Secure SDLC secure software development life cycle
- CLASP - 초기 보안
- SDL - 마이크로 소프트 개선
- Seven Touchpints - 모범사례 통합
소프트웨어 개발 보안 요소
- 기밀성 Confidentiality
- 무결성 Integrity
- 가용성 Availability
- 인증 Authentication
- 부인 방지 NonRepudiation
시큐어 코딩 Scure Coding
보안 요소 고려하며 코딩
- SQL 삽입
쿼리필터링 필요 - 크로스사이트 스크립팅 XSS
HTML 태그 사용 제한 <,>,& 등 - 메모리 버퍼 오버플로
버퍼크기 설정 내에서 사용하게
보안 기능 관련 용어
- HTTPS Hypertext Transfer Protocol Secure
- SSL Secure Sockets Layer
- 하드코딩 hard-coding
스택 가드 Stack Guard - 스택 보안 약점 막는 기술
접근 제어자
| 접근 제어자 | 클래스 내부 | 패키지 내부 | 하위 클래스 | 패키지 내부 |
| Public | ○ | ○ | ○ | ○ |
| Protected | ○ | ○ | ○ | × |
| Default | ○ | ○ | × | × |
| Private | ○ | × | × | × |
암호화
양방향
- 개인키 암호화 기법
- 스트림 암호화 방식
- LFSR
- PC4
- TKIP Temporal Key Integrity Protocol
무선랜 보완, WEP 보완
- 블록 암호화 방식
- IDEA International Data Encryption Algorithm
Lai와 Messey가 PES를 개선
블록 크기 64bit, 키 길이 128bit - Skipjack
미국국가안전보장국NSA에서 개발
클리퍼칩 Clipper Chip이라는 IC칩에 내장
블록 크기 60bit, 키 길이 80bit - DES Data Encryption Standard
미국 NBS, 3DES - TripleDES
블록 크기 64bit, 키 길이 56bit, 16회 라운드 - AES Advanced Encryption Standard
미국 NIST, DES 개선
블록크기 128, 키 길이 AES-128, AES-192, AES-256 - SEED
- AES
- ARIA
- IDEA International Data Encryption Algorithm
- 스트림 암호화 방식
- 공개키 암호화 기법
- RSA Rivest Sharmir Adleman
세명 이름 약자 MIT, 큰수 소인수분해 어렵 - ECC
- RSA Rivest Sharmir Adleman
단방향
해시 Hash
- SHA 시리즈
NSA설계 NIST발표
SHA-0, SHA-1, SHA-2, SHA-224, SHA-256, SHA-384, SHA-512 - MD4
- MD5
블록크기 512, 키 길이 128 - N-NASH
일본NTT
블록크기 128, 키 길이 128 - SNEFRU
R.C.Merkle 32bit 프로세서 구현용이 128bit 256bit 지원 - HAVAL
인증 Authentication
- 지식 기반 인증
- 소유 기반 인증
- 생체 기반 인증
- 위치 기반 인증
- 행위 기반 인증
방화벽 Firewall
침입 탐지 시스템 IDS Intrusion Detedtion System
오용 탐지 - 미리 입력해둔 공격 패턴 감지
이상 탐지 - 평균 상태 기준으로 이상 감지
침입 방지 시스템 IPS Intrusion Prevention System
방화벽 + 침입 방지 시스템
차단, 보안 솔루션
템퍼 프루핑 Tamper Proofing
변조 오작동 방지
- 해시 함수 Hash Function
- 핑거 프린트 Fingerprint
- 워터마킹 Watermarking
실행코드 난독화
OAuth Open Authorization
OpenAPI, 자신에게 접근 권한 부여
VPN Virtual Private Network
NAC Network Access Control
내부망 접속 내부 PC MAC을 IP관리 시스템 등록 보안
SIEM Security Information and Event Management
방화벽,IDS,IPS,VPS등에서 발생한 로그 및 보안 이벤트 통합 관리
SSH Secure Shell
22번 포트 사용
AAA
Authentication 인증
Authorization 인가
Accounting 과금
정보보호 관리 체계 ISMS Information Security Management System
KIST
서비스 거부 공격 Dos Denial of Service
- Ping of Death
전송 많이 - SMURFING
대용량 데이터 집중적으로 - SYN Flooding
3-way-handshake 서버 대기 - TearDrop
offset변경, 패킷 재조립 오류 - LAND Attack
자기 자신에게 응답 반복 - DDoS
분산 서비스 공격용 툴로 감염시켜 여러 곳에서 공격
분산 서비스 공격용 툴
Agent, Daemon
- Trin00 - UDP Flooding
- TFN Tribe Flood Network - + TCP SYN Flooding, ICMP, SMUFING
- TFN2K - +
- Stacheldraht - + 안들키게 암호화, 자동 업데이트
공격
- 세션 하이재킹 Session Hijacking
- ARP Spoofing
자신의 ip, mac 가로챔- ARP : IP -> MAC
- RARP : MAC -> IP
- 사회 공학 Social Engineering
신뢰 함정 - 타이포스쿼팅 Typosquatting
오타, URL Hijacking - 스니핑 Sniffing
도청, 수동적 - 워터링 홀 Watering Hole
자주 방문하는 사이트 감염 - 키 로거 공격 Ket Logger Attack
비번 친 움직임 저장 - 랜섬웨어 Ransomware
파일 잠금, 돈 요구 - 백도어 Back Door, Trap Door
포트 다 열어놓은 사이트 통로 - APT Advanced Persistent Threats 지능형 지속 위협
조직에 침입, 거점 생성, 보안무력화, 정보 탈취 - Rootkit
침입후 해킹툴 설치 - 스미싱 Smishing
문자 - 스피어 피싱 Spear Phishing
사회공학, 이메일, 링크 - 무작위 대입 공격 Brute Force Attack
- 큐싱 Qshing
QR - 크리덴셜 스터핑 Credential Stuffing
로그인 증명을 다른계정에 무작위 대입, 사용자 계정 탈취 - POODLE Padding Oracle On Downgraded Legacy Encryption
TLS연결을 SSL 3.0로 낮춰 취약점 이용 - DDE Dynamic Data Exchange
마소문서로 위장, 활성화시 위장코드 전파 - 좀비PC ZombiePC
감염된 조종당하는 PC - C&C서버
좀비PC 명령 내리는 서버 - 봇넷 botnet
감염된 PC들의 네트워크 연결 - 제로 데이 공격 Zero Day Attack
취약점 발견하자마자 보안공격, 신속 공격 - 트로이목마 Trojan Horse
숨어있다가 실행, 복제 능력은 없음 - 멀버타이징 Malvertising
Malware + Advertising - 데이터 디들링 Data Didding
데이터 바꿈, 잘못된 결과 - 공급망 공격 Supply Chain Attack
- 바이러스 Virus
자신을 복제 감염 - 웜 Worm
네트워크를 통해 자가증식, 시스템 다운
보안 용어
- 다크 데이터 Dark Data
쓸데없이 많은 데이터 - EDR Endpoint Detection & Response
엔드포인트 영역 모니터링과 대응 - TMS Threat Management System
위협정보 수집, 관리 - CC 인증 Common Criteria
국가마다 다른거 보완, 국제 표준 ISO/IEC 15408 - 정보공유분석센터 ISAC Information Sharing & Analysis Center
- 업무연속성계획 BCP Business Continuity Planning
RTO, RPO, 우선순위 - 비트로커 BitLocker
window7 볼륨 암호화, TPM, AES-128
'Certificate > 정보처리기사' 카테고리의 다른 글
| [정보처리기사][요약] 11.응용 SW 기초 기술 활용 (1) | 2026.07.13 |
|---|---|
| [정보처리기사][요약] 10.프로그래밍 언어 활용 (0) | 2026.07.10 |
| [정보처리기사][요약] 8.SQL 응용 (0) | 2026.07.09 |
| [정보처리기사][요약] 7.애플리케이션 테스트 관리 (0) | 2026.07.09 |
| [정보처리기사][요약] 6.화면 설계 (0) | 2026.07.08 |