정보처리기사 실기 9장. 소프트웨어 개발 보안 구축

 

 

 

비용 산정 기법

1. 하향식 비용 산정 기법

- 전문가 감정 기법 

 : 경험이 많은 두 명 이상의 전문가에게 비용 산정 의뢰

- 델파이 기법

: 많은 전문가의 의견을 종합하여 비용 산정

 

2. 상향식 비용 산정 기법

- LOC : 원시 코드 라인 수 기법

- 개발 단계별 인원수

 

 

 

 

서비스 거부 공격의 유형

1. Ping of Death

- 죽음의 핑

- ping 명령 전송시 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송

 

2. Smurfing

- 스머핑

- 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄

 

3. SYN Flooding

- 공격자가 가상의 클라이언트로 위장하여 3-way-handshaking 중단시킴

- 공격 대상지인 서버가 대기상태로 빠짐

 

4. TearDrop

- 데이터를 여러개로 분할하여 전송할 때 순서를 알 수 있는 Offset값을 변경시킴

- 패킷을 재조립할 때 오류로 인한 과부하 발생

 

5. Land

- 송신 주소지와 수신 주소지를 모두 공격 대상의 IP 주소로 함

 

6. DDoS

- 분산 서비스 거부 공격

- 여러 곳에 분산된 공격 지점에서 한곳의 서버에 대해 분산 서비스 거부 공격 수행

 

 

 

네트워크 침해 공격 관련 용어

 

1. Smishing

- 스미싱

- sms 이용해 신용정보 빼내가기

 

2. Spear Phishing

- 스피어 피싱

- 특정 대상 선정해 지속적으로 메일 발송 -> 개인정보 탈취

 

3. APT

- Advanced Persistent Threats = 지능형 지속 위협

- 다양한 it 기술을 이용해 조직적으로 특정 기업 및 조직 네트워크에 침투해 활동 거점 마련

- 보안을 무력화 시키고 정보유출시킴

 

4. Bruite Force Attack

- 무작위 대입 공격

- 암호키 찾아내려고 적용 가능한 모든 값 대입

 

5. Qshing

- 큐싱

- qr코드 통해 악성 앱 다운로드 유도

 

6. SQL Injection

- sql 삽입 공격

- 데이터 조작하는 일련의 공격방식

 

7. XSS

- 크로스사이트스크립팅

- 웹페이지에 악의적인 스트립트 삽입

 

 

 

 

정보 보안 침해 공격 관련 용어

 

1. 좀비 PC

- 악성코드에 감염되어 다른 컴퓨터를 조종하도록 만들어진 컴퓨터

 

2. C&C 서버

- 원격지에서 감염된 좀비PC에 명령을 내리고 악성코드 제어를 위해 사용하는 서버

 

3. Botnet

- 봇넷

- 악성 프로그램에 감염된 다수의 컴퓨터들이 네트워크로 연결된 상태

 

4. Worm

- 웜

- 연속적으로 자신을 복제하여 시스템 부하 높임

- DDos, burfer overflow, slammer 등이 웜 공격의 일종

 

5. 제로 데이 공격

- 발견 취약점의 존재 자체가 공표되기 전에  해당 취약점을 공격

 

6. 키로거 공격

- 키보드 움직임 탐지

- 개인 정보 탈취

 

7. 랜섬웨어

- 컴퓨터에 잠입해 암호화하여 사용자가 열지 못하게 하는 프로그램

 

8. Sniffing

- 스니핑

- 암호화 되지 않은 패킷들 수집하여 정보 유출

 

9. IP 스푸핑

- 발신지 IP나 목적지 IP 위조하여 공격

 

10. ARP 스푸핑

- MAC 주소 위조하여 통신 왜곡

 

11. 트로이목마

- 사용자가 원하는 것으로 변장하여 시스템 방어망 뚫고 들어감

 

12. 백도어

- Back Door

- Trap door

- 액세스 편의를 위해 시스템 보안을 제거하여 만들어 놓은 비밀통로가 범죄에 악용됨

 

 

 

 

보안 요소 - 기, 무, 가, (인증, 부인방지)

 

1. 기밀성

: 인가된 사용자만이 접근 가능

2. 무결성

: 인가된 사용자가 아니면 정보 변경 불가

3. 가용성

: 인가된 사용자는 언제라도 사용 가능

4. 인증

: 인가된 사용자인지 확인하는 모든 행위

5. 부인 방지

: 부인할 수 없도록 증거 제공

 

 

 

 

암호 알고리즘

 

1. 개인키 암호화

- private key encryption 기법

- 대칭키 암호화, 단일키 암호화

- 동일한 키로 암호화하고 복호화 함

- DES : 블록 크기 = 64bit

- AES : 블록 크기 = 128bit (DES 발전)

 

2. 공개키 암호화

- public key encryption 기법

- 비대칭키 암호화

- 공개키로 암호화 하고 비밀키로 복호화함

- RSA : 소인수분해 문제 이용한 기법

- ECC : 이산대수 문제에 기초한 암호화 알고리즘(RSA보다 키 비트수 적음, 동일한 성능 제공)

 

3. HASH

- 해시

- 임의의 길이의 입력값을 고정된 길이의 값으로 변환

- SHA 시리즈 : NIST에서 표준으로 채택, 가장 많이 상용

- MD5 : MD4개선, 512 비트짜리 입력 메시지 블록에 대해 차례로 동작

- SNEFRU : 128, 254비트 암호화 알고리즘

 

4. 블록 암호화 알고리즘

- SEED : KISA에서 개발, 블록 크기 = 128bit

- ARIA : 국정원과 산학연합회가 개발, 블록 크기 = 128bit