1. SW 개발 보안 구현
- 시큐어 코딩 (입보시 에코캡아)
- 입력데이터 검증 및 표현
- 보안 기능
- 시간 및 상태
- 에러 처리
- 코드 오류
- 캡슐화
- API 오용
- 입력데이터 검증 및 표현 취약점
| 취약점 | 설명 |
| XSS (Cross Site Script) |
검증되지 않은 외부 입력 데이터가 포함된 웹 페이지가 전송되는 경우, 사용자가 해당 웹 페이지를 열람함으로써 웹 페이지에 포함된 부적절한 스크립트가 실행되는 공격 |
| 사이트 간 요청 위조 (CSRF; Cross Site Request Forgery) |
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 |
| SQL 삽입 (SQL Injection) |
응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스(DB)의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격 기법 |
2. 시스템 보안 구현
- 유닉스/리눅스 주요 로그 파일 : wtmp, utmp, btmp, lastlog, sulog, acct/pacct, xferlog, messages, secure
- 보안 솔루션
- 네트워크 - 방화멱, WAF, NAC, IDC, IPS, WIPS, UTM, VPN
- 시스템보안 솔루션 - 스팸 차단 솔루션, 보안 운영체제(Secure OS)
- 콘텐츠 유출 방지보안 솔루션 - 보안 USB, DLP, DRM
- 취약점 분석 절차 : 자산 조사 및 분석 -> 진단 대상 선정 -> 제약사항 확인 -> 진단 수행 -> 결과 분석/보고서 작성
3. SW 개발 보안 테스트와 결함 관리
- 소프트웨어 개발 보안 테스트의 유형
| 구분 | 설명 | 특징 |
| 정적 분석 | - SW를 실행하지 않고 보안 약점 분석 - SW 개발 단계에서 주로 사용 |
- 취약점 초기 발견으로 수정비용 절감 - 컴포넌트 간 발생할 수 있는 통합된 취약점 발견에 제한적 - 설계·구조 관점의 취약점은 식별 불가 |
| 동적 분석 | - SW 실행환경에서 보안 약점 분석 - SW 시험 단계에서 주로 사용 |
- 소스 코드 필요 없음 - 정확도와 커버리지 향상 - 구조 관점의 보안 약점식별 불가 |
4. 비즈니스 연속성 계획(BCP; Business Continuity Plan)
- BIA(Business Impact Analysis) : 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석
- RTO(Recovery Time Objective) : 업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간 재해 시 복구 목표 시간의 선정
- RPO(Recover Point Objective):업무중단 시점부터 데이터가 복구되어 다시 정상가동될 때 데이터의 손실 허용 시점 재해 시 복구 목표 지점의 선정
- DRP(Disaster Recovery Plan) : 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획
- DRS(Disaster Recovery System) : 재해복구계획의 원활한 수행을 지원하기 위하여 평상시에 확보하여 두는 인적, 물 적 자원 및 이들에 대한 지속적인 관리체계가 통홥된 재해복구센터
5. 보안 중요 용어
- 부 채널 공격, DBD(Drive By Download), 워터링 홀, 스캠 공격, 크라임웨어, 토르네트워크
- DNS 스푸핑, 포트스캐닝, 디렉토리 리스팅
- 리버스 쉘 공격, 익스플로잇, 스턱스넷 공격, 크리덴셜 스터핑, 허니팟, OWASP Top 10
- 핑커프린팅, 워터마킹, FDS, CC, C-TAS, PAM, CVE, CWE
'정보처리기사 > Ⅸ. 소프트웨어 개발 보안 구축' 카테고리의 다른 글
| Chapter 01. 소프트웨어 개발 보안 설계(2) (0) | 2022.04.18 |
|---|---|
| Chapter 01. 소프트웨어 개발 보안 설계(1) (0) | 2022.04.18 |