본문 바로가기
자격증

소프트웨어 보안 구축

by 천뱅 2024. 10. 16.

9. 소프트웨어 보안 구축 

소프트웨어 보안은 크게 2가지로 나눠서 개념잡기

하나는 보안을 뚫는 부분(공격측면), 다른 하나는 보안을 위한 기술(방어측면)

시험 전 한번 읽어보고 가기

공격측면

  1. SYN 플러딩 (SYN Flooding): TCP 프로토콜의 구조적 문제를 이용한 공격으로, 서버의 동시 가용 사용자 수를 SYN 패킷을 보내 점유하여 다른 사용자가 서버를 사용 불가능하게 합니다. 이 공격은 서버의 리소스를 고갈시켜 서비스 거부 상태를 초래합니다.
  2. UDP 플러딩 (UDP Flooding): 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송해 응답 메시지를 생성하게 함으로써 자원을 고갈시키는 공격입니다. 이는 네트워크 대역폭을 소모하여 정상적인 트래픽을 방해합니다.
  3. 스머프 (Smurf Attack): 출발지 주소를 공격 대상의 IP로 설정하여 브로드캐스팅을 통해 네트워크를 마비시키는 공격입니다. 이로 인해 피해자는 네트워크 과부하로 인해 정상적인 서비스를 제공할 수 없게 됩니다.
  4. 죽음의 핑 (Ping of Death): ICMP 패킷을 원래보다 훨씬 크게 만들어 많은 부하를 일으켜 정상적인 서비스를 막는 공격입니다. 이는 시스템을 충돌시키거나 다운시켜 서비스 거부를 초래합니다.
  5. 랜드 어택 (Land Attack): 출발지와 목적지의 IP를 동일하게 설정하여 패킷을 보내 가용성을 침해하는 공격입니다. 이로 인해 시스템은 스스로에게 패킷을 보내며 과부하에 빠집니다.
  6. 티어 드롭 (Teardrop Attack): IP Fragment Offset 값을 중첩되도록 조작하여 시스템 기능을 마비시키는 공격입니다. 이로 인해 시스템은 조각난 패킷을 재조립할 수 없어 충돌을 일으킵니다.
  7. 봉크 / 보잉크 (Bonk/Boink Attack): 오류 제어를 이용한 공격으로, 패킷 재전송과 재조립 과정에서 과부하를 발생시킵니다. 이는 시스템의 리소스를 소모하여 정상적인 서비스를 방해합니다.
  8. DDoS: 여러 대의 공격자를 분산 배치하여 동시에 특정 노드에 엄청난 접속과 요청을 보내 공격하는 기법
  9. 스피어피싱 (Spear Phishing): 특정 대상을 선정하여 일반적인 이메일로 위장한 메일을 보내서 개인정보를 탈취하는 공격입니다. 이는 개인화된 메시지를 사용하여 신뢰를 얻고, 사용자로 하여금 악성 링크를 클릭하게 만듭니다.
  10. 스미싱 (Smishing): SMS와 피싱의 합성어로, 문자 메시지를 통해 악성 링크나 전화를 유도하여 개인정보를 탈취하는 공격입니다. 이는 휴대전화 사용자의 경계를 허물어 악성 소프트웨어를 설치하게 합니다.
  11. 큐싱 (Qshing): QR 코드와 피싱의 합성어로, QR 코드를 통해 악성 웹사이트로 유도하여 개인정보를 탈취하는 공격입니다. 사용자는 QR 코드를 스캔하여 악성 사이트에 접속하게 됩니다.
  12. 봇넷 (Botnet): 악성 프로그램에 감염된 다수의 컴퓨터들이 네트워크로 연결된 상태를 의미합니다. 공격자는 이를 통해 분산 서비스 거부(DDoS) 공격이나 스팸 메일 발송 등의 악성 활동을 수행합니다.
  13. APT 공격 (Advanced Persistent Threat Attack): 특정 타깃을 목표로 다양한 수단을 사용하여 지속적이고 지능적인 맞춤형 공격을 수행합니다. 이는 장기간에 걸쳐 민감한 정보를 수집하고 탈취합니다.
  14. 공급망 공격 (Supply Chain Attack): 소프트웨어 개발사의 네트워크에 침투하여 악의적 코드를 삽입해 사용자가 소프트웨어를 설치하거나 업데이트할 때 자동적으로 감염되도록 하는 공격입니다. 이는 신뢰된 소프트웨어 배포 경로를 악용합니다.
  15. 제로데이 공격 (Zero-Day Attack): 보안 취약점이 공표되기 전에 이를 악용하여 이루어지는 보안 공격입니다. 취약점에 대한 패치가 없기 때문에 매우 위험합니다.
  16. 웜 (Worm): 스스로를 복제하여 네트워크 등을 통해 전파되는 악성 소프트웨어 컴퓨터 프로그램입니다. 이는 네트워크 대역폭을 소모하고 시스템을 감염시킵니다.
  17. 악성 봇 (Malicious Bot): 자동화된 작업을 수행하는 악성 소프트웨어로, 봇넷의 일부로 작동할 수 있습니다. 이는 스팸 발송, 정보 수집, DDoS 공격 등 다양한 악의적인 목적에 사용됩니다.
  18. 사이버 킬체인 (Cyber Kill Chain): 사이버 공격의 단계를 체계적으로 분석한 모델로, 공격자들의 전술을 이해하고 방어 전략을 수립하는 데 사용됩니다. 이는 탐지, 방어, 대응의 각 단계에서 활용됩니다.
  19. 랜섬웨어 (Ransomware): 악성 코드의 한 종류로, 감염된 시스템 파일들을 암호화하여 인질처럼 잡고 몸값을 요구하는 공격입니다. 피해자가 몸값을 지불하지 않으면 파일을 복구할 수 없습니다.
  20. 스니핑 (Sniffing): 직접 공격을 가하지 않고 네트워크 상의 데이터를 몰래 들여다보는 수동적 공격기법입니다. 이를 통해 민감한 정보를 탈취할 수 있습니다.
  21. 네트워크 스니퍼 (Network Sniffer): 네트워크 트래픽을 분석하여 구성 요소의 취약점을 파악하는 공격 도구입니다. 이는 데이터 패킷을 캡처하고 분석하는 데 사용됩니다.
  22. 패스워드 크래킹 (Password Cracking): 암호를 해독하여 불법적으로 접근하는 공격 기법입니다. 다양한 방법을 사용하여 암호를 알아냅니다.
  23. 사전 크래킹 (Dictionary Cracking): ID와 패스워드가 될 가능성이 있는 단어를 파일로 만들어 대입하며 암호를 크랙하는 방법입니다. 이는 미리 준비된 단어 리스트를 사용합니다.
  24. 무차별 크래킹 (Brute Force Cracking): 무작위로 모든 가능한 패스워드를 시도하여 알아내는 공격입니다. 시간이 오래 걸리지만 가장 확실한 방법입니다.
  25. 패스워드 하이브리드 공격 (Password Hybrid Attack): 사전 공격과 무차별 공격을 결합하여 암호를 해독하는 방법입니다. 이는 사전 단어에 다양한 변형을 적용합니다.
  26. 레인보우 테이블 공격 (Rainbow Table Attack): 패스워드 별로 해시 값을 만들어 테이블에 모아 두고 크래킹하고자 하는 해시 값을 테이블에서 검색하여 역으로 패스워드를 찾는 공격기법입니다. 이는 해시 값을 미리 계산하여 빠르게 암호를 해독합니다.
  27. IP 스푸핑 (IP Spoofing): 침입자가 인증된 시스템처럼 속여 정보를 빼내 타깃에 전송하는 공격입니다. 이는 출발지 IP 주소를 위조하여 신뢰를 얻습니다.
  28. ARP 스푸핑 (ARP Spoofing): 공격자가 특정 호스트의 MAC 주소를 자신의 주소로 위조한 ARP Reply를 만들어 희생자에게 지속적으로 전송하여 스니핑하는 공격 기법입니다. 이는 로컬 네트워크에서 패킷을 가로챕니다.
  29. ICMP Redirect 공격 (ICMP Redirect Attack): 네트워크의 3계층에서 스니핑 시스템을 네트워크의 다른 라우터로 인식하게 하여 패킷의 흐름을 바꾸는 공격 기법입니다. 이는 라우팅 테이블을 조작합니다.
  30. 트로이 목마 (Trojan Horse): 악성 루틴이 숨어 있는 프로그램을 정상적인 프로그램처럼 보이게 하는 공격입니다. 사용자가 이를 실행하면 악성 코드가 작동합니다.
  31. 중간자 공격 (Man-in-the-Middle Attack): 공격자가 통신하는 두 당사자 사이에 몰래 끼어들어 정보를 도청하거나 조작하는 공격입니다. 이를 통해 공격자는 민감한 정보를 탈취하거나 변조할 수 있습니다.
  32. SQL 인젝션 (SQL Injection): 공격자가 웹 애플리케이션의 입력 필드에 SQL 명령어를 삽입하여 데이터베이스를 조작하는 공격입니다. 이를 통해 공격자는 데이터베이스에서 민감한 정보를 탈취하거나 데이터 손상을 초래할 수 있습니다.
  33. 크로스 사이트 스크립팅 (XSS, Cross-Site Scripting): 공격자가 웹 페이지에 악성 스크립트를 삽입하여 다른 사용자가 해당 페이지를 열 때 실행되도록 하는 공격입니다. 이는 사용자의 세션 정보를 탈취하거나 피싱 공격을 수행하는 데 사용될 수 있습니다.
  34. 크로스 사이트 요청 위조 (CSRF, Cross-Site Request Forgery): 공격자가 사용자의 권한을 도용하여 원하지 않는 행동을 수행하도록 만드는 공격입니다. 사용자가 공격자가 만든 웹 페이지를 방문하면, 해당 페이지는 사용자의 세션을 이용해 요청을 보냅니다.
  35. 디렉토리 트래버설 (Directory Traversal): 공격자가 웹 애플리케이션의 파일 시스템 구조를 탐색하고, 보호된 디렉토리와 파일에 접근할 수 있도록 하는 공격입니다. 이를 통해 공격자는 민감한 파일을 열람하거나 시스템에 악성 파일을 업로드할 수 있습니다.
  36. 파일 업로드 공격 (File Upload Attack): 공격자가 악성 코드를 포함한 파일을 서버에 업로드하여 서버를 감염시키는 공격입니다. 이는 서버의 제어를 장악하거나 데이터를 탈취하는 데 사용될 수 있습니다.
  37. 오픈 리다이렉트 (Open Redirect): 공격자가 웹 애플리케이션의 URL 리다이렉션 기능을 악용하여 사용자를 악성 사이트로 유도하는 공격입니다. 이는 피싱 공격과 결합하여 사용자의 정보를 탈취할 수 있습니다.
  38. 인젝션 (Injection): 웹 애플리케이션에 악의적인 코드나 명령어를 삽입하여 실행하는 공격입니다. SQL 인젝션, LDAP 인젝션 등이 이에 해당하며, 이는 시스템의 무결성을 해칠 수 있습니다.
  39. 서버 측 요청 위조 (SSRF, Server-Side Request Forgery): 공격자가 서버를 속여 내부 시스템이나 다른 서버로 요청을 보내도록 하는 공격입니다. 이를 통해 내부 네트워크 정보를 탐색하거나 민감한 데이터를 탈취할 수 있습니다.
  40. 인증 우회 (Authentication Bypass): 공격자가 보안 메커니즘을 무력화하여 시스템에 불법적으로 접근하는 공격입니다. 이는 취약한 로그인 절차나 인증 시스템의 결함을 이용합니다.

 

방어측면

서버 접근 통제 유형

  1. DAC (Discretionary Access Control): 임의 접근 제어
    • 설명: 접근 권한을 리소스 소유자가 임의로 설정하는 방식입니다. 소유자는 자원에 대한 읽기, 쓰기 등의 권한을 다른 사용자에게 부여할 수 있습니다.
    • 예시: 파일 시스템에서 파일 소유자가 특정 파일에 대해 다른 사용자에게 읽기 또는 쓰기 권한을 부여하는 경우. 예를 들어, 김철수가 소유한 파일에 대해 박영희에게 읽기 권한을 부여하는 상황.
  2. MAC (Mandatory Access Control): 강제 접근 제어
    • 설명: 시스템이 중앙에서 정의한 정책에 따라 접근 권한을 부여하는 방식입니다. 사용자와 리소스에 보안 레벨이 할당되며, 사용자는 자신보다 낮거나 같은 보안 레벨의 리소스에만 접근할 수 있습니다.
    • 예시: 군사 시스템에서 사용되는 보안 모델로, 사용자와 데이터에 비밀 등급이 부여되어 있습니다. 예를 들어, Top Secret 권한이 있는 사용자는 Secret 등급의 문서에 접근할 수 있지만, Confidential 등급의 사용자는 Top Secret 문서에 접근할 수 없습니다.
  3. RBAC (Role-Based Access Control): 역할 기반 접근 제어
    • 설명: 사용자에게 직접 권한을 부여하는 대신, 역할을 통해 권한을 부여하는 방식입니다. 사용자는 하나 이상의 역할을 가질 수 있으며, 역할에 따라 권한이 결정됩니다.
    • 예시: 기업의 IT 시스템에서 직원들이 맡은 역할에 따라 접근 권한이 부여되는 경우. 예를 들어, '관리자' 역할을 가진 사용자는 시스템 설정을 변경할 수 있으며, '일반 사용자' 역할을 가진 사용자는 데이터 조회만 할 수 있는 경우.

암호화 방식 알고리즘

1. 대칭 키 암호 방식 (Symmetric Key Encryption)

- 블록 암호 방식 (Block Cipher)

- DES (Data Encryption Standard): 1975년 미국 연방 표준국(NIST)에서 발표한 암호화 알고리즘.

- AES (Advanced Encryption Standard): 2001년 미국 표준 기술 연구소(NIST)에서 발표된 알고리즘으로, DES의 상위 호환입니다.

- SEED: 1999년 한국인터넷진흥원(KISA)에서 개발한 암호화 알고리즘.

- ARIA: 2004년 국가정보원과 산학연구협회가 개발한 암호화 알고리즘.

- IDEA (International Data Encryption Algorithm): DES를 대체하기 위해 스위스 연방기술 기관에서 개발한 암호화 알고리즘.

- 스트림 암호 방식 (Stream Cipher)

- RC4: 스트림 암호화 알고리즘.

- LFSR (Linear Feedback Shift Register): 선형 되먹임 시프트 레지스터로 계산하는 암호화 방식.

- SEAL: 스트림 암호화 알고리즘.

2. 비대칭 키 암호 방식 (Asymmetric Key Encryption)

- RSA (Rivest-Shamir-Adleman): 1977년 3명의 MIT 수학 교수가 고안한 소인수 분해 기반의 암호화 알고리즘.

- ECC (Elliptic Curve Cryptography): RSA 암호 방식의 대안으로 타원 곡선 암호 알고리즘.

- ElGamal: 이산대수의 계산이 어려운 문제를 기본 원리로 하는 암호화 알고리즘.

- 디피-헬만 (Diffie-Hellman): 최초의 공개키 알고리즘으로, 이산대수를 기반으로 합니다.

3. 해시 암호 방식 (Hash Encryption)

- MD5 (Message-Digest Algorithm 5): MD4를 개선한 알고리즘으로, 프로그램이나 파일의 무결성 검사에 사용됩니다.

- SHA-1 (Secure Hash Algorithm 1): NSA에서 미 정부 표준으로 지정한 해시 알고리즘으로, DSA에서 사용되어 해시 값을 생성합니다.

- SHA-256/384/512: 다양한 비트 길이를 사용하는 SHA 계열의 해시 알고리즘.

- HAS-160: 국내 표준 서명 알고리즘을 위해 개발된 해시 함수로, MD5와 SHA-1의 장점을 결합한 알고리즘.

소프트웨어 보안 관련 용어들

1. 방화벽 (Firewall): 기업 내부와 외부 간의 트래픽을 모니터링하여 시스템 접근을 허용하거나 차단하는 시스템입니다. 이는 네트워크 보안을 유지하는 기본적인 방어 수단입니다.

2. 웹 방화벽 (WAF; Web Application Firewall): 웹 애플리케이션의 보안을 강화하기 위해 HTTP/HTTPS 트래픽을 모니터링하고 필터링하는 방화벽입니다. 이는 SQL 인젝션, XSS 등 웹 기반 공격을 차단합니다.

3. 네트워크 접근 제어 (NAC; Network Access Control): 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 솔루션입니다. 이를 통해 네트워크 보안을 유지하고, 승인된 기기만이 네트워크에 접속할 수 있습니다.

4. 침입 탐지 시스템 (IDS; Intrusion Detection System): 네트워크 이벤트를 모니터링하고, 침입을 실시간으로 탐지하는 시스템입니다. 이는 비정상적인 활동을 식별하고 경고를 제공합니다.

5. 침입 방지 시스템 (IPS; Intrusion Prevention System): 네트워크에 대한 공격이나 침입을 실시간으로 차단하는 시스템입니다. 이는 IDS 기능을 포함하며, 추가로 자동으로 위협을 차단합니다.

6. 무선 침입 방지 시스템 (WIPS; Wireless Intrusion Prevention System): 무선 단말기의 접속을 자동으로 탐지하고, 비인가 무선 접속을 차단하는 시스템입니다. 이를 통해 무선 네트워크 보안을 강화합니다.

7. 통합 보안 시스템 (UTM; Unified Threat Management): 다양한 보안 장비의 기능을 하나로 통합한 장비입니다. 방화벽, IDS/IPS, 안티바이러스 등 여러 보안 기능을 제공하여 관리 효율성을 높입니다.

8. 가상사설망 (VPN; Virtual Private Network): 인터넷과 같은 공중망을 통해 인증, 암호화, 터널링 기술을 활용하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션입니다. 이는 원격지 사용자와 안전한 통신을 가능하게 합니다.

9. IPSec (Internet Protocol Security): IP 계층에서 무결성과 인증을 보장하는 인증 헤더와 기밀성을 보장하는 암호화를 이용한 IP 보안 프로토콜입니다. 인증, 암호화, 키 관리 프로토콜로 구성되어 있습니다.

10. SSL/TLS: 전송계층과 응용계층 사이에서 클라이언트와 서버 간의 웹 데이터 암호화, 상호 인증 및 전송 시 데이터 무결성을 보장하는 보안 프로토콜입니다. 이는 HTTPS의 기반이 됩니다.

11. S-HTTP (Secure Hypertext Transfer Protocol): 웹상에서 네트워크 트래픽을 암호화하는 주요 방법입니다. 클라이언트와 서버 간 전송되는 모든 메시지를 각각 암호화해 전송하는 기술입니다.

 

 

'자격증' 카테고리의 다른 글

AWS SAA-C03 Dump 1-50  (1) 2026.01.28
리눅스마스터 - 사용자 관리  (0) 2025.04.13
정렬 알고리즘  (0) 2024.10.17
SQL응용  (4) 2024.10.16
서버 프로그램 구현/ 인터페이스 구현/ 화면설계 / 애플리케이션 테스트 관리  (2) 2024.10.15

관련글

티스토리툴바