Certificate/정보처리기사

[정보처리기사][요약] 9.소프트웨어 개발 보안 구축

다닿 2026. 7. 9. 19:30

Secure SDLC secure software development life cycle

  • CLASP - 초기 보안
  • SDL - 마이크로 소프트 개선
  • Seven Touchpints - 모범사례 통합

 

소프트웨어 개발 보안 요소

  • 기밀성 Confidentiality
  • 무결성 Integrity
  • 가용성 Availability
  • 인증 Authentication
  • 부인 방지 NonRepudiation

 

시큐어 코딩 Scure Coding

보안 요소 고려하며 코딩

  • SQL 삽입
    쿼리필터링 필요
  • 크로스사이트 스크립팅 XSS
    HTML 태그 사용 제한 <,>,& 등
  • 메모리 버퍼 오버플로
    버퍼크기 설정 내에서 사용하게

 

보안 기능 관련 용어

  • HTTPS Hypertext Transfer Protocol Secure
  • SSL Secure Sockets Layer
  • 하드코딩 hard-coding

스택 가드 Stack Guard - 스택 보안 약점 막는 기술

 

접근 제어자 

접근 제어자 클래스 내부 패키지 내부 하위 클래스 패키지 내부
Public
Protected ×
Default × ×
Private × × ×

암호화

양방향

  • 개인키 암호화 기법
    • 스트림 암호화 방식
      • LFSR
      • PC4
      • TKIP Temporal Key Integrity Protocol
        무선랜 보완, WEP 보완
    • 블록 암호화 방식
      • IDEA International Data Encryption Algorithm
        Lai와 Messey가 PES를 개선
        블록 크기 64bit, 키 길이 128bit
      • Skipjack
        미국국가안전보장국NSA에서 개발
        클리퍼칩 Clipper Chip이라는 IC칩에 내장
        블록 크기 60bit, 키 길이 80bit
      • DES Data Encryption Standard
        미국 NBS, 3DES - TripleDES
        블록 크기 64bit, 키 길이 56bit, 16회 라운드
      • AES Advanced Encryption Standard
        미국 NIST, DES 개선
        블록크기 128, 키 길이 AES-128, AES-192, AES-256
      • SEED
      • AES
      • ARIA
  • 공개키 암호화 기법
    • RSA Rivest Sharmir Adleman
      세명 이름 약자 MIT, 큰수 소인수분해 어렵
    • ECC

단방향

해시 Hash

  • SHA 시리즈
    NSA설계 NIST발표
    SHA-0, SHA-1, SHA-2, SHA-224, SHA-256, SHA-384, SHA-512
  • MD4
  • MD5
    블록크기 512, 키 길이 128
  • N-NASH
    일본NTT
    블록크기 128, 키 길이 128
  • SNEFRU
    R.C.Merkle 32bit 프로세서 구현용이 128bit 256bit 지원
  • HAVAL

인증 Authentication

  • 지식 기반 인증
  • 소유 기반 인증
  • 생체 기반 인증
  • 위치 기반 인증
  • 행위 기반 인증

 

방화벽 Firewall

 

침입 탐지 시스템 IDS Intrusion Detedtion System

오용 탐지 - 미리 입력해둔 공격 패턴 감지

이상 탐지 - 평균 상태 기준으로 이상 감지

 

침입 방지 시스템 IPS Intrusion Prevention System

방화벽 + 침입 방지 시스템

차단, 보안 솔루션

 

템퍼 프루핑 Tamper Proofing

변조 오작동 방지

  • 해시 함수 Hash Function
  • 핑거 프린트 Fingerprint
  • 워터마킹 Watermarking

실행코드 난독화

 

OAuth Open Authorization

OpenAPI, 자신에게 접근 권한 부여

 

VPN Virtual Private Network

 

NAC Network Access Control

내부망 접속 내부 PC MAC을 IP관리 시스템 등록 보안

 

SIEM Security Information and Event Management
방화벽,IDS,IPS,VPS등에서 발생한 로그 및 보안 이벤트 통합 관리

 

SSH Secure Shell

22번 포트 사용

 

AAA

Authentication 인증

Authorization 인가

Accounting 과금

 

정보보호 관리 체계 ISMS Information Security Management System

KIST

 

서비스 거부 공격 Dos Denial of Service

  • Ping of Death
    전송 많이
  • SMURFING
    대용량 데이터 집중적으로
  • SYN Flooding
    3-way-handshake 서버 대기
  • TearDrop
    offset변경, 패킷 재조립 오류
  • LAND Attack
    자기 자신에게 응답 반복
  • DDoS
    분산 서비스 공격용 툴로 감염시켜 여러 곳에서 공격

 

분산 서비스 공격용 툴

Agent, Daemon

  • Trin00 - UDP Flooding
  • TFN Tribe Flood Network - + TCP SYN Flooding, ICMP, SMUFING
  • TFN2K - +
  • Stacheldraht - + 안들키게 암호화, 자동 업데이트

 

공격

  • 세션 하이재킹 Session Hijacking
  • ARP Spoofing
    자신의 ip, mac 가로챔
    • ARP : IP -> MAC
    • RARP : MAC -> IP
  • 사회 공학 Social Engineering
    신뢰 함정
  • 타이포스쿼팅 Typosquatting
    오타, URL Hijacking
  • 스니핑 Sniffing
    도청, 수동적
  • 워터링 홀 Watering Hole
    자주 방문하는 사이트 감염
  • 키 로거 공격 Ket Logger Attack
    비번 친 움직임 저장
  • 랜섬웨어 Ransomware
    파일 잠금, 돈 요구
  • 백도어 Back Door, Trap Door
    포트 다 열어놓은 사이트 통로
  • APT Advanced Persistent Threats 지능형 지속 위협
    조직에 침입, 거점 생성, 보안무력화, 정보 탈취
  • Rootkit
    침입후 해킹툴 설치
  • 스미싱 Smishing
    문자
  • 스피어 피싱 Spear Phishing
    사회공학, 이메일, 링크
  • 무작위 대입 공격 Brute Force Attack
  • 큐싱 Qshing
    QR
  • 크리덴셜 스터핑 Credential Stuffing
    로그인 증명을 다른계정에 무작위 대입, 사용자 계정 탈취
  • POODLE Padding Oracle On Downgraded Legacy Encryption
    TLS연결을 SSL 3.0로 낮춰 취약점 이용
  • DDE Dynamic Data Exchange
    마소문서로 위장, 활성화시 위장코드 전파
  • 좀비PC ZombiePC
    감염된 조종당하는 PC
  • C&C서버
    좀비PC 명령 내리는 서버
  • 봇넷 botnet
    감염된 PC들의 네트워크 연결
  • 제로 데이 공격 Zero Day Attack
    취약점 발견하자마자 보안공격, 신속 공격
  • 트로이목마 Trojan Horse
    숨어있다가 실행, 복제 능력은 없음
  • 멀버타이징 Malvertising
    Malware + Advertising
  • 데이터 디들링 Data Didding
    데이터 바꿈, 잘못된 결과
  • 공급망 공격 Supply Chain Attack
  • 바이러스 Virus
    자신을 복제 감염
  • 웜 Worm
    네트워크를 통해 자가증식, 시스템 다운

 

보안 용어

  • 다크 데이터 Dark Data
    쓸데없이 많은 데이터
  • EDR Endpoint Detection & Response
    엔드포인트 영역 모니터링과 대응
  • TMS Threat Management System
    위협정보 수집, 관리
  • CC 인증 Common Criteria
    국가마다 다른거 보완, 국제 표준 ISO/IEC 15408
  • 정보공유분석센터 ISAC Information Sharing & Analysis Center
  • 업무연속성계획 BCP Business Continuity Planning
    RTO, RPO, 우선순위
  • 비트로커 BitLocker
    window7 볼륨 암호화, TPM, AES-128