< SW 개발 보안의 3대 요소>
- 기밀성 (Confidentiality)
- 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
- 무결성 (Integrity)
- 정당한 방법을 따르지 않고서는 데이터가 변경될 수 없음
- 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손 또는 파괴되지 않음을 보장하는 특성
- 가용성 (Availability)
- 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속해서 사요할 수 있도록 보장하는 특성
< SW 개발 보안 용어 >
- 자산 (Assets)
- 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상
- 위협 (Threat)
- 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위
- 취약점 (Vulnerability)
- 위협이 발생하기 위한 사전 조건으로 시스템의 정보 보증을 낮추는데 사용되는 약점
- 위험 (Risk)
- 위협이 취약점을 이용하여 조직의 자산 손실 피해를 가져올 가능성
< DoS 공격 >
- 시스템을 악의적으로 공격해서 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격 (컴퓨터 1대)
< DDoS 공격 >
- DoS의 또 다른 형태로 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 기법 (컴퓨터 여러대)
< DRDoS 공격 >
- 공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스가 거부되는 공격 (근원지 파악 어려움)
< 안전한 전송을 위한 데이터 암호화 전송 >
- IPSec(Internet Protocol Security)
- IP계층(3)에서 무결성과 인증을 보장하는 인증 헤더(AH)와 기밀성을 보장하는 암호화(ESP)를 이용한 IP 보안 프로토콜
- SSL(Secure Socket Layer)/TLS(Transport Layer Security)
- 전송계층(4)과 운용계층(7) 사이에서 클라이언트와 서버간의 웹 데이터 암호화(기밀성), 상호 인증 및 전송 시 데이터 무결성을 보장하는 보안 프로토콜
- S-HTTP(Secure Hypertext Transfer Protocol)
- 웹상에서 네트워크 트래픽을 암호화하는 주요 방법 중 하나로 클라이언트와 서버 간에 전송되는 모든 메시지를 각각 암호홯여 전송하는 기술
Data가 좋은 Web 개발자