[자격증] 정보처리기사 실기 - SW 개발 보안

 

1. SW 개발 보안 생명주기

 

 

 

2. SW 개발 보안 3대 요소

 

 

3. SW 개발 보안 용어

 

 

4. 보안 관련 공격 기법 (DoS 공격 vs DDoS 공격) 

 

DoS 공격

시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격

DDos 공격

DoS의 또다른 형태로 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 기법

 

5. DoS 공격 종류

 

1. SYN 플러딩 : TCP 프로토콜의 구조적 문제를 이용한 공격
2. UDP 플러딩 : 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 응답 메시지를 생성하게 하여 지속적으로 자원을 고갈시키는 공격
3. 스머프 : 출발지의 주소를 공격 대상의 IP 로 설정하여 네트워크 전체에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비시키는 공격
4. PoD : 큰 사이즈의 패킷을 의도적으로 목표시스템으로 발생시켜 시스템이 서비스할 수 없는 상태로 만드는 공격
5. 랜드 어택 : 출발지 IP와 목적지 IP 를 같은 패킷 주소로 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격 기법
6. 봉크 / 보잉크 : 프로토콜의 오류 제어를 이용한 공격 기법으로서 시스템의 패킷 재전송과 재조립이 과부하 유발
7. 티어 드롭 : IP 패킷의 재조합 과정에서 잘못된 Fragment Offset 정보로 인해 수신시스템이 문제를 발생하도록 만드는 DoS 공격

 

6. DDoS 공격 구성요소

 

 

7. 애플리케이션 공격

 

1. HTTP GET 플러딩 : Cache Control Attack 공격 / Http 캐시 옵션 조작하여 캐싱 서버가 아닌 웹서버가 직접 처리하도록 유도, 웹서버 자원을 소진시키는 서비스 거부 공격
2. Slowloris : 개행 문자열을 전송하지 않고 \r, \n만 전송하여 웹서버와 연결상태를 장시간 지속시키고 연결 자원을 모두 소진시키는 서비스 거부 공격
3. RUBY : 오청 헤더의 Content-length를 비정상적으로 크게 설정하여 메시지 바디 부분을 매우 소량으로 보내 계속 연결 상태를 유지시키는 공격

 

8. 네트워크 공격

 

1. 네트워크 스캐너/스니퍼 : 취약점 파악을 위한 도구
2. 패스워드 크래킹 : 네트워크 패스워드 탐색
3. IP 스푸핑 : 서버에 대한 인증되지 않은 액세스 권한을 입수하는 데 사용하는 기법
4. 트로이 목마 : 악성 루틴이 숨어있는 프로그램으로, 겉보기에는 정상이지만 실행 시 악성코드 실행

 

9. 암호 알고리즘 방식

 

1. 대칭 키 암호 방식 : 암호화와 복호화에 같은 키를 쓰는 알고리즘
   1. 블록 암호 방식 : 긴 평문을 암호화 하기 위해 고정 길이 블록을 암호화하는 블록 암호 알고리즘을 반복하는 방법 → DES , AES , SEED
   2. 스트림 암호 방식 : 매우 긴 주기의 난수열을 발생시켜 평문과 더불어 암호문 생성 → RC4
2. 비대칭 키 암호 방식 : 공개 키를 이용해 암호화하고 공개 키에 해당하는 개인 키를 이용해 복호화하는 암호 방식 → 디피-헬만, RSA
3. 해시 방식 : 단방향 알고리즘으로서 임의의 데이터를 고정된 길이의 데이터로 매핑하는 함수 → SHA, MD5