MITM 공격(Man in the Middle)	네트워크 통신을 조작하여 통신 내용을 도청 및 조작하는 공격
DNS 스푸핑 공격	공격 대상에게 전달되는 DNS 응답을 조작하거나 DNS 서버 캐시 정보를 조작하여 희생자가 의도하지 않은 주소로 접속하게 만드는 공격
포트 스캐닝	공격자가 침입 전 대상 호스트의 어떤 포트가 활성화되어 있는지 확인하는 기법
익스플로잇	SW/HW 버그 또는 취약점을 이용해 의도된 동작이나 명령을 실행하도록하는 코드 또는 행위
스턱스넷 공격	지멘스 사의 SCADA시스템 공격을 위해 제작 산업 기반 시설의 제어 시스템에 침투해 오작동을 일으키는 악성 코드 공격
크리덴셜 스터핑	다른곳에서 유출된 사용자 계정을 다른 웹/앱 등에 무작위로 대입하여 로그인 후 정보를 유출시키는 공격
스피어 피싱	특정 대상에게 일반적인 이메일로 위장해 메일을 클릭하도록 유도 클릭시 개인정보를 탈취하는 공격 기법
스미싱	SMS + 피싱
큐싱	QR 코드 + 피싱
봇넷	악성 프로그램에 감염되어 악의적인 의도로 사용될 수 이쓴ㄴ 다수의 컴퓨터들이 네트워크로 연결된 형태
APT 공격	특정 타깃을 목표로 한 다양한 수단을 통한 지속적, 지능적 맞춤형 공격 기법
공급망 공격	SW 개발사 네트워크에 침투해 악의적인 코드 수정 및 삽입을 통해 사용자의 PC에 설치 및 업데이트 시 감염되도록 공격
제로데이 공격	보안 취약점이 발견되어 공표되기전에 해당 취약점을 활용하여 공격
웜	스스로를 복제하여 네트워크 등의 연결을 통해 전파하는 악성 프로그램 독자적으로 실행된다는 특징
랜섬웨어	감염된 시스템의 파일들을 암호화하여 복호화할 수 없게 만들고 해당 파일을 인질로 잡고 몸값을 요구하는 공격
이블 트윈 공격	합법적인 Wifi 제공자 행세를 하며 핫스팟에 연결한 사용자들의 정보를 탈취하는 무선 네트워크 공격

 

 

보안 공격 대응 관련 용어

보안 체계 및 모델

CC (Common Criteria)	정보기술의 보안 기능과 보증에 대한 평가 기준(등급), 정보보호 시스템의 보안 기능 요구사항과 보증 요구사항 평가를 위해 공통으로 제공되는 국제 평가 기준
ISMS (Information Security Management System)	조직 주요 정보자산을 보호하기위해 정보보호 관리 절차, 과정을 수립하여 관리하고 운영하기 위한 종합적인 체계
PIMS (Personal Infomation Management System)	기업이 개인정보보호 활동을 위한 체계를 구축했는지 점검, 평가하여 기업에게 부여하는 인증제도
PIA (Privacy Impact Assessment)	개인정보를 사용하거나 사용되는 시스템에서 미치는 영향들을 조사하여 개선 방안을 도출하는 절차
사이버 킬체인	지속적, 지능적 사이버 공격에 대해 7단계 프로세스별 공격 분석 및 대응을 체계화 한 APT 공격 방어 분석 모델