• SW 개발 보안 요소
    • 기밀성 : 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용
    • 무결성 : 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음
    • 가용성 : 인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있음
  • 입력 데이터 검증 및 표현
    • SQL Injection : 웹 응용 프로그램에 SQL을 삽입하여 DB 서버의 데이터를 유출 및 변조
    • XSS : 웹페이지에 악의적인 스크립트를 삽입
  • 암호 알고리즘
    • 양방향
      • 개인키 : 동일한 키로 데이터를 암호화하고 복호화하는 암호화 기법
        • 스트림 암호화 방식 : RC4, LFSR
        • 블록 암호화 방식 : DES, SEED (한국개발), AES, ARIA
      • 공개키 : 암호화시 사용하는 공개키는 사용자에게 공개하고 복호화시 사용하는 비밀키는 관리자가 비밀리에 관리하는 암호화 기법
        • RSA : 소인수분해
    • 단방향
      • 해시 : 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 암호화 기법
        • 종류 : SHA시리즈, MD5, N-NASH, SNEFRU
  • 서비스 공격 유형
    • 서비스 거부 (DoS) 공격 : 대량의 데이터를 한 곳의 서버에 집중적으로 전송하여 서버의 정상적인 기능을 방해
      • Ping of Death : 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크를 마비시키는 공격방법
      • SMURFING : IP나 ICMP의 특성을 악용해 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격방법
      • SYN Flooding : 3-way-handshake 과정을 의도적으로 중단시킴으로써 서버가 대기상태에 놓여 정상적인 서비스를 수행하지 못하게 만드는 공격방법
      • TearDrop : Offset 값을 변경시켜 오류로 인한 과부하를 발생시키는 공격방법
      • LAND Attack : 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 자신에 대해 무한히 응답하게 하는 공격
      • DDoS : 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 분산 서비스 공격을 수행하는 것
        • 공격용 툴 (Daemon) : Trin00, TFN, TFN2K, Stacheldraht
    • 네트워크 침해 공격 관련 용어
      • 스미싱 : 문자메시지를 통해 사용자의 개인 신용 정보를 빼내는 수법
      • 스피어 피싱 : 일반 메일로 위장한 메일을 지속적으로 발송하여 개인 신용 정보를 빼내는 수법
      • APT : 지능형 지속 위협, 다양한 수단을 통한 지속적이고 지능적인 맞춤형 공격
      • 무작위 대입 공격 : 암호를 찾기 위해 모든 값을 대입하여 공격
      • 큐싱 : QR코드를 이용해 금융사기
      • 스니핑 : 네트워크의 중간에서 남의 패킷 정보를 도청
    • 정보 보안 침해 공격 관련 용어
      • 좀비 PC : 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하는 컴퓨터
      • C&C 서버 : 좀비PC에 명령을 내리는 용도로 사용하는 서버
      • 봇넷 : 악성 프로그램에 감염된 다수의 컴퓨터들이 네트워크로 연결된 형태
      • 웜 : 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높여 다운시키는 바이러스의 일종
      • 제로 데이 공격 : 보안 취약점이 발견되었을 때 공표되기 전에 공격하는 보안 공격
      • 키로거 공격 : 컴퓨터 사용자의 키보드 움직임을 탐지해 정보를 탈취
      • 랜섬웨어 : 인터넷 사용자의 컴퓨터에 잠입해 파일들을 암호화해 사용자가 열지 못하게 하는 프로그램
      • 백도어 : 시스템 보안을 제거하여 만들어 놓은 비밀통로
      • 트로이 목마 : 정상적인 기능을 하는 프로그램으로 위장하여 숨어있다가 동작시 활성화
  • 인증 : 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차
    • 지식 기반 인증 : 사용자가 기억하고 있는 지식, ID/PW
    • 소지 기반 인증 : 사용자가 소지하고 있는 물품, 신분증, OTP, 메모리카드
    • 생체 기반 인증 : 사용자의 고유한 생체정보, 지문, 홍채, 얼굴, 음성
  • 보안 아키텍처 : 보안 요소 및 보안 체계를 식별하고 이들 간의 관계를 정의한 구조
  • 보안 솔루션 : 외부로부터의 불법적인 침입을 막는 기술 및 시스템
    • 방화벽 : 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 기능을 가진 침입차단시스템
    • 침입 탐지 시스템 (IDS) : 네트워크에 발생하는 이벤트를 모니터링하고 침입을 실시간으로 탐지하는 시스템
    • 침입 방지 시스템 (IPS) : 비정상적인 트래픽을 능동적으로 차단하고 격리하는 보안솔루션
    • 데이터 유출 방지 (DLP) : 내부 정보의 외부 유출을 방지하는 보안 솔루션
    • 웹 방화벽 : 웹 기반 공격을 방어할 목적으로 만들어진 방화벽
    • VPN : 가상 사설 통신망, 사용자가 마치 자신의 전용망을 사용하는 효과를 가진 보안 솔루션
    • NAC : 네트워크에 접속하는 내부 PC의 주소를 등록해 보안관리하는 방법
    • ESM : 로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션