Hueestory

9. 소프트웨어 개발 보안 구축 본문

challenge/정보처리기사 실기

9. 소프트웨어 개발 보안 구축

히명 2024. 10. 18. 19:47

AES, 공격 관련 용어

 

소프트웨어 개발 보안 요소
기밀성 : 시스템 내 정보와 자원은 인가된 사용자에게만 접근이 허용된다
무결성 : 시스템 내 정보는 인가된 사용자만 수정할 수 있다
가용성 : 인가된 사용자는  시스템 내 정보와 자원을 언제라도 사용할 수 있다
인증 : 시스템 내 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지를 확인하는 행위
부인 방지 : 데이터를 송수신한 자가 송수신 사실을 부인할 수 없도록 증거를 제공

 

암호 알고리즘

- 개인키 : 동일한 키, 대칭/단일키, DES, AES, ARIA, SEED

- 공개키 : 사용자는 공캐기, 관리자는 비밀키, 비대칭, RSA, ECC

 

양방향 알고리즘 종류

- DES : 56bit

- AES : DES 대안, 128, 192, 256bit

- RSA : 소인수분해

- ECC : 이산대수 문제

 

해시 : 임의의 길이 데이터를 고정된 길이의 값이나 키로 변환

- MD5 : MD4 대체, 128bit

- SHA, HAVAL, N-HASH

 

서비스 거부 공격(DoS)

- Ping of Death : 인터펫 프로토콜 허용 범위 이상의 패킷 전송

- Smurfing : IP, ICMP 특성을 악용해 많은 양의 데이터를 한 사이트에 보냄

- SYN Flooding : 3 way handshake

- Land Attack : 송수신 IP를 모두 공격 대상의 IP로 하여 자신에 대해 무한히 응답하게 함

- DDoS : 분산된 공격 지점에서 한 곳의 서버에 대해 DoS

 

네트워크 침해 용어

- 세션 하이재킹 : 서버와 클라이언트 사이의 세션 정보를 가로챔

- ARP 스푸핑 : 자신의 MAC주소를 공격자의 것으로 변조

- 스니핑 : 네트워크 중간에서 패킷 도청

- 사회 공학 : 인간의 상호 작용의 깊은 신뢰를 악용

- 다크 데이터 : 특정 목적을 가지고 수집되었으나 활용되지 않고 저장만 되어있는 데이터

- 타피오스쿼팅 : 유명 도메인을 미리 등록해 잘못 입력하는 실수를 악용

 

정보보안 침해 용어

- 워터링 홀 : 자주 접속하는 웹 사이트를 사전에 감염

- 웜 : 자신을 복제

- 키로거 공격 : 사용자의 키보드 움직임을 탐지

- Rootkit : 시스템 침입 후 침입 사실을 숨긴 채 차후 침입을 위한 기능을 제공

- APT : 특정 타깃을 목표로 다양한 수단을 통해 지속, 지능적 맞춤형 공격

- 랜섬웨어 : 파일을 암호화하고 금전 요구

- 트로이 목마 : 정상 프로그램으로 위장

 

보안 솔루션

- VPN : 사용자가 마치 자신의 전용 회선을 사용하는 것처럼

- SSH : 다른 컴퓨터에 로그인하여 동작을 수행

- 템퍼 프루핑 : 위변조가 발생할 경우 소프트웨어를 오작동시킴

- OAuth : 웹사이트나 애플리케이션에 비밀번호를 제공하지 않고 접근할 수 있는 권한을 부여

- SIEM : 다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리

'challenge > 정보처리기사 실기' 카테고리의 다른 글

4. 서버 프로그램 구현  (0) 2024.10.18
2. 데이터 입 출력 구현  (0) 2024.10.18
11. 응용 SW 기초 기술 활용  (2) 2024.10.18
SQL 이론  (2) 2024.10.16
정처기 실기 핵심 개념 (코딩 제외)  (5) 2024.10.02
Comments