정보처리기사 실기

  1. 소프트웨어 개발 보안 구축

sw 개발 보안 3대 요소

  • 기밀성 : 인가되지 않은 개인이나 시스템 접근 금지
  • 무결성 : 부당한 방법으로 데이터 변경x
  • 가용성 : 지속해서 사용 가능

Dos 공격

  • SYN 플러딩 공격 : TCP 프로토콜 구조적 문제 공격, 다른 사용자가 서버를 사용 불가능하게 공격
  • 스머핑 : 네트워크에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비 공격
  • 죽음의 핑 : ICMP 패킷을 크게 만들어 전송 IP 단편화 발생
  • 랜드어택 : 출발지 IP와 목적지 IP를 같은 패킷 주소로 만들어 보냄
  • 티어드롭 : IP 패킷 재조합 과정에서 잘못된 OFFSET 정보로 수신시스템 문제 발생

세선 하이재킹

  • TCP의 세션관리 취약점을 이용, 세션 가로채다

네트워크 공격

  • 스니핑 : 직접공격X, 몰래 들여다봄
  • IP 스푸핑: 본인의 패킷 헤더를 인증 된 호스트의 IP 주소로 위조하여 타켓에 전송
  • ARP 스푸핑: 특정호스트 MAC 주소를 자신의 MAC 주소로 위조
  • ICMP REDIRECT : 3계층, 패킷의 흐름을 바꾸는 기법
  • 트로이 목마 : 겉은 정상 프로그램, 실행하면 악성코드

DAC(임의적) : 신분의 근거해 접근 제한 MAC(강제적) : 주체가 갖는 접근 권환에 근거 RBAC(역할 기반)

3A : 정보보호기술

  1. 인증 (Authentication): 식별 및 신분검증
  2. 권한 부여(Authorization) : 권한과 서비스 허용
  3. 계정 관리(Accounting) : 정보, 수집 관리

대칭키 암호화 알고리즘 : 암호화 복호화에 같은 암호키 사용

  • DES : IBM에서 개발, NIST에서 발표한 블록 암화화 알고리즘
  • SEED : 한국인터넷진흥원에서 개발, 128BIT
  • AES : NIST에서 발표, 3DES의 성능문제 극복
  • ARIA : 국정원에서 개발, 하드웨어의 효율성 향상 위해 개발
  • IDEA: DES를 대체하기 위해 스위스에서 개발

비대칭키 암화화 알고리즘

  • RSA : 3명의 MIT 교수가 소인수 분해하는 수학점 알고리즘 이용하는 공개키 암호화 알고리즘

해시 암호화 알고리즘

  • MD5 : MD4 개선, 파일의 무결성 검사에 사용
  • SHA-1 : 160비트의 해시값 생성
  • SHA-256 : 256비트의 해시값 생성

IPSEC : IP계층에서 인증 헤더와 암호화를 이용한 IP 보안 프로토콜

입력 데이터 검증 및 표현 취약점

  • XSS : 검증되지 않은 외부입력 데이터 포함된 웹 페이지 전송될 때, 부적적 스크립트 실행되는 공격
  • CSRF : 공격자가 의도한 행위를 특정 웹 사이트에 공격
  • SQL 삽입 : 악의적인 SQL 구문 삽입, DB 접근해서 정보 조작

RTO : 업무 중단부터 복구돼 다시 가동될때까지의 시간 RPO : 업무 중단부터 정상 복구까지 손실 허용 시점

이 글이 도움이 되었나요?

신고하기
0분 전
작성된 댓글이 없습니다. 첫 댓글을 달아보세요!
    댓글을 작성하려면 로그인이 필요합니다.