2020 정보처리기사 실기 정리 - 소프트웨어 개발 보안 구축

(1)소프트웨어 개발 보안 설계

SW 개발 보안의 개념: 소스 코드 등에 존재하는 보안 취약점을 제거하고 보안을 고려하여 기능을 설계 및 구현하는 것

 

SW 개발 보안의 구성요소

C(confidentiality): 기밀성

I(Availability): 가용성

A(Integrity): 무결성

 

SW 개발 보안 용어

1. 자산: 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상

2. 위협: 조직이나 기업의 자산에 악영향을 끼칠 수 있는 시건이나 행위

3. 취약점: 위협이 발생하기 위한 사전 조건에 따른 상황

4. 위험: 위협이 취약점을 이용하여 조직의 자산 손실 피해를 가져올 가능성

 

Dos 공격: 시스템을 악의적으로 공격 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격. 

 

DoS공격의 종류

1. 지역 시스템 공격

2. 원격 네트워크 공격

 

DDos 공격: DoS의 또 다른 형태로 여러대의 공격자를 분산 배치하여 동시에 동작하게함으로써 특정 사이트를 공격하는 기법.

 

DDos의 공격 구성요소

1. 핸들러

2. 에이전트

3. 마스터

4. 공격자

5. 데몬프로그램

 

DDos 공격 대응방안

1. 차단 정책 업데이트

2. 좀비 PC IP 확보

3. 보안 솔루션 운영

4. 홈페이지 보안 관리

5. 시스템 패치

 

자원고갈 공격 기법

1. SYN 플러딩: 서버의 동시 가용 사용자 수를 SYN 패킷만 보내 점유하여 다른 사용자가 서버를 사용 불가능하게 하는 공격

2. UDP 플러딩: 응답 메시지(ICMP)를 생성하게 하여 지속해서 자원을 고갈시키는 공격

3. 스머프

4. PoD(Ping of Death)

 

애플리케이션 공격기법

1. HTTP GET 플러딩

2. Slowloris 

3. RUDY

 

네트워크 서비스 공격

1. 네트워크 스캐너, 스니퍼

2. 패스워드 크래킹

3. IP 스푸핑

4. 트로이 목마