소프트웨어 개발 보안 구현

시큐어 코딩 가이드 

- 잠재적인 보안 취약점을 사전에 제거하고 외부 공격으로 부터 안전한 소프트웨어를 개발하는 기법

 : 입력데이터 검증 및 표현

 : 보안 기능

 : 시간 및 상태

 : 에러처리

 : 코드 오류

 : 캡슐화

 : API 오용

 

 

 

입력 데이터 검증 및 표현

- 입력 데이터로 인해 발생하는 문제 예방을 위한 보안 점검 항목

 

- XSS

 : 부적절한 스크립트를 웹 페이지에 심어놓는 공격

 : Stored XSS / Reflected XSS / DOM XSS

 

- 사이트간 요청 위조 (CSRF) : 사용자의 의지와 무관하게 공격자가 의도한 행위를 특정 웹 사이트에 요청하도록 조종

 

- SQL Injection : 악의적인 SQL구문을 삽입하여 DB접근

 

 

 

세션 통제

- 세션과 관련되어 발생할 수 있는 취약점을 예방하기 위한 보안 점검 항목

 

 

 

코드 오류

- 널 포인터 역참조

- 정수를 문자로 변환

- 부적절한 자원 해제

- 초기화 되지 않은 변수 사용

 

 

 

네트워크 보안 솔루션

- 방화벽

 : 내외부간 트래픽 모니터링 및 시스템 접근 관리

 

- 웹 방화벽 (WAF, Web Application Firewall)

 : SQL 인젝션, XSS 등의 웹 공격 탐지 및 차단

 

- 네트워크 접근 제어 (NAC)

 : 단말기의 내부 네트워크 접근시 통제

 

- 침임 탐지 시스템 (IDS)

 : 비인가 사용자에 의한 접근 탐지

 

- 침입 방지 시스템 (IPS)

 : 네트워크 공격에 대한 실시간적 차단 및 유해트래픽에 대한 능동적 처리

 

- 무선 침입 방지 시스템 (WIPS)

 : 인가되지 않은 무선 단말기의 접속 탐지 및 차단, 취약한 무선 공유기 탐지

 

- 통합 보안 시스템 (UTM)

 : 다양한 보안 장비를 하나로 통합하여 제공하는 시스템

 

- 가상 사설망 (VPN)

 : 인터넷과 같은 공중망에 인증, 암호화, 터널링 기술을 활용하여 가상으로 전용망을 생성

 

 

 

비즈니스 연속성 계획 (BCP, Business Continuty Plan)

- BIA

 : 장애나 재해로 인한 손실을 가정하여 영향도 및 손실 평가 

 

- RTO

 : 업무중단 시점부터 복구 후 재가동까지의 시간

 

- RPO

 : 업무중단 시점 부터 데이터 복구 후 재가동시의 손실 허용 시점

 

- DRP

 : 재난으로 인해 장기간에 걸쳐 운영이 불가할때를 대비한 재난 복구 계획

 

- DRS

 : 통합된 재해복구 센터

 

 

 

보안 공격 관련 중요 용어

- 부 채널 공격

 : 암호화 알고리즘 실행시기에 물리적 특성을 측정하여 비밀 획득

 

- 드라이브 바이 다운로드

 : 웹 페이지내 악성 스크립트를 통해 의도된 서버로 연결시키는 공격

 

- 워터링홀

 : 특정인이 자주 방문하는 웹 사이트에 악성코드를 심거나 URL 유도

 

- 스캠

 : 기업 이메일 계정을 도용하여 거래 대금 탈취

 

- 하트블리드

 : OpenSSL 암호화 라이브러리의 하트비트라는 확장 모듈의 데이터 탈취 취약점

 

- 크라임 웨어

 : 중요한 금융정보 또는 인증정보 탈취 및 유출 유도

 

- 프로토콜 취약점

 : SSDP의 특성을 활용하여 IoT Device를 좀비 PC로 이용하여 공격

 

- 윈드토커

 : 와이파이 / 핫스팟 연결 디바이스의 터치스크린 등을 스니핑하여 해킹

 

- 토르 네트워크

 : 네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하는 익명 가상 네트워크

 

- 멜트다운

 : 인텔 x86 아키텍쳐에서 CPU 파이프라인의 비순차 명령 실행시 커널 사용자 영역의 우회를 통해

   시스템 메모리에 접근할 수 있는 취약점

 

- 스펙터

 : 실패한 분기 예측으로 인해 메모리 데이터가 관촬 될 수 있는 취약점

 

- MTM 공격

 : 네트워크 통신을 조작하여 통신 내용을 도청 및 조작

 

- DNS 스푸핑

 : 공격 대상에게 전달되는 DNS주소 조작 및 캐시 정보 조작을 통해 의도하지 않은 주소로 접속 유도

 

- 포트스캐닝

 : 활성화 된 포트를 확인하여 취약점 분석

 

- 디렉터리 리스팅

 : 웹 애플리케이션의 인덱싱 기능을 이용하여 디렉터리 확인

 

- 리버스 쉘

 : 타깃 서버에 클라이언트로 접속하여 쉘을 획득

 

- 익스플로잇

 : SW나 HW의 버그 또는 취약점을 이용하여 의도한 행위 유도

 

- 스턱스넷

 : 지멘스 사의 SCADA시스템을 목표로 산업기반 시설 제어를 목적

 

- 크리덴셜 스터핑

 : 다른 곳에서 유출된 로그인 정보를 다른 웹 사이트에 무작위로 대입하여 정보 유출

 

 

 

보안 관련 공격 대응 중요 용어

- 허니팟 

 : 비정상적인 접근을 탐지하기 위해 의도적으로 노출시키는 유인 시스템

 

- OWASP TOP10

 : 웹 애플리케이션 취약점 Top10에 대한 대응방안 제공 

 

- 핑거프린팅

 : 콘텐츠 구매자의 정보를 통한 불법 배포자 위치 추적 기술

 

- 워터마킹

 : 디지털 콘텐츠에 저작권자 정보를 삽입하여 원소유자 증명

 

- 이상금융거래 탐지 시스템

 : 전자금융거래에 사용되는 정보를 종합적으로 분석하여 의심거래 탐지 및 차단

 

- CPTED

 : 범죄 예방을 위한 도시 설계 전략

 

- CC

 : 정보기술의 보안 기능 등에 대한 국제 평가 기준

 

- 사이버 위협정보 분석 공유 시스템

 : KISA 주관으로 정보 공유를 통한 침해 예방 대응 시스템

 

- 장착형 인증 모듈

 : 리눅스 시스템을 위한 인증용 라이브러리

 

- CVE

 : 미국 MITRE사의 SW 보안 취약점 표준화 식별자 목록

 

- CWE

 : 미국 MITRE사를 중심으로 소스코드 취약점 등을 정의한 데이터베이스

 

- CVSS

 : 공통  취약점 등급 시스템 프레임워크