정보처리기사 : 인터페이스 기능 구현 완전 정복!!

인터페이스 보안

인터페이스를 통한 데이터 변조 탈취

패킷 공격 기법

• 스니핑: 패킷을 가로채는 행위
• 스푸핑:IP나 식별자를 위장하여 속이는 행위

 

시큐어 코딩

• OWASP Top10을 참고하여 보안취약점, 약점 등이 상세하게 서술되어있다.

항목

	설명
입력 데이터 및 검증 표현 ★	검증 누락 또는 부적절할 검증,데이터 형식을 잘못 지정하여 발생하는 보안 취약점
보안기능	보안기능(인증,접근제어,기밀성,암호화.권한관리등) 부적절하게 구현시 발생하는 보안 약점
시간 및 상태	동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점
에러 처리	에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보가 포함될 때 발생하는 보안약점
코드 오류	타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범하는 코딩 오류로 인해 유발되는 보안 약점
캡슐화	중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을 때, 인가되지 않은 사용자에게 데이터 누출이 가능해지는 보안약점
API 오용	의도된 사용에 반하는 방법으로 API를 사용하거나 보안에 취약한 API를 사용할 때 발생할 수 있는 보안약점

 

데이터베이스의 암호화

데이터베이스 기밀성 유지를 위해 암호화

• 대칭키 알고리즘
• 비대칭키 알고리즘
• 해시 알고리즘

 

 

 

기법

	설명
입력 데이터 및 검증 표현 ★	검증 누락 또는 부적절할 검증,데이터 형식을 잘못 지정하여 발생하는 보안 취약점
보안기능	보안기능(인증,접근제어,기밀성,암호화.권한관리등) 부적절하게 구현시 발생하는 보안 약점
시간 및 상태	동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점
에러 처리	에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보가 포함될 때 발생하는 보안약점
코드 오류	타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범하는 코딩 오류로 인해 유발되는 보안 약점
캡슐화	중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을 때, 인가되지 않은 사용자에게 데이터 누출이 가능해지는 보안약점
API 오용	의도된 사용에 반하는 방법으로 API를 사용하거나 보안에 취약한 API를 사용할 때 발생할 수 있는 보안약점

 

데이터베이스

API 방식

- 애플리케이션 레벨에서 암호 모듈을 적용하는 애플리케이션 수정 방식 - 애플리케이션 서버에 암/복호화, 정책 관리, 키 관리 부하 발생

Plug-in 방식

- DB 레벨의 확장 프로시저 기능을 이용, DBMS에 Plug-in 모듈로 동작하는 방식 - DB 서버에 암/복호화, 정책 관리, 키 관리 부하 발생

Hybrid 방식

- API 방식과 Plug-in 방식을 결합한 방식 - DB와 애플리케이션에서 부하 분산

TDE 방식

- DBMS에 내장 또는 옵션으로 제공되는 암호화 기능을 이용하는 방식이다. - 응용 프로그램에 대한 수정이 없고 인덱스의 경우 DBMS 자체 인덱스 기능과 연동이 가능하다. - DB 내부에서 암/복호화 처리를 하는 방식이다.

TLS (Transport Layer Security)

- 웹 브라우저와 서버 간의 암호화된 연결을 제공하며, HTTPS 프로토콜의 기반이 된다. - SSL은 TLS의 이전 버전이었으나, 현재는 TLS가 주로 사용된다.

 

 

네트워크

 

• TLS (Transport Layer Security): 웹 브라우저와 서버 간의 암호화된 연결을 제공하여 HTTPS 프로토콜의 기반이 된다. 이전에는 SSL이 사용되었으나 현재는 주로 TLS가 사용된다.
• DTLS (Datagram Transport Layer Security): UDP 트래픽에 대한 보안 연결을 제공하여 패킷의 기밀성과 무결성을 보장한다.
• IPSec (Internet Protocol Security): IP 패킷 수준에서 보안을 제공한다.
  • AH(Authentication Header): 데이터의 무결성과 패킷의 인증을 보장.
  • ESP(Encapsulation Security Payload): 데이터의 기밀성, 무결성 및 선택적 인증을 제공.
• SSL (Secure Sockets Layer): 애플리케이션 레벨에서 웹 브라우저와 서버 사이의 데이터를 암호화.
• S-HTTP (Secure HTTP): 개별 HTTP 메시지를 암호화.
• PGP (Pretty Good Privacy): 이메일 메시지의 암호화와 디지털 서명을 제공.

 

인터페이스 보안

 

• xUnit: 다양한 언어를 지원하는 단위 테스트 프레임워크.
• STAF: 서비스 호출 및 컴포넌트 재사용 등 분산 테스트 환경을 지원하는 테스트 프레임워크.
• FitNesse: 웹 기반 테스트케이스 설계, 실행, 결과 확인 등을 지원하는 테스트 프레임워크.
• NTAF: FitNesse와 STAF의 장점을 통합한 Naver의 테스트 자동화 프레임워크.
• Selenium: 다양한 브라우저 및 개발 언어를 지원하는 웹 애플리케이션 테스트 프레임워크.
• Watir: Ruby를 사용하는 애플리케이션 테스트 프레임워크.