9. 소프트웨어 개발 보안 구축 - Chap 1. 소프트웨어 개발 보안 설계(1)

IX. 소프트웨어 개발 보안 구축

Chapter 1. 소프트웨어 개발보안 설계

     - 1. 소프트웨어 개발보안 설계

1) SW개발 보안 3대요소 : 기 무 가
  기밀성 / 무결성 / 가용성

  * SW 개발 보안용어 => 자 위 취 위

    자산 / 위협 / 취약점 / 위험

Q. 정보보안의 가용성의 개념을 간략히 서술하시오.

       KEY => 지속적 사용!
 A. 원하는 서비스를 지속적으로 사용할 수 있도록 보장하는 특성

2) DoS (Denial of  Service) 공격의 개념
  : 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여
 원래 의도된 용도로 사용하지 못하게 하는 공격

   
  *DoS공격의 종류 : SYN플러딩, UDP플러딩, 스머프/스머핑(=ICMP플러딩),

                           죽음의핑(PoD), 랜드어택, 티어드롭, 봉크, 보잉크

3) 랜드어택 
 : 출발지IP와 목적지 IP를 같은 패킷 주소로 만들어 보냄으로써 
수신자가 자기 자신에게 응답을 보내게 하여(자신에게 무한루프...오류발생)

시스템의 가용성을 침해하는 공격기법


4) DDoS 공격의 개념  //DoS는 단일 공격
  : Dos의 또 다른 형태로 여러 대의 공격자를 분산 배치하여 
동시에 동작하게 함으로써 특정 사이트를 공격하는 기법 (마스터/ 에이전트)

 *DDoS 공격의 종류 : 대역폭 소진 공격 / 서비스 마비 공격 등
 *DDoS 공격 대응 방안
  : 차단 정책 업데이트 / 좀비PC IP확보 / 보안 솔루션 운영 / 홈페이지 보안관리 / 시스템 패치

 *애플리케이션 공격 : DDoS를 통한 서비스 마비 공격이다
  HTTP GET 플러링 / Slowroris / RUDY (Slow HTTP POST DoS)

     / Slow HTTP Read DoS / Hulk DoS / Hash DoS

 *네트워크 서비스 공격

  패스워트 크레킹 / IP 스푸핑 / ARP 스푸핑(MAC주소 위장) / ICMP 리다이렉트

스니핑 -> 염탐, 도청
스푸핑 -> 위조, 위장
스머핑 (ICMP플러딩)

 

  *버퍼 오버플로우(BoF) : 잘못된 프로그램 작동, 메모리 오류 -> 악성 코드 실행
     - 스택 버퍼 오버플로우 / 힙 버퍼 오버플로우

  *버퍼 오버플로우 공격 대응방안

     - 스택가드(카나리:새--> 무결성 체크값) / 스택쉴드(Global RET)
     / ASLR (주소를 난수화) / 안전한 함수 사용 (사이즈 체크 함수 N)

 

 

 **주요 용어 정리 **    
스피어 피싱
스미싱 ( 문자메세지, 휴대폰 소액 결제)

큐싱 (스마트폰, QR코드, 악성앱) 
APT(Advanced persistent Threat) (특정 타깃 목표로 지속적이고 지능적인)

공급망 공격 (배포서버, 설치파일 ,설치시 감염)
제로데이 공격 (취약점 악용하여 보안공격)
웜 (스스로를 복제, 네트워크등을 연결 악성 소프트웨어)

악성 봇 ( 스스로 실행x , 해커의 명령)

사이버 컬체인(록히드마틴의 공격형 방위 시스템, 7단계 공격, APT 공격 방어분석 모델)

랜섬웨어 (암호화하여 복호화 할 수 없도록, 암호화된 파일로 몸값 요구)

이블 트윈 (무선WIFI피싱기법, 공공장소 정보탈취)

 

* 서버 인증

  : 접속자의 로그인 정보를 확인하는 보안 절차

 * 인증기술의 유형 => 지소생특

  지식기반(ID/PW) / 소지기반(공인인증서, OTP) / 생체기반(지문, 홍채) / 특징기반(서명, 발걸음, 몸짓)

 

5) 서버 접근 통제 : 사람 또는 프로세스가 접근했을때 접근 여부 허가하거나 거부

  * 서버 접근 통제의 유형 =>댁 맥 알 벡
    DAC (사용자 그룹의 신분 기반)

    MAC (허용등급 기준 허가 권한 - 관리자, 일반사용자 등의 보안등급)

    RBAC (역할 기반 - 회계, 경리, 전산 등) 

 

  * 접근 통제 보호 모델 

    벨-라파둘라 모델(BLP) : 미 국방부, 기밀성 강조하며 강제적 정책(MAC..) 에 의해 접근 통제

    비바 모델 :  벨-라파둘라 모델의 단점을 보완한 무결성을 보장하는 최초의 모델

    => 벨 기 비 무 (벨라파둘라-> 기밀성 / 비바 -> 무결성)

 

 

6) DRDoS 공격의 개념 
  : 공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 

공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부(DoS)가 되는 공격
  (에이전트 없이 공격 하는) 
*DRDoS 공격 대응 방안 : ISP 직접 차단 / 블랙리스트 등록 . IP,Port 필터링