소프트웨어 개발 보안 구축

2022-07-05 (화) 
// 단답형 위주로 공부하기

핵심 키워드 

- 보안개발 표준화

- 보안개발 탐지

- 보안개발 오탐 및 정탐 여부 판단

- 보안개발 분석

- 보안개발 상관분석

- 보안개발 대응

- 보안개발 후속조치

- 보안개발 완료 보고

- 시큐어코딩 가이드

- 보안 취약점

- 보안 약점

 

보안의 3대 요소

1. 기밀성(Confidentiality)

2. 무결성(integrity)

3. 가용성(Availability)

 

SW 개발 보안 용어

 --> 자산 / 위협 / 취약점 / 위험

---

기출문제 1 정리

 

1. 공격자가 패킷의 출발지 주소나 포트를 임의로 변경해서 출발지와 목적지 주소를 동일하게 함으로써 공격대상 컴퓨터의 실행속도를 느리게 하거나 동작을 마비시켜 서비스 거부 상태에 빠지도록 하는 공격방법은?

=> 랜드 어택(Land Attack)

 

2. RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사등에 사용된다.

1991년 로널드 라이베스트가 예전에 쓰이던 MD4를 대체하기 위해 고안된 128비트 암호화 해시 함수는 무엇인가?

=> MD5

 

3. 스니핑(sniffing)에 대하여 서술하시오.

=> 공격대상에게 직접 공격을 하지 않고 데이터만 몰래 들여다보는 수동적 공격방법이다.

 

4. 무결성과 인증을 보장하는 인증헤더(AH)와 기밀성을 보장하는 암호화 (ESP)를 이용한 프로토콜로 네트워크 계층(Network Layer)인 인터넷 프로토콜(IP)에서 보안성을 제공해주는 표준화된 기술에 대해서 작성하시오.

=> IPSEC

 

5. SQL injection 이 무엇인지 서술하시오.

=> SQL injection은 응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스의 접근을 통해 정보를 탈취하거나 조작등의 행위를 하는 공격기법이다.

 

6. 정보보안에서 가용성(Availability)에 대하여 서술하시오.

=> 가용성이란 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성이다.

 

7. 시스템 객체의 접근을 개인 또는 그룹의 식별자에 기반을 둔 방법으로, 어떤 종류의 접근 권한을 가진 사용자가 다른 사용자에 자신의 판단에 따라 권한을 허용하는 접근제어 방식은?

=> DAC ( 임의적 접근 통제 )

+추가 설명: 서버접근 통제 유형에는 임의적 접근 통제(DAC) / 강제적 접근 통제(MAC) / 역할 기반접근 통제(RBAC)

 

8. () 은 '세션을 가로채다' 라는 의미로 정상적 연결을 RST패킷을 통해 종료시킨후 재연결시 희생자가 아닌 공격자에게 연결한다.

( )은 세션관리 취약점을 이용한 공격기법이다.

=> 세션 하이재킹

 

9. 미국 표준 기술 연구소 (NIST)에서 발표한 블록 암호화 알고리즘으로 DES의 성능문제를 극복하기 위해 개발된 128bit의 블록 크기를 갖는 보안 알고리즘은 무엇인가?

=> AES 

 

10. IBM에서 개발한 블록 암호화 알고리즘으로 블록의 크기는 64비트, 키길이는 56비트, 16라운드 암호화 알고리즘은 무엇인가?

=> DES

+추가 설명: DES (data encryption standard) 는 페이스텔(Feistel)구조이다.

 

 

11. 아래는 3A에 대한 설명이다. 각각이 설명하는 3A의 구성요소를 쓰시오.

- 접근을 시도하는 가입자 또는 단말에 대한 식별 및 검증 : authentication (인증)

 

- 검증된 가입자나 단말에게 어떤 수준의 권한과 서비스를 허용 : authorization ( 권한 부여 )

 

- 리소스 사용에 대한 정보를 수집하고 관리하는 서비스 : accounting ( 계정관리)

 

12.

특정 호스트의 MAC 주소를 자신의 MAC 주소로 변경, 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 가로채는 기법은 ( ARP )spoofing이다. 

 

---

예상문제 정리

1. 

    1. 기밀성 (confidentiality) : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성

    2. 가용성 : 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성

    3. 무결성 : 정당한 방법을 따르지 않고선 데이터가 변경 될 수 없으며, 데이터의 정확성 및 완전성과 고의.악의로 변경         되거나 훼손 또는 파괴되지 않음을 보장하는 특성

 

2. 조직이나 기업의 자산에 악영향을 끼칠수 있는 사건이나 행위는 ( 위협 ) 이라고 하고,

( 위협 ) 이 발생하기 위한 사전 조건으로 시스템의 정보 보증을 낮추는데 사용되는 약점은 ( 취약점 ) 이라고 한다.

 

3. 위협이 취약점을 이용하여 조직의 자산 손실 피해를 가져올 가능성을 무엇이라고 하는가?

=> 위험 (RISK)

 

4. DoS (Denial of Service) 공격이란 무엇인지 서술하시오.

Dos 공격이란 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스를 이용을 못하게 하거나, 서버의 자원을 소진시켜서 원래 의도된 용도로 사용하지 못하게 하는 공격이다.

 

5. TCP 프로토콜의 구조적인 문제를 이용한 공격으로 서버의 동시 가용 사용자 수를 SYN 패킷만 보내 점유하여 다른 사용자가 서버를 사용 불가능하게 하는 공격은 무엇인가?

=>  SYN 플러딩

 

6. 다음은 DoS 공격에 대한 설명이다. 괄호 ( ) 안에 들어갈 용어를 쓰시오.

(UDP 플로딩)  공격 : 대량의 UDP 패킷을 만들어 임의의 포트번호로 전송하여 응답메시지 (ICMP) 를 생성하게 하여 지속해서 자원을 고갈시키는 공격

 

(죽음의 핑) 공격: ICMP 패킷을 정상적인 크기보다 아주 크게 만들어서 전송하면 다수의 IP 단편화가 발생하고 , 수신측에서는 단편화된 패킷을 처리(재조합)하는 과정에서 많은 부하가 발생하거나, 재조합 버퍼의 오버 플로우가 발생하여 정상적인 서비스를 하지 못하도록 하는 공격기법.

 

 

8. DOS 공격기법중 랜드 어택(LAND ATTACK) 공격의 개념에 대해 서술하시오.

=> 출발지 IP 와 목적지 IP를 같은 패킷 주소로 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격기법이다.

 

10.

핸들러 : 마스터 시스템의 역할을 수행하는 프로그램.

에이전트: 공격대상에 직접 공격을 가하는 시스템

 

 

 

---

기출문제 2 정리

 

1. 정보시스템 운영 중 서버가 다운되거나 자연재해나 시스템 장애 등의 이유로 고객에게 서비스가 불가능 한 경우가 종종 발생한다. 이와 같은 상황에서 비상사태 또는 업무 중단 시점부터 업무가 복구되어 다시 정상 가동될 때까지의 시간을 의미하는 용어가 무엇인지 쓰시오. 

=> 재해 복구 시간 (RTO)

 

 

---

단원 종합 문제

 

 

1. 무결성이란 정당한 방법을 따르지 않고서는 데이터가 변경될 수 없으며, 데이터의 정확성 및 완전성과 고의.악의로 변경되거나 훼손 또는 파괴되지 않음을 보장하는 특성이다. 

 

2. 다음은 DOS 공격에 대한 설명이다.

 

 

---

1. 소스코드 등에 존재하는 보안 ( 취약점 )을 제거하고, 보안을 고려하여 기능을 설계 및 구현하는 등 소프트웨어 개발 과정에서 지켜야 할 일련의 보안 활동을 말한다.
2.  ( 기밀성 ) 은 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성이다.