- 소프트웨어 개발 보안 구축
sw 개발 보안 3대 요소
- 기밀성 : 인가되지 않은 개인이나 시스템 접근 금지
- 무결성 : 부당한 방법으로 데이터 변경x
- 가용성 : 지속해서 사용 가능
Dos 공격
- SYN 플러딩 공격 : TCP 프로토콜 구조적 문제 공격, 다른 사용자가 서버를 사용 불가능하게 공격
- 스머핑 : 네트워크에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비 공격
- 죽음의 핑 : ICMP 패킷을 크게 만들어 전송 IP 단편화 발생
- 랜드어택 : 출발지 IP와 목적지 IP를 같은 패킷 주소로 만들어 보냄
- 티어드롭 : IP 패킷 재조합 과정에서 잘못된 OFFSET 정보로 수신시스템 문제 발생
세선 하이재킹
- TCP의 세션관리 취약점을 이용, 세션 가로채다
네트워크 공격
- 스니핑 : 직접공격X, 몰래 들여다봄
- IP 스푸핑: 본인의 패킷 헤더를 인증 된 호스트의 IP 주소로 위조하여 타켓에 전송
- ARP 스푸핑: 특정호스트 MAC 주소를 자신의 MAC 주소로 위조
- ICMP REDIRECT : 3계층, 패킷의 흐름을 바꾸는 기법
- 트로이 목마 : 겉은 정상 프로그램, 실행하면 악성코드
DAC(임의적) : 신분의 근거해 접근 제한 MAC(강제적) : 주체가 갖는 접근 권환에 근거 RBAC(역할 기반)
3A : 정보보호기술
- 인증 (Authentication): 식별 및 신분검증
- 권한 부여(Authorization) : 권한과 서비스 허용
- 계정 관리(Accounting) : 정보, 수집 관리
대칭키 암호화 알고리즘 : 암호화 복호화에 같은 암호키 사용
- DES : IBM에서 개발, NIST에서 발표한 블록 암화화 알고리즘
- SEED : 한국인터넷진흥원에서 개발, 128BIT
- AES : NIST에서 발표, 3DES의 성능문제 극복
- ARIA : 국정원에서 개발, 하드웨어의 효율성 향상 위해 개발
- IDEA: DES를 대체하기 위해 스위스에서 개발
비대칭키 암화화 알고리즘
- RSA : 3명의 MIT 교수가 소인수 분해하는 수학점 알고리즘 이용하는 공개키 암호화 알고리즘
해시 암호화 알고리즘
- MD5 : MD4 개선, 파일의 무결성 검사에 사용
- SHA-1 : 160비트의 해시값 생성
- SHA-256 : 256비트의 해시값 생성
IPSEC : IP계층에서 인증 헤더와 암호화를 이용한 IP 보안 프로토콜
입력 데이터 검증 및 표현 취약점
- XSS : 검증되지 않은 외부입력 데이터 포함된 웹 페이지 전송될 때, 부적적 스크립트 실행되는 공격
- CSRF : 공격자가 의도한 행위를 특정 웹 사이트에 공격
- SQL 삽입 : 악의적인 SQL 구문 삽입, DB 접근해서 정보 조작
RTO : 업무 중단부터 복구돼 다시 가동될때까지의 시간 RPO : 업무 중단부터 정상 복구까지 손실 허용 시점
Ghost