정보처리기사 실기 요점정리(7) - 소프트웨어 개발 보안 구축

Secure SDLC

• SDLC에 보안 강화를 위한 프로세스를 포함한 것

Secure SDLC의 대표적인 방법론

• CLASP : SDLC의 초기 단계에서 보안을 강화하기 위해 개발된 방법론
• SDL : 마이크로소프트 사에서 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 방법론
• Seven Touchpoints : 소프트웨어 보안의 모범 사례를 SDLC에 통합한 방법론

소프트웨어 개발 보안 요소 

기밀성 무결성 가용성!!!!! (★)

기밀성	▪️ 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용됨
무결성	▪️ 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음
가용성	▪️ 인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있음

시큐어 코딩

• 구현 단계에서 발생할 수 있는 보안 취약점들을 최소화하기 위해 보안 요소들을 고려하며 코딩하는 것

 

입력 데이터 검증 및 표현의 보안 약점

SQL 삽입	▪️ 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고, 관리자 인증을 우회하는 보안 약점 ▪️ 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수문자가 입력되지 않게 필터링되도록 설정하여 방지할 수 있음
경로 조작 및 자원 삽입	▪️ 데이터 입출력 경로를 조작하여 서버 자원을 수정, 삭제할 수 있는 보안 약점 ▪️ 사용자 입력값을 식별자로 사용하는 경우, 경로 순회 공격을 막는 필터를 사용하여 방지할 수 있음
크로스사이트 스크립팅	▪️ 웹 페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나, 비정상적인 기능 수행을 유발하는 보안 약점 ▪️ HTML 태그의 사용을 제한하거나 스크립트에 삽입되지 않도록 '<', '>', '&' 등의 문자를 다른 문자로 치환함으로써 방지할 수 있음.
운영체제 명령어 삽입	▪️ 외부 입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한을 탈취하거나 시스템 장애를 유발하는 보안 약점
위험한 형식 파일 업로드	▪️ 악의적인 명령어가 포함된 스크립트 파일을 업로드함으로써 시스템에 손상을 주거나, 시스템을 제어할 수 있는 보안 약점
신뢰되지 않는 URL 주소로 자동접속 연결	▪️ 입력값으로 사이트 주소를 받는 경우 이를 조작하여 방문자를 피싱 사이트로 유도하는 보안 약점
메모리 버퍼 오버플로	▪️ 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓰려고 할 때 발생하는 보안 약점 ▪️ 메모리 버퍼를 사용할 경우 적절한 버퍼의 크기를 설정하고, 설정된 범위의 메모리 내에서 올바르게 읽거나 쓸 수 있도록 함으로써 방지할 수 있음

 

보안 기능의 보안 약점

• 적절한 인증 없이 중요기능 허용
• 부적절한 인가
• 중요한 자원에 대한 잘못된 권한 설정
• 취약한 암호화 알고리즘 사용
• 중요 정보 평문 저장 및 전송
• 하드코드 된 암호화 키

 

스택 가드

• 주소가 저장되는 스택에서 발생하는 보안 약점을 막는 기술

 

개인키 암호화 기법

• 동일한 키로 데이터를 암호화하고 복호화하는 암호화 기법
• 대칭 암호 기법 또는 단일키 암호화 기법이라고도 한다.
• 암호화/복호화 속도가 빠르지만, 관리해야 할 키의 수가 많다.

개인키 암호화 기법의 종류

스트림 암호화 방식	▪️ 평문과 동일한 길이의 스트림을 생성하여 비트 단위로 암호화하는 방식 ▪️ 종류 : LFSR, RC4
블록 암호화 방식	▪️ 한 번에 하나의 데이터 블록을 암호화하는 방식 ▪️ 종류 : DES, SEED, AES, ARIA

공개키 암호화 기법

• 암호화할 때 사용하는 공개키는 사용자에게 공개하고, 비밀키는 관리자가 비밀리에 관리하는 암호화 기법
• 비대칭 암호 기법이라고도 한다.
• 관리해야 할 키의 수가 적지만, 암호화/복호화 속도가 느리다.

양방향 알고리즘의 종류

SEED	▪️ 1999년 한국인터넷진흥원(KISA)에서 개발한 블록 암호화 알고리즘 ▪️ 블록 크기는 128비트이며, 키 길이에 따라 128, 256으로 분류됨
ARIA	▪️ 2004년 국가정보원과 산학엽협회가 개발한 블록 암호화 알고리즘
DES	▪️ 1975년 미국 NBS에서 발표한 개인키 암호화 알고리즘 ▪️ 블록 크기는 64비트, 키 길이는 56비트이며, 16회의 라운드 수를 수행함 ▪️ DES를 3번 적용하여 보안을 더욱 강화한 3DES도 있음
AES	▪️ 2001년 미국 표준 기술 연구소(NIST)에서 발표한 개인키 암호화 알고리즘 ▪️ DES의 한계를 느낀 NIST에서 공모한 후 발표 ▪️ 블록 크기는 128비트이며, 키 길이에 따라 AES-128, AES-192, AES-256으로 분류됨
RSA	▪️ 1978년 MIT의 라이베스트, 샤미르, 애들먼에 의해 제안된 공개키 암호화 알고리즘 ▪️ 큰 숫자를 소인수분해하기 어렵다는 것에 기반하여 만들어짐

해시

• 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변화하는 것

해시 함수의 종류

SHA 시리즈	▪️ 1993년 미국 국가안보국(NSA)이 설계, 미국 국립표준기술연구소(NIST)에 의해 발표됨 ▪️ 초기 개발된 SHA-0 이후 SHA-1이 발표되었고 다시 SHA-2라 불리는 SHA-224, SHA-256, SHA-384, SHA-512가 발표됨
MD5	▪️ 1991년 R_Rivest가 MD4를 대체하기 위해 고안한 암호화 해시 함수 ▪️ 블록 크기가 512비트이며, 키 길이는 128비트임
N-NASH	▪️ 1989년 일본의 전신전화주식회사(NTT)에서 발표한 암호화 해시 함수 ▪️ 블록 크기와 키 길이가 모두 128비트임
SNEFRU	▪️ 1990년 R.C.Merkle가 발표한 해시 함수 ▪️ 32비트 프로세서에서 구현을 용이하게 할 목적으로 개발됨.

 

서비스 공격 유형

• Ping of Death
• SMURFING
• SYN Flooding
• TearDrop
• LAND Attack
• DDoS 공격

Ping of Death(죽음의 핑)

• 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법
• 공격에 사용되는 큰 패킷은 수백 개의 패킷으로 분할되어 전송되는데, 공격 대상은 분할된 대량의 패킷을 수신함으로써 분할되어 전송된 패킷을 재조립해야 하는 부담과 분할되어 전송된 각각의 패킷들의 ICMP Ping 메시지에 대한 응답을 처리하느라 시스템이 다운되게 된다.

SMURFING (스머핑)

• IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크 불능 상태로 만드는 공격 방법
• 공격자는 송신 주소를 공격 대상지의 IP 주소로 위장하고 해당 네트워크 라우터의 브로드캐스트 주소를 수신지로 하여 패킷을 전송하면, 라우터의 브로드캐스트 주소로 수신된 패킷은 해당 네트워크 내의 모든 컴퓨터로 전송된다.

SYN Flooding

• 3-way-handshake 과정을 의도적으로 중단시킴으로써 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법

TearDrop

• Offset 값을 변경시켜 수신 측에서 과부하를 발생시킴으로써 시스템이 다운되도록 하는 공격 방법

LAND Attack

• 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 자신에 대해 무한히 응답하게 하는 공격 방법

DDoS

• 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 서비스 거부 공격을 수행하는 것
• 종류 : Trin00, TFN, TFN2K, Stacheldraht

네트워크 침해 공격 관련 용어

세션 하이재킹	▪️ 상호 인증 과정을 거친 후 접속해 있는 서버와 서로 접속되어 클라이언트 사이의 세션 정보를 가로채는 공격 기법 ▪️ TCP 3-Way-Handshake 과정에 끼어듦으로써 클라이언트와 서버 간의 동기화된 시퀀스 번호를 가로채 서버에 무단으로 접근하는 TCP 세션 하이재킹이 대표적임
ARP 스푸핑	▪️ ARP의 취약점을 이용한 공격 기법, 자신의 물리적 주소를 공격 대상의 것으로 변조하여 공격 대상에게 도달해야 하는 데이터 패킷을 가로채거나 방해함
스미싱	▪️ 문자메시지를 이용해 사용자의 개인 신용 정보를 빼내는 수법
스피어 피싱	▪️ 사회 공학의 한 기법으로, 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인 정보를 탈취함
APT
무작위 대입 공격
큐싱
SQL 삽입 공격
크로스사이팅 스크립팅
스니핑	▪️ 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당함

 

보안 솔루션

• 외부로부터의 불법적인 침입을 막는 기술 및 시스템
• 주요 보안 솔루션 : 방화벽, 침입 탐지 시스템, 침입 방지 시스템, 데이터 유출 방지, 웹 방화벽, VPN, NAC, ESM

방화벽

• 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 기능을 가진 침입 차단 시스템

침입 탐지 시스템

• 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
• 오용 탐지 : 미리 입력해 둔 공격 패턴이 감지되면 이를 알려줌
• 이상 탐지 : 평균적인 시스템의 상태를 기준으로 비정상적인 행위나 자원의 사용이 감지되면 이를 알려줌

침입 방지 시스템

• 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등의 방어 조치를 취하는 보안 솔루션
• 방화벽과 침입 탐지 시스템을 결합한 것

데이터 유출 방지

• 내부 정보의 외부 유출을 방지하는 보안 솔루션
• 사내 직원이 사용하는 PC와 네트워크상의 모든 정보를 검색하고 메일, 메신저, 웹하드, 네트워크 프린터 등의 사용자 행위를 탐지, 통제해 외부로의 유출을 사전에 막는다.

웹 방화벽

• 웹 기반 공격(SQL 삽입 공격, 크로스사이트 스크립팅 등)을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽

VPN

• 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션

NAC

• 네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 보안 솔루션

ESM

• 로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션