728x90
반응형
도서 내용 중 중요하다 여겨지는 것만 작성합니다
영리목적이 아닌 공유목적입니다
출처 : 2023 시나공 정보처리기사 실기 (저자: 김정준, 강윤석, 김용갑, 김우경 | 출판사: 길벗)
'기출문제는 시나공 저자(알앤디)가 복원한 것임'
제가 이미 잘 알고 있는 것은 적지 않습니다
해당 포스팅을 참고하여 학습하셔도 좋지만
교재를 구매하여 문제를 풀며 학습하시는 것을 추천드립니다
Secure SDLC
SDLC(소프트웨어 개발 생명주기)에 보안 강화를 위한 프로세스를 포함한 것
ex) Seven Touchpoints : 소프트웨어 보안의 모범사례를 SDLC에 통합한 방법론
소프트웨어 개발 보안 요소
무결성 | 보안의 3대 요소 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음 |
기밀성 | 보안의 3대 요소 시스템 내의 정보와 자원은 인가된 사용자에게만 접근 허용 |
가용성 | 보안의 3대 요소 인가받은 사용자는 시스템 내의 정보와 자원 사용 가능 |
인증 | |
부인 방지 |
입력 데이터 검증 및 표현
SQL 삽입 | 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회하는 공격 기법 |
경로 조작 및 자원 삽입 | |
크로스사이트 스크립팅 (XSS) | 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나, 비정상적인 기능 수행을 유발하는 보안 약점 |
운영체제 명령어 삽입 | |
위험한 형식 파일 업로드 | |
신뢰되지 않는 URL 주소로 자동접속 연결 | |
메모리 버퍼 오버플로 | 할당된 메모리 범위를 벗어난 위치에서 자료를 읽거나 쓰는 등 메모리를 다루는데 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점 |
- 스택 가드 : 주소가 저장되는 스택에서 발생하는 보안 약점을 막는 기술
암호 알고리즘
암호화 방식 | 양방향 | 개인키 (대칭 암호 기법) 동일한 키로 암호화•복호화 |
stream 방식 ex)LFSRRC4, TKIP(WEP 보완) |
block 방식 ex) DES, SEED(한국인터넷진흥원), AES(DES 한계), ARIA(국가정보원 + 산학연협회), IDEA(스위스), Skipjack(NSA) |
|||
공개키 (비대칭 암호 기법) 암호화:공개, 복호화: 비밀 ex) RSA |
|||
단방향 | hash ex) SHA 시리즈(국가안보국), MD5, N-NASH(일본), SNEFRU(해시함수) |
서비스 공격 유형(DoS)
대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 서버의 정상적인 기능을 방해하는 것
Ping of Death (죽음의 핑) | 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크를 마비시키는 서비스 거부 공격 방법 |
SMURFING (스머핑) | IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격 방법 |
SYN Flooding | 3-way-handshake 과정을 의도적으로 중단시킴으로써 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법 |
TearDrop | Offset값을 변경시켜 수신 측에 과부하를 발생시킴으로써 시스템이 다운되도록 하는 공격 방법 |
Land Attack | 패킷을 전송할 때 송신 IP 주소와 수신 IP주소를 모두 공격 대상의 IP주소로 하여 자신에 대해 무한히 응답하게 하는 공격 |
DDoS (분산 서비스) 공격 | 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 서비스 거부 공격을 수행하는 것 |
네트워크 침해 공격 관련 용어
세션 하이재킹 | 상호 인증 과정을 거친 후 접속 해 있는 서버와 서로 접속되어클라이언트 사이의 세션 정보를 가로채는 공격 기법 |
ARP 스푸핑 | 자신의 물리적 주소를 공격대상의 것으로 변조하여 공격 대상에게 도달해야 하는 데이터 패킷을 가로채거나 방해 |
스미싱 | 문자 메시지(SMS)를 이용해 개인 신용 정보를 빼내는 수법 |
사회 공학 | 인간 상호 작용의 깊은 신뢰를 바탕으로 사람을 속여 정상 보안 절차를 깨트리기 위한 비기술적 시스템 침입 수단 |
다크 데이터 | 활용되지 않고 저장만 되어있는 대량의 데이터 |
타이포스쿼팅 | 네티즌들이 실수로 URL 잘못 접속을 이용 |
스피어 피싱 | 위장한 메일을 지속적으로 발송 |
APT (지능형 지속 위협) | 다양한 IT 기술과 방식들 이용 |
무작위 대입 공격 | |
큐싱 | QR코드 |
SQL 삽입 공격 | |
크로스 사이트 스크립팅 (XSS) | |
스니핑 | 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당 |
정보 보안 침해 공격 관련 용어
워터링홀 | 목표 조직이 자주 방문하는 웹 사이트 사전 감염 |
좀비 PC | 컴퓨터 조종 |
C&C 서버 | 컴퓨터 조종하는 컴퓨터 |
봇넷 | 좀비 PC 여러 대 |
웜 | 자기복제 |
제로 데이 공격 | 공격의 신속성 |
키로거 공격 | 사용자의 키보드 움직임 탐지 |
랜섬웨어 | 사용자가 열지 못하도록 암호화 후 돈 요구 |
백도어 | 비밀 통로 |
트로이 목마 | 정상 프로그램으로 위장 |
보안 솔루션
방화벽 | 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용•거부•수정하는 기능을 가진 침입 차단 시스템 |
침입 탐지 시스템 (IDS) | 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템 ex) 오용 탐지, 이상 탐지 |
침임 방지 시스템 (IPS) | 비정상적인 트래픽을 능동적으로 차단하고 격리하는 보안 솔루션 |
데이터 유출 방지 (DLP) | 내부 정보의 외부 유출을 방지하는 보안 솔루션 |
웹 방화벽 | 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽 |
VPN | 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션 |
NAC | 네트워크에 접속하는 내부 PC의 일관된 보안 관리 기능을 제공하는 보안 솔루션 |
SIEM | 로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션 |
728x90
반응형
'Computer Science (CS) > 정보처리기사' 카테고리의 다른 글
[정보처리기사 실기] 10. 프로그래밍 언어 활용 (0) | 2023.04.05 |
---|---|
[정보처리기사 실기] 11. 응용 SW 기초 기술 활용 (0) | 2023.03.20 |
[정보처리기사 실기] 8. SQL 응용 (0) | 2023.03.18 |
[정보처리기사 실기] 5. 인터페이스 구현 (0) | 2023.03.16 |
[정보처리기사 실기] 4. 서버 프로그램 구현 (0) | 2023.03.16 |