[1] 보안 관련 용어 1탄

1. Secure SDLC 

  - 보안 상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것

 

 

2. Secure SDLC 방법론

  - CLASP : SDLC의 초기 단계에서 보안을 강화하기 위해 개발된 방법론

  - SDL : 마이크로소프트 사에서 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개발한 방법론

  - Seven Touchpoints : 소프트웨어 보안의 모범사례를 SDLC에 통합한 바업론

 

 

3.  소프트웨어 개발 보안 요소

  - 기밀성(Confidentiality) : 시스템 내 정보와 자원은 인가된 사용자만 접근 허용

  - 무결성(Integrity) : 시스템 내 정보는 오직 인가된 사용자만 수정 가능

  - 가용성(Avaliability) : 인가받은 사용자는 시스템 내 정보와 자원을 언제라도 사용 가능

 

 

4. 인증(Authentication)

- 시스템 내 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지 확인하는 행위

 

 

5. 부인 방지 (NonRepudiation)

  - 데이터를 송/수신한 자가 송/수신 사실을 부인 할 수 없도록 송/수신 증거를 제공

 

 

6. 시큐어 코딩 (Secure Coding)

  - 보안 취약점 최소화 하기 위해 보안 요소를 고려하여 코딩!!

  - 목적 : 안정성, 신뢰성 확보

  - 보안 정책 바탕으로 시큐어 코딩 가이드 작성, 개발 참여자에게는 시큐어 코딩 교육 실시

 

 

7. SQL Injection (SQL 삽입)

  - 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터 베이스(DB) 서버에 데이터를 유출 및 변조, 관리자 인증을 우회하는 보안 약점

  - 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수문자가 입력되지 않게 필터링 하는 역할 수행하여 예방한다.

 

 

8. XSS (크로스사이트 스크립팅)

  - 웹페이지에 악의적인 스크립트 삽입하여 방문자들의 정보 탈취, 비정상적인 기능 수행 유발함

  - HTML 태크 사용 제한, 스크립트 삽입되지 않도록 실행 ('<', '>', '&' 등) 문자를 다른 문자로 치환함으로써 방지 가능

 

 

9. 메모리 버퍼 오버플로

  - 연속된 메모리 공간을 사용하는 프로그램에서 주로 발생

  - 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓸 때 메모리 다룰 때 오류 발생하여 잘못된 동작을 발생하는 보안 약점

  - 사용시 적절한 버퍼의 크기를 설정, 설정된 범위 메모리 내 올바르게 읽거나 쓸 수 있게 설정

 

 

10. 보안 기능 

  - 보안 점검 내용 중 하나

  - 소프트웨어 개발의 구현 단계에서 코딩하는 기능인 인증/접근 제어/기밀성/암호화 등 올바르게 구현하기 위한 보안 점검 항목

 

 

11. HTTPS (Hypertext Transfer Protocol Secure)

  - 웹브라우저와 서버 간 안전한 통신을 위해 HTTP와 암호 통신 규약을 결합한 것

 

 

 

12. SSL (Secure Sockets Layer) 

  - 데이터를 송/수신 하는 두 컴퓨터 사이에 위치하여 인증/암호화/무결성을 보장하는 표준 프로토콜

  - TCP/IP 계층과 애플리케이션 계층(HTTP, TELNET, FTP 등) t사이에 위치

 

 

13. 스택 가드 (Stack Guard)

  - Null Pointer 역 참조와 같이 주소가 저장되는 스택에서 발생하는 보안 약점을 막는다.

  - 발생 원인 : 메모리 상 프로그램의 return 주소 와 변수 사이 특정 값을 저장한 후 그 값이 변경 됬을 경우

  - 해결 과정 : 오버플로우 상태로 판단하여 프로그램 실행을 중단하여 잘못된 복귀 주소의 호출을 막음