[2023 정보처리기사 실기] 9장. 소프트웨어 개발 보안 구축(2)

해당 게시글은 정보처리기사-실기 시험 Chapter 9.[소프트웨어 개발 보안 구축]의 용어 관련 개념정리 요약글(2)이다.

 

---

 

소프트웨어 개발 보안 구현

 

 

▷ 입력 데이터 검증 및 표현 취약점

• XSS(Cross Site Script) : 검증되지 않은 외부 입력 데이터가 포함된 웹페이지를 사용자가 열람할 때 부적절한 스크립트가 실행되는 공격
• 사이트 간 요청 위조(CSRF; Cross Site Request Forgery) : 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
• SQL 삽입(Injection) : 악의적인 SQL 구문을 삽입하고 실행시켜 정보를 열람, 조작할 수 있는 취약점 공격법

 

▷ 네트워크 보안 솔루션

• 방화벽(Firewall) : 기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템
• 웹 방화벽 (WAF; Web Application Firewall)
• 네트워크 접근 제어(NAC; Network Access Control) : 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션
• 침입 탐지 시스템(IDS; Intrusion Detection System) : 네트워크에 발생하는 이벤트를 모니터링하고, 침입을 실시간으로 탐지하는 시스템
• 침입 방지 시스템(IPS; Intrusion Prevention System) : 네트워크에 대한 공격이나 침입을 실시간적으로 차단하는 시스템
• 무선 침입 방지 시스템(WIPS; Wireless Intrusion Prevention System) : 무선 단말기의 접속을 자동 탐지
• 통합 보안 시스템(UTM; Unified Threat Management) : 다양한 보안 장비의 기능을 하나로 통합한 장비
• 가상사설망(VPN; Virtual Private Network) : 인터넷과 같은 공중망에 인증, 암호화, 터널링 기술을 활용해 마치 전용망을 사용하는 효과를 가지는 보안 솔루션

 

▷ 콘텐츠 유출 방지 솔루션

• 데이터 유출 방지(DLP; Data Loss Prevention) : 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단
• 디지털 저작권 관리(DRM; Digital Right Management) : 디지털 저작물에 대한 보호와 관리 솔루션

 

▷ 비즈니스 연속성 계획(BCP, Business Continuity Plan)

각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비스니스 연속성을 보장하는 체계

 

▷ 비즈니스 연속성 계획 관련 주요 용어

• BIA(Business Impact Analysis) : 장애나 재해로 인한 운영상의 주요 손실을 볼 것을 가정하여 비즈니스 영향 분석
• RTO(Recovery Time Objective) : 업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간
• RPO(Recovery Point Objective) : 업무중단 시점부터 데이터가 복구되어 다시 정상 가동될 때 데이터의 손실 허용 시점
• DRP(Disaster Recovery Plan) : 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획
• DRS(Disaster Recovery System) : 재해 복구 센터

 

▷ DRS의 유형

• Mirror Site : 재해 발생 시 복구까지의 소요 시간(RTO)은 즉시
• Hot Site : 4시간 이내
• Warm Site : 수일 ~ 수주
• Cold Site : 수주 ~ 수개월

 

▷ 보안 공격 관련 중요 용어

• 워터링 홀(Watering Hole) : 특정인이 잘 방문하는 웹 사이트에 악성코드를 심는 공격기법
• 토르 네트워크 : 네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하며, 익명으로 인터넷을 사용할 수 있는 가상 네트워크
• 핑거 프린팅 : 멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자 정보를 삽입해 콘텐츠 불법 배포자에 대한 위치 주적이 가능한 기술
• CWE : 미국 비영리 회사인 MITRE 사가 중심이 되어 소프트웨어에서 공통적으로 발생하는 약점을 체계적으로 분류한 목록
• 디렉토리 리스팅(Listing) 취약점 : 공격자가 서버 내의 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점
• 부 채널 공격(Side Channel Attack) : 암호화 알고리즘의 물리적 특성을 측정 해 내부 비밀정보를 획득
• 드라이브 바이 다운로드(Drive By Download) : 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버로 연결하여 감염시킴

 

▷ 시스템 보안 솔루션

• 스팸 차단 솔루션(Anti-Spam Solution) : 매일 서버 앞단에 위치하여 Proxy 메일 서버로 동작
• 보안 운영체제(Secure OS) : 운영체제의 커널에 보안기능을 추가한 솔루션

 

▷ 소프트웨어 개발 보안 테스트 유형

• 정적 분석 : 소프트웨어를 실행하지 않고 보안 약점을 분석, 개발 단계
• 동적 분석 : 소프트웨어를 실행한 상태에서 보안 약점 분석, 테스트 단계