[정처기 실기] 8-2 소프트웨어 개발 보안 구현

📙SW 개발 보안 구현

🏷️시큐어 코딩 가이드

     ➡️ 설계 및 구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하고, 외부 공격으로부터 안전한 소프트웨어를 개발하는 기법이다.

      1️⃣ 입력데이터 검증 및 표현

      2️⃣ 보안 기능

      3️⃣ 시간 및 상태

      4️⃣ 에러처리

      5️⃣ 코드오류

      6️⃣ 캡슐화

      7️⃣ API오용

 

🏷️입력데이터 검증 및 표현 취약점

      1️⃣ XSS: 검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격

      2️⃣ CSRF: 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격

      3️⃣ SQL삽입: 악의적인  SQL구문을 삽입

 

🏷️네트워크 보안 솔루션

      1️⃣ 방화벽: 기업 내부, 외부 간 트래픽을 모니터링해서 시스템의 접근을 허용 또는 차단하는 시스템

      2️⃣ 웹 방화벽: SQL인젝션, XSS등과 같은 웹 공격을 탐지하고 차단하는 보안장비

      3️⃣ 네트워크 접근 제어: 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션

      4️⃣ 침입 탐지 시스템: 비인가 사용자에 의한 자원접근과 보안정책위반행위를 실시간으로 탐지하는 시스템

      5️⃣ 침입 방지 시스템: 네트워크에 대한 공격이나 침입을 실시간적으로 차단하고 유해트래픽에 대한 조치를 능동적으로 처리하는 시스템

      6️⃣ 무선 침입 방지 시스템: 인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단

      7️⃣ 통합 보안 시스템: 다양한 보안 장비기능을 하나로 통합하여 제공하는 시스템

      8️⃣ 가상사설망: 인터넷과 같은 공중망에 인증, 암호화 기술을 활용하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션

      9️⃣ SIEM: 보안관제솔루션

      🔟 ESM: 전사적 통합 보안 관리 시스템

 

🏷️비즈니스 연속성 계획(BCP)

: 비즈니스 연속성 계획은 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개 등을 통해 비즈니스 연속성을 보장하는 체계

 

🏷️비즈니스 연속성 계획(BCP) 주요 용어

      1️⃣ BIA: 장애나 재해로 인해 운영상의 주요 손실을 볼것을 가정하여 시간흐름에 따른 영향도 및 손실평가를 조사하는 비즈니스 영향분석

      2️⃣ RTO: 업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간

      3️⃣ RPO: 업무중단 시점부터 데이터가 복구되어 다시 정상가동될 때 데이터의 손실 허용 시점

      4️⃣ DRP: 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획

      5️⃣ DRS: 재해복구센터

 

🏷️ DRS 유형

      1️⃣ Mirror Site: 주센터와 데이터복구센터 모두 운영상태로 실시간 동시 서비스가 가능한 재해복구센터

      2️⃣ Hot Site: 주센터와 동일한 수준의 자원을 대기 상태로 원격지에 보유, 데이터의 최신상태를 유지하고 있는 재해복구센터

      3️⃣ Warm Site: hot사이트와 유사하나 중요성이 높은 자원만 부분적으로 재해복구센터에 보유하고 있는 센터

      4️⃣ Cold Site: 데이터만 원격지에 보관, 재해 시 데이터를 근간으로 필요 자원을 조달하여 복구할 수 있는 재해복구센터 

 

🏷️ 보안 공격 관련 용어

⦁  워터링 홀(Watering Hole) : 특정인이 잘 방문하는 웹 사이트에 악성코드를 심는 공격기법
⦁  토르 네트워크 : 네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하며, 익명으로 인터넷을 사용할 수 있는 가상 네트워크
⦁  핑거 프린팅 : 멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자 정보를 삽입해 콘텐츠 불법 배포자에 대한 위치 주적이 가능한 기술
⦁  CWE : 미국 비영리 회사인 MITRE 사가 중심이 되어 소프트웨어에서 공통적으로 발생하는 약점을 체계적으로 분류한 목록
⦁  디렉토리 리스팅(Listing) 취약점 : 공격자가 서버 내의 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점
⦁  부 채널 공격(Side Channel Attack) : 암호화 알고리즘의 물리적 특성을 측정 해 내부 비밀정보를 획득
⦁  드라이브 바이 다운로드(Drive By Download) : 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버로 연결하여 감염시킴