정보처리기사 실기 (90) 썸네일형 리스트형 보안점검-1 보안점검 세션통제 세션은 서버와 클라이언트의 연결을 의미 세션 통제는 세션의연결과 연결로 인해 발생하는 정보를 관리하는 것을 의미 -세션 통제는 소프트웨어 개발 과정 중 요구사항 분석 및 설계 단계에서 진단해야 하는 보안 점검 내용 -세션 통제의 보안 약점 불충분한 세션 관리 -일정한 규칙이 존재하는 세션ID가 발급되거나 타임아웃이 너무 길게 설정돼 있는 경우 발생할 수 있는 보안 약점 세션ID : 서버가 클라이언트들을 구분하기 위해 부여하는 키로 클라이언트가 서버에 요청을 보낼때마다 세션ID를 통해 인증 수행 잘못된 세션에 의한 정보 노출 다중 스레드 환경에서 멤버변수에 정보를 저장할 때 발생하는 보안 약점 멤버 변수보다 지역 변수를 활용해 변수의 범위를 제한함으로써 방지 가능 입력 데이터 검증 및 표.. 보안요소 보안요소 소프트웨어 개발에 있어 충족시켜야할 요소 및 요건을 의미 -주요 보안 요소에는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이 있으며 그 외에도 인증(Authentication), 부인 방지(NonRepudiation) 등이 있다. 기밀성 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용 무결성 시스템 내의 정보는 오직 인가된 사용자만 수정 가능 가용성 인가받은 사용자는 언제라도 사용 가능 인증 시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지를 확인하는 모든 행위 부인방지 데이터 송수신한 자가 송수신 사실을 부인할 수 없도록 송수신 증거를 제공 Secure SDLC Secure SDLC 보안상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것을 의미 -SDLC(Software Development Life Cycle, 소프트웨어 개발 생명주기) : 소프트웨어 개발 방법론의 바탕이 되는 것으로 소프트웨어를 개발하기 위해 정의하고 운용, 유지보수 등의 전 과정을 각 단계별로 나눈 것 -Secure SDLC는 요구사항 분석, 설계, 구현, 테스트, 유지보수 등 SDLC 전체 단계에서 걸쳐 수행돼야 할 보안 활동을 제시한다. 단계 보안 활동 요구사항 분석 단계 -보안 항목에 해당하는 요구사항을 식별하는 작업을 수행 -전산화되는 정보가 가지고 있는 보안 수준을 보안 요소별로 등급을 구분해 분류 설계 단계 -식별된 보안 요구사항들을 소프트웨어.. 소프트웨어 개발 보안 소프트웨어 개발 보안 소프트웨어 개발 과정에서 발생할 수 있는 보안 취약점을 최소화해 보안 위협으로부터 안전한 소프트웨어를 개발하기 위한 일련의 보안 활동을 의미 -소프트웨어 개발 보안은 데이터의 기밀성(Confi-dentiality), 무결성(Integrity), 가용성(Availability)을 유지하는 것을 목표로 한다. 소프트웨어 개발 보안 관련 기관별 업무 행정안전부 소프웨어 개발 보안 정책 총괄 한국인터넷진흥원(KISA) 소프트웨어 개발 보안 정책 및 가이드 개발 발주기관 소프트웨어 개발 보안 계획 수립 사업자 소프트웨어 개발 보안 관련 기술 수준 및 전용 계획 명시 감리법인 감리 계획을 수립하고 협의 소프트웨어 개발 보안 활동 관련 법령 개인정보 보호법 개인정보의 처리 및 보호에 관한 사항을.. 정보 보안 침해 공격 관련 용어 정보 보안 침해 공격 관련 용어 좀비 PC 악성코드에 감염돼 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터로 C&C(Command & Control) 서버의 제어를 받아 주로 DDos 공격 등에 이용됨 C&C 서버 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도록 사용하는 서버 봇넷(Botnet) 악성 프로그램에 감염돼 악의적인 의도로 사용될 수 있다 다수의 컴퓨터들이 네트워크로 연결된 형태 웜(Worm) 네트워크를 통해 연속적으로 자신을 복제해 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종으로 분산 서비스 거부 공격, 버퍼 오버플로 공격, 술래머 등이 웜 공격의 한 형태 제로 데이 공격 (Zero Day Attack) 보안 취약점이 발견됐을.. 네트워크 침해 공격 관련 용어 네트워크 침해 공격 관련 용어 스미싱 (Smishing) 각종 행사 안내, 경품 안내 등의 문자 메시지를 이요해 사용자의 개인 시용정보를 빼내는 수법 스피어 피싱 (Spear Phishing) 사회 공학의 한 기법으로 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송해 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자 개인정보를 탈취 APT(Advanced Persistent Threats, 지능형 지속 위협) 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격 무작위 대입 공격 (Brute Force Attack) 암.. 서비스 거부 공격 서비스 거부 공격 표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 공격자 또는 시스템에서 대량의 데이터를 한 곳으로 서버에 집중적으로 전송함으로써 표적이 되는 서버의 정상적인 기능을 방해하는 것 서비스 거부 공격의 유형 Ping of Death (죽음의핑) Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위(65.536 바이트) 이상으로 전송해 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법 패킷을 크게 보냄 Smurfing (스머핑) IP나 ICMP의 특성을 악용해 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크 또는 시스템의 상태를 불능으로 만드는 공격 방법 엄청난 양의 데이터를 보냄 SYS Flooding TCP(Transmission Control Pr.. 소프트웨어 개발 비용 산정 방법 소프트웨어 개발 비용 산정 방법 소프트웨어 비용 산정은 소프트웨어의 개발 규모를 소요되는 인원, 자원, 기간 등으로 확인해 실행 가능한 계획을 수립하기 위해 필요한 비용을 산정하는 것 하향식 비용 산정 기법 과거의 유사한 경험을 바탕으로 전문 지식이 많은 개발자들이 참여한 회의를 통해 비용을 산정하는 비과학적인 방법 전문가 감정 기법 조직 내에 있는 경험이 많은 두 명 이상의 전문가에게 비용 산정을 의뢰하는 기법 델파이 기법 전문가 감정 기법의 주관적인 편견을 보완하기 위해 많은 전문가의 의견을 종합해 산정하는 기법 상향식 비용 산정 기법 프로젝트의 세부적인 작업 단위별로 비용을 산정한 후 집계해 전체 비용을 산정하는 방법 LOC(원시 코드 라인 수, source Line Of Code)기법 -소프트웨어.. 이전 1 ··· 5 6 7 8 9 10 11 12 다음