정처기 실기 정리] 9. 소프트웨어 개발 보안 구축

1. 취약점 공격

 1) 랜드 어택(Land Attack)

  - 출발지 IP와 목적지 IP를 같은 패킷 주소로 만들어 보내 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 기밀성과 가용성을 침해하는 공격기법이다.

 

2. 스니핑(Sniffing)

 - 네트워크 상에 통과하는 패킷들의 내용을 엿보는 행위이다.

 - 로그인 과정 중 계정명과 패스워드 정보를 비롯한 주요 내용을 불법으로 추출할 수 있다.

 

3. 정보보안의 목표 3원칙

 1) 기밀성 : 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용되며, 정보가 전송 중 노출되더라도 데이터를 읽을 수 없다.

 2) 무결성 : 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음 + 완전성, 일관성, 데이터 훼손 및 파손을 할 수 없다.,

 3) 가용성 : 인가 받은 사용자는 언제라도 사용할 수 있다.

 

4. 임의적 접근 통제(DAC, Discretionary Access Control)

ㆍ접근통제 모델 중 정보의 소유자가 정보의 보안 수준을 결정하고 이에 대한 정보의 접근 통제까지 설정하는 모델이다.
ㆍ주체 또는 소속 그룹의 아이디에 근거하여 소유자가 자신의 의지대로 데이터에 대한 접근 권한을 지정하고 제어하는 방식이다.
ㆍ객체별로 세분된 접근제어가 가능하며 유연한 접근제어 서비스를 제공할 수 있다.
ㆍ대부분의 운영체제에서 지원이 되어 다양한 환경에서 폭넓게 사용되고 있다.

 

5. 양방향

 ① 개인키 암호화(대칭키, Private)

   - 암호화와 복호화에 사용하는 키가 동일(키 비공개)

  1) 블록 암호화 방식 : DES, AES, SEED, ARIA, IDEA, TDES, RC5

   - DES : 1975년 미국 NBS에서 발표한 개인키 암호화 알고리즘

   - AES : 2001년 발표, 128비트의 평문(블록)을 암호화, 복호화 하는 방식.(DES 보완)

   - SEED : 1999년 한국인터넷진흥원(KISA)에서 개발한 블록암호화 알고리즘

   - ARIA : 국제표준화기구(ISO) 표준인 SEED와 함께 사용될 국가 표준 블록알고리즘

  2) 스트림 암호화 방식 : LFSR, RC4

  3) 특징

  ⓐ 알고리즘이 단순하여 암호 및 복호화 속도가 빠름

  ⓑ 파일 크기가 작음.

  ⓒ 사용자 수와 관리할 키 수가 비례한다.

  ⓓ 낮은 보안

  ⓔ 암호화 키와 복호화 키가 동일

 

 ② 공개키 암호화(비대칭키, Public) : RSA(소인수분해), ECC(타원곡선), EIGAMA(이산대수)

  - 암호화와 복호화에 사용하는 키가 서로 다른 암호화 방식.

  1) 특징

  ⓐ 키의 분배가 용이

  ⓑ 관리할 키 수가 적음

  ⓒ 알고리즘이 복잡해 암호 및 복호화 속도가 느림

  ⓓ 파일 크기가 크다.

 

6. 단방향(복호화 불가능)

 ① 해시 : HAVAL, SHA-1, MD4, MD5, SHA-256, SNEFRU, N-NASH

  - 특징

  ⓐ 단방향

  ⓑ 일방향 함수(One-way function)

  ⓒ 임의 길이의 입력 데이터를 받아 고정된 길이의 해쉬 값으로 변환.

 

7. ARP 스푸핑

 - 근거리 통신망 하에서 ARP 메시지를 통해 상대방의 데이터 패킷을 중간에 가로채는 공격 기법

 - 데이터 링크 상의 프로토콜인 ARP를 이용하기 때문에 근거리상의 통신에서만 가능한 공격이다.

 

8. AAA 정보 보호 기술

 - 정의 : AAA는 유무선 이동 및 인터넷 환경에서 가입자에게 안전하고, 신뢰성 있게 인증,권한,검증 기능을 제공한다.

 - 인증(Authentication) : 시스템을 접근하기 전에 접근 시도하는 사용자의 신원을 검증

 - 권한(Authorization) : 검증된 사용자에게 어떤 수준의 권한과 서비스를 허용

 - 검증(Accounting) : 사용자의 자원(시간, 정보, 위치 등)에 대한 사용 정보를 수집

 * 3A : 인증,권한,검증을 통합한 보안소프트웨어