1. 스미싱(Smishing) - 문자 메시지(SMS)를 이용해 사용자 개인 신상 정보 탈취 2. 스피어 피싱 (Spear Phishing) - 사회 공학 기법 중 하나로 특정 대상 선정 후 그 대상에게 일반적인 이메일로 위장하여 메일을 지속적으로 발송 - 이후, 발송 메일의 본문 링크 or 첨부된 파일을 클릭하도록 유도해 사용자의 개인 정보 탈취하는 공격 3. APT (Advanced Persistent Threats, 지능형 지속 위협) - 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업 or 조직 네트워크에 침투해 활동 거점 만듬 - 이후, 때를 기달려 보안을 무력화 시키고, 정보 수집 후 외부로 빼돌리는 형태의 공격 4. 무작위 대입 공격 (Brute Force Attack) - 브루드 ..

1. 세션 하이재킹 (Session Hijacking) - 세션을 가로채다 라는 의미를 둠 - 주로, RST 패킷을 통해 종료 시킨 후 재연결시 공격자에게 연결 - 상호 인증 과정 거친 후 접속해 있는 서버화 서로 접속하여 클라이언트 사이에 세션 정보를 가로채는 공격 기법 - 접속을 위한 인정 정보 없이도 가로챈 세션을 이용 - 공격자가 원래의 클라이언트인 것처럼 위장하여 서버의 자원이나 데이터를 무단으로 사용 - TCP 3-Way-Handshake 과정에 끼어듬 - 클라이언트와 서버 간 동기화된 시퀸스 번호를 가로챔 - 대표적으로 TCP 세션 하이재킹이 대표적 2. ARP 스푸핑 (ARP Spoofing) - ARP의 취약점을 이용한 공격 기법 - 자신의 물리적 주소(MAC)을 공격대상의 것으로 변조 ..

1. 서비스 거부 공격 (Dos : Denioal of Service) - 표적이 되는 서버의 자원을 고갈시킬 목적 으로 다수의 공격자 or 시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 표적이 되는 서버의 정상적인 기능을 방해 하는 것 - 유형 : Ping of Death / SMURFING / SYN Flooding / TearDrop / LAND attack / DDos 공격 2. Ping of Death (죽음의 핑) - Ping 명령을 전송 할 때 패킷의 크기를 인터넷 프로토콜을 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 공격 방법 (ICMP ping 을 허용 범위 이상 패킷 전송, 응답 처리 이점을 노린다고 생각함) - 공격에 사용하는 패킷 : ..

1. 방화벽 (Firewall) - 침입 차단 시스템 - 내부 네트워크에서 외부로 나가는 패킷은 그대로 통과 시킴 - 외부에서 내부 네트워크로 들어오는 패킷은 내용을 엄밀히 체크하여 인증된 패킷만 통과 시킴 - 해킹 등에 의한 외부로의 정보 유출을 막기 위해 사용 - 내부 네트워크와 인터넷 간 전송 되는 정보 선별 작업 실시 => 수용 / 거부 / 수정 기능을 가진 침입 차단 시스템 2. 침입 탐지 시스템 (IDS : Intrusion Detection System) - 컴퓨터 시스템의 비정상적인 사용 / 오용 / 남용 등 실시간 탐지 3. 오용 탐지(Misuse Detection) - 미리 입력해 둔 공격 패턴이 감지되면 이를 알려줌, 이는 탐지 및 차단해줌 - Signature Base 나 Knowl..

1. Secure SDLC - 보안 상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것 2. Secure SDLC 방법론 - CLASP : SDLC의 초기 단계에서 보안을 강화하기 위해 개발된 방법론 - SDL : 마이크로소프트 사에서 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개발한 방법론 - Seven Touchpoints : 소프트웨어 보안의 모범사례를 SDLC에 통합한 바업론 3. 소프트웨어 개발 보안 요소 - 기밀성(Confidentiality) : 시스템 내 정보와 자원은 인가된 사용자만 접근 허용 - 무결성(Integrity) : 시스템 내 정보는 오직 인가된 사용자만 수정 가능 - 가용성(Avaliability) : 인가받은 사용자는 시스템 내 정보..