SW 개발 보안
1) 정의
소프트웨어 개발 과정에서 지켜야 할 일련의 보안 활동
2) 구성요소
[기무가]
기밀성 : 인가되지 않은 개인 또는 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
무결성 : 정당한 방법을 따르지 않고서는 데이터 변경될 수 없으며, 데이터의 완전성을 보장하는 특성
가용성 : 권한을 가진 사용자가 원하는 서비스를 지속해서 사용할 수 있도록 보장하는 특성
3) 용어
자산 : 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상
위협 : 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위
취약점 : 위협이 발생하기 위한 사전 조건으로 시스템의 정보 보증을 낮추는 데 사용되는 약점
위험 : 위협이 취약점을 이용하여 조직의 자산 손실 피해를 가져올 가능성
SW 개발 보안을 위한 공격기법
1) DoS 공격
- 정의
[시악자]
시스템을 악의적으로 공격해서 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격
- 종류
| 공격기법 | 설명 |
| SYN Flooding | - TCP 프로토콜의 구조적인 문제를 이용한 공격 - 서버의 동시 가용 사용자 수를 SYN 패킷만 보내 점유하여 다른 사용자가 서버를 사용 못하게 하는 공격 - 대응 방안 : TCP 연결 타임아웃을 짧게 설정하기 |
| UDP Flooding | - 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 응답 메시지(ICMP 패킷)를 생성하게 하여 지속해서 자원을 고갈시키는 공격 - ICMP 패킷은 변조되어 공격자에게 전달되지 않아 대기함 |
| Smurf | - 출발지 주소를 공격 대상 IP로 설정하여 네트워크 전체에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비시키는 공격 |
| PoD (Ping of Death) |
- ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 전송하면 다수의 IP 단편화가 발생하고, 수신 측에서는 단편화된 패킷을 처리(재조합)하는 과정에서 많은 부하가 발생하게 하는 공격 |
| Land Attack | - 출발지 IP와 목적지 IP를 같은 주소로 하여 전송해서 수신자가 자기 자신에게 응답 보내게 하는 공격 |
| Tear Drop | - IP 패킷 재조합 과정에서 잘못된 Fragment Offset 정보로 인해 수신 시스템이 문제를 발생하도록 하는 공격 |
| Bonk / Boink | - 프로토콜의 오류 제어를 이용한 공격기법 - 봉크 : 같은 시퀀스 번호를 계속 보냄 - 보잉크 : 일정한 간격으로 시퀀스 번호에 빈 공간 생성 |
2) DDoS 공격
- 정의
[여공분]
여러 대의 공격자를 분산 배치하여 동시에 동작함으로써 특정 사이트를 공격하는 기법
- 구성요소
| 구성요소 | 설명 |
| 핸들러 | 마스터 시스템의 역할을 수행하는 프로그램 |
| 에이전트 | 공격 대상에 직접 공격을 가하는 시스템 |
| 마스터 | 공격자에게서 직접 명령을 받는 시스템 여러 대의 에이전트를 관리하는 역할 |
| 공격자 | 공격을 주도하는 해커의 컴퓨터 |
| 데몬 프로그램 | 에이전트 시스템 역할을 수행하는 프로그램 |
- 도구
| 공격 도구 | 설명 |
| Trinoo | - 많은 소스로부터 통합된 UDP Flooding 공격을 유발하는데 사용되는 도구 - 몇 개의 서버(마스터)와 많은 수의 클라이언트(데몬)으로 이루어짐 |
| TFN (Tribe Flood Network) |
- 공격자가 클라이언트 프로그램을 통해 공격 명령을 일련의 TFN 서버들(데몬)에게 보냄 - UDP Flooding, SYN Flooding, ICMP Echo 요청 공격, Smurf 공격 등 가능 |
| Stacheldraht | - 분산 서비스 거부 에이전트 역할을 하는 Linux 및 Solaris 시스템용 멀웨어 도구 - ICMP Flood, SYN Flood, UDP Flood, Smurf 공격 등 가능 |
- 대응 방안
차단 정책 업데이트, 좀비 PC IP 확보, 보안 솔루션 운영, 홈페이지 보안 관리, 시스템 패치
3) DRDoS 공격
- 정의
[출공다]
공격자는 출발지 IP를 공격 대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부가 되는 공격
- 대응 방안
ISP(인터넷 서비스 사업자)가 직접 차단, 반사 서버에서 연결을 완료하지 않은 SYN 출처 IP를 조사하여 블랙리스트 운영, 공격 대상 IP와 Port 변경
4) 애플리케이션 공격 (DDoS 공격)
| 공격기법 | 설명 |
| HTTP GET Flooding | - Cache Control Attack - 과도한 get 메시지를 이용하여 웹 서버의 과부하를 유발하는 공격 |
| Slowloris | - HTTP GET 메서드를 사용하여 헤더의 최종 끝을 알리는 개행 문자열인 /r/n/r/n을 전송하지 않고 /r/n만 전송하여 대상 웹 서버와 연결상태를 장시간 지속하여 연결 자원 모두 소진시키는 공격 |
| RUDY | - 요청 헤더의 Content-Length를 비정상적으로 크게 설정하여 메시지 바디 부분을 매우 소량으로 보내 계속 연결상태 유지시키는 공격 - Content-Length: 99999999 설정 이후 1바이트씩 전송하여 지속적인 연결 유지를 통해 가용자원을 소진시키는 공격 |
| Slow HTTP Read DoS | - TCP 윈도 크기와 데이터 처리율을 감소시킨상태에서 다수 HTTP 패킷을 지속적으로 전송하여 대상 웹 서버의 연결상태가 장시간 지속, 연결자원 소진시키는 공격 |
| Hulk DoS | - 공격자가 공격 대상 웹 사이트 URL을 지속적으로 변경하면서 다량의 GET 요청을 발생시키는 공격 |
| Hash DoS | - 공격자는 조작된 많은 수의 파라미터를 POST 방식으로 웹 서버로 전달하여 다수의 해시 충돌을 발생시켜 자원 소모시키는 공격 |
5) 네트워크 공격
| 공격기법 | 설명 |
| 스니핑 | - 공격대상에게 직접 공격을 하지 않고 데이터만 몰래 들여다보는 수동적 공격기법 |
| 네트워크 스캐너 | - 네트워크 하드웨어 및 소프트웨어 구성의 취약점 탐색 도구 |
| 패스워드 크래킹 | - 사전 공격(Dictionary Attack) : ID와 패스워드가 될 가능성이 있는 단어를 파일로 만들어놓고 이 파일의 단어를 대입하여 크랙하는 기법 - 무차별 공격(Brute Force Attack) : 무작위로 패스워드 자리에 대입하는 기법 - 하이브리드 공격 : 사전 공격과 무차별 공격 결합 - 레인보우 테이블 공격 : 패스워드 별로 해시값을 미리 생성하여 테이블에 모아놓고, 크래킹 하고자 하는 해시값을 테이블에서 검색하여 역으로 패스워드 찾는 기법 |
| IP 스푸핑 | - 침입자가 인증된 컴퓨팅 시스템인 것처럼 속이기 위해 본인 패킷 헤더를 인증된 호스트의 IP 주소로 위조하여 타겟에 전송하는 기법 |
| ARP 스푸핑 | - 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 만들어 희생자에게 지속적으로 전송하여 희생자의 ARP 캐시 테이블에 특정 호스트의 MAC 정보를 공격자의 MAC 정보로 변경 - 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 스니핑하는 기법 |
| ICMP Redirect 공격 | - ICMP Redirect 메시지를 공격자가 원하는 형태로 만들어서 특정 목적지로 가는 패킷을 공격자가 스니핑하는 기법 |
| 트로이 목마 | - 악성 루틴이 숨어있는 프로그램을 겉보기에는 정상적인 프로그램으로 보이게 하고, 실행하면 악성코드 실행하는 프로그램 |
6) 시스템 공격
| 공격기법 | 설명 |
| 버퍼 오버플로우 공격 | - 메모리에 할당된 버퍼 크기를 초과하는 양의 데이터를 입력하여 프로세스 흐름을 변경시켜 악성코드 실행시키는 기법 - 유형 : 스택 버퍼 오퍼플로우 공격, 힙 버퍼 오버플로우 공격 - 대응 방안 : 스택가드 활용, 스택실드 활용, ASLR 활용, 안전한 함수 활용, 실행 제한 - 스택가드 : 카나리라고 불리는 무결성 체크용 값을 복귀 주소와 변수 사이에 삽입해두고, 버퍼 오버플로우 발생시 카나리 값을 체크하기 - 스택실드 : 함수 시작시 복귀주소를 Global RET라는 특수스택에 저장해두고, 함수 종료시 저장된 값과 스택의 RET 값 비교하기 - ASLR : 리눅스에서 설정 가능한 기법으로 메모리 공격을 방어하기 위해 주소공간배치를 난수화하고, 실행시마다 메모리 주소 변경시키기 |
| 포맷 스트링 공격 | - 포맷 스트링을 인자로 하는 함수 취약점 이용한 공격 |
| 레이스 컨디션 공격 | - 둘 이상의 프로세스나 스레드가 공유자원을 동시에 접근할 때 접근 순서에 따라 비정상적인 결과가 발생하는 상황 |
| 키로거 공격 | - 사용자의 키보드 움직임을 탐지하여 저장해서 중요 정보 탈취하는 기법 |
| 루트킷 | - 시스템 침입 후 침입 사실을 숨긴 채 백도어, 트로이 목마 설치 등 기능을 제공하는 프로그램 모음 |
7) 기타 용어
| 용어 | 설명 |
| 백도어 | - 어떤 제품이나 시스템 등에서 정상적인 인증 절차를 우회하는 기법 - 탐지 방법 : 프로세스 및 열린 포트 확인, Setuid 파일 검사, 백신 및 백도어 탐지 툴 활용, 무결성 검사, 로그 분석 |
| 스피어 피싱 | - 사회 공학의 한 기법으로, 특정 대상 선정 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여 클릭 유도 |
| 스미싱 | - SMS와 피싱의 합성어 |
| 큐싱 | - QR코드와 피싱의 합성어 |
| 봇넷 | - 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태 |
| APT 공격 | - 특정 타겟을 목표로 하여 다양한 수단을 통해 지속적이고 지능적인 맞춤형 공격기법 |
| 공급망 공격 | - 소프트웨어 개발사의 네트워크에 침투하여 소스코드의 수정 등을 통해 악의적인 코드를 삽입하거나 배포 서버에 접근하여 악의적인 파일로 변경하는 방식을 통해 감염시키는 기법 |
| 제로데이 공격 | - 보안 취약점이 발견되어 공표되기 전에 취약점 악용하여 이루어지는 공격기법 |
| Worm | - 스스로 복제하여 네트워크 등 연결을 통해 전파하는 악성 소프트웨어 컴퓨터 프로그램 |
| 랜섬웨어 | - 감염된 시스템의 파일들을 암호화하여 몸값 요구하는 악성 소프트웨어 |
| 이블 트윈 공격 | - 무선 wifi 피싱 기법으로 공격자는 합법적인 wifi 제공자처럼 행세하여 연결된 무선 사용자들의 정보 탈취 |
| Tripwire | - 크래커가 침입하여 시스템에 백도어 만들어놓거나 설정파일 변경하였는지 여부를 분석하는 도구 |
| Tcpdump | - 네트워크 인터페이스를 거치는 패킷 내용을 출력해주는 프로그램 |
서버 인증 및 접근 통제
1) 서버 인증
- 정의
[다망접]
다중 사용자 시스템과 망 운영 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차
- 기능
스니핑 방지, 피싱 방지, 데이터 변조 방지, 기업 신뢰도 향상
- 인증 기술 유형
[지소생특]
| 유형 | 설명 | 예시 |
| 지식 기반 인증 | 사용자가 기억하고 있는 지식 | ID, 패스워드 |
| 소지 기반 인증 | 사용자가 소지하고 있는 물품 | 공인 인증서, OTP |
| 생체 기반 인증 | 사용자의 생체 정보 | 홍채, 얼굴, 지문 |
| 특징 기반 인증 | 사용자의 특징 | 서명, 발걸음, 몸짓 |
2) 접근 통제
- 정의
사람 또는 프로세스가 서버 내 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능
- 목적
비인가자로부터 객체의 기밀성, 무결성, 가용성을 보장
- 기법
| 구분 | 설명 |
| 식별 | 자신이 누구라고 시스템에 밝히는 행위 |
| 인증 | 주체의 신원을 검증하기 위한 활동 |
| 인가 | 인증된 주체에게 접근을 허용하는 활동 |
| 책임추적성 | 주체의 접근을 추적하고 행동을 기록하는 활동 |
- 유형
| 정책 | MAC(강제적 접근 통제) | DAC(임의적 접근 통제) | RBAC(역할기반 접근 통제) |
| 권한 부여 | 시스템 | 데이터 소유자 | 중앙 관리자 |
| 접근 결정 | 보안등급(Label) | 신분(Identity) | 역할(Role) |
| 정책 변경 | 고정적 | 변경 용이 | 변경 용이 |
| 장점 | 안정적, 중앙집중적 | 구현 용이, 유연함 | 관리 용이 |
- 모델
| 모델 | 설명 |
| 벨라파듈라 모델 (BLP) |
- 기밀성을 강조, MAC - No Read Up, No Write Down |
| 비바 모델 | - 무결성을 보장하는 최초 모델 - No Read Down, No Write Up |
SW 개발 보안을 위한 암호화 알고리즘
1) 비밀키 암호 방식(대칭키 암호 방식)
- 정의
암호화와 복호화에 같은 암호키를 쓰는 알고리즘
- 방식
블록 암호 방식(고정길이의 블록을 암호화), 스트링 암호 방식(긴 주기의 난수열 발생시켜 평문과 함께 암호화)
- 종류
| 종류 | 설명 |
| DES | - 1975년 미국 연방 표준국(NIST)에서 발표 - 블록 크기 64bit, 키 길이 56bit인 페이스탈 구조 |
| AES | - 2001년 미국 NIST에서 발표 - 블록 크기 128bit, 키 길이 128/192/256bit |
| IDEA | - DES를 대체하기 위해 스위스 연방기술기관에서 개발한 블록 암호화 알고리즘 |
| SEED | - 1999년 한국인터넷진흥원(KISA)이 개발 - 블록 크기 128bit, 키 길이 128/256bit |
| ARIA | - 2004년 국가정보원과 산학연구협회가 개발한 블록 암호화 알고리즘 |
| LFSR | - 레지스터에 입력되는 값이 이전 상태 값들의 선형 함수로 계산되는 구조로 되어 있는 스트림 암호화 알고리즘 |
2) 공개키 암호 방식(비대칭키 암호 방식)
- 알고리즘 비교
| 구분 | 비밀키 암호 방식 | 공개키 암호 방식 |
| 키 관계 | 암호화 키 = 복호화 키 | 암호화 키 ≠ 복호화 키 |
| 장점 | 계산 속도 빠름 | 암호화 키 사전 공유 불필요 관리해야 할 키의 갯수 적음 |
| 단점 | 키 분배 및 관리 어려움 기밀성만 보장 |
계산 속도 느림 |
- 종류
| 종류 | 설명 |
| 디피-헬만 | - 최초의 공개키 알고리즘 - 이산대수 계산의 어려움을 기본 원리로 함 |
| RSA | - 소인수분해의 어려움에 근거 - 1977년 3명의 MIT 수학교수가 고안 - 전자서명과 데이터 암복호화에 함께 사용 가능 |
| ECC | - 타원곡선 암호 |
| ElGamal | - 이산대수 계산의 어려움을 기본 원리 - 전자서명과 데이터 암복호화에 함께 사용 가능 |
3) 해시 암호 방식(일방향 암호 방식)
- 정의
임의 길이의 정보를 입력받아 고정된 길이의 암호문을 출력하는 암호 방식으로 복호화가 불가능
- 종류
| 종류 | 설명 |
| MD5 | - MD4를 개선한 암호화 알고리즘 - 프로그램이나 파일 무결성 검사에 사용 - 각각 512비트짜리 입력 메시지 블록에 차례로 동작하여 128비트 해시값을 생성 |
| SHA-1 | - 1993년 NSA에서 미 정부 표준으로 지정 - 160비트 해시값을 생성 |
| SHA-256/384/512 | - 256비트 해시값을 생성하는 해시함수 |
| HAS-160 | - 국내 표준 서명 알고리즘을 위해 개발된 해시함수 - MD5와 SHA1의 장점을 결합 |
안전한 전송을 위한 데이터 암호화 전송 및 시큐어 코딩 가이드
(인터페이스 구현 편에서 시큐어 코딩 가이드, IPSec, SSL/TLS, S-HTTP 기록)
입력 데이터 검증 및 표현 취약점
1) XSS
- 정의
사용자가 웹 페이지를 열람함으로써 웹 페이지에 포함된 부적절한 스크립트가 실행되는 공격
- 대응 방안
특수문자 필터링, HTML 태그 사용 금지, 자바스크립트로 시작하는 문자열은 모두 문자열 변환 처리
- 공격 유형
| 유형 | 설명 |
| Stored XSS | - 방문자들이 악성 스크립트가 포함된 페이지를 읽음과 동시에 악성 스크립트가 브라우저에서 실행되면서 감염되는 기법 |
| Reflected XSS | - 공격용 악성 URL 생성한 후 이메일로 사용자에게 전송하면 사용자가 URL 클릭하면 공격 스크립트가 피해자로 반사되어 접속 사이트에 민감정보를 공격자에게 전송하는 기법 |
| DOM XSS | - 공격자는 DOM 기반 XSS 취약점이 있는 브라우저를 대상으로 조작된 URL을 이메일을 통해 발송하고 피해자가 URL 클릭시 피해 당하는 기법 |
2) SQL Injection
- 정의
보안 취약점을 이용하여 악의적인 SQL문을 입력하여 DB 접근을 통해 정보 탈취하는 공격
- 대응 방안
사용자로부터 입력될 수 있는 모든 값을 체크하여 필터링
- 공격 유형
| 유형 | 설명 |
| Form SQL Injection | - HTML Form 기반 인증을 담당하는 애플리케이션의 취약점이 있는 경우, 사용자 인증을 위한 쿼리문 조건을 임의로 조작하여 인증 우회하는 기법 |
| Union SQL Injection | - 쿼리의 UNION 연산자를 이용하여 한 쿼리를 결과를 다른 쿼리의 결과와 결합하여 공격하는 기법 |
| Stored Procedure SQL Injection | - 저장 프로시저를 이용하여 공격하는 기법 |
| Mass SQL Injection | - 한 번의 공격으로 대량의 DB 값이 변조되어 홈페이지에 치명적인 영향을 미치는 기법 |
| Error-Based SQL Injection | DB 쿼리에 대한 에러값을 기반으로 점진적으로 DB 정보를 획득하는 기법 |
| Blined SQL Injection | - 쿼리 결과의 참과 거짓을 통해 의도하지 않은 SQL문을 실행함으로써 DB를 비정상적으로 공격하는 기법 |
3) CSRF
- 정의
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹 사이트에 요청하게 하는 공격
- 대응 방안
입력화면 폼 작성시 GET 방식보다 POST 방식 사용, 재인증 요구
비지니스 연속성 계획(BCP)
1) 정의
각종 재해, 재난 등으로부터 위기관리를 기반으로 재해복구, 업무복구 등을 통해 비지니스 연속성을 보장하는 체계
2) 관련 용어
| 용어 | 설명 |
| BIA | - 재해로 인해 운영상 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 비지니스 영향 분석 |
| RTO | - 업무중단 시점부터 업구 복구되어 다시 가동될 때까지의 시간 - 재해시 복구 목표 시간의 선정 |
| RPO | - 업무중단 시점부터 데이터 복구되어 다시 가동될 때 데이터의 손실 허용 시점 - 재해시 복구 목표 지점의 선정 |
| DRP | - 재난으로 장기간 걸쳐 시설 운영 불가능한 경우를 대비한 재난복구계획 |
3) 재해복구센터 유형
| 유형 | 설명 |
| Mirror Site | - 주 센터와 데이터복구센터 모두 운영상태로 실시간 동시 서비스가 가능한 재해복구센터 - RTO는 즉시 |
| Hot Site | - 주 센터와 동일한 수준의 자원을 대기 상태로 원격지에 보유하면서 동기, 비동기 방식의 미러링을 통해 데이터 최신 상태를 유지하고 있는 재해복구센터 - RTO는 4시간 이내 |
| Warm Site | - 중요성이 높은 자원만 부분적으로 재해복구센터에 보유 - RTO는 수일~수주 |
| Cold Site | - 데이터만 원격지에 보관 - RTO는 수주~수개월 |
오답 노트
- Seven Touch Points : 실무적으로 검증된 개발 보안 방법론 중 하나, SW 보안 모범 사례를 SDLC에 통합한 방법론
- MS SDL : MS사가 2004년 이후 자사의 소프트웨어 개발에 의무적으로 적용하도록 고안한 보안 강화 프레임워크
- OWASP CLASP : 이미 운영 중인 시스템에 적용하기 쉬운 보안 개발 방법론, 프로그램 설계나 코딩 오류를 찾아내어 개선하기 위해 개발팀에 취약점 목록을 제공하는 모델
