[정보처리기사]소프트웨어 개발 보안 구축

하향식 비용 산정 기법

전문가 감정 기법: 조직 내에 있는 경험이 많은 두 명 이상의 전문가에게 비용 산정을 의뢰하는 기법

델파이 기법: 전문가 감정 기법의 주관적인 편견을 보완하기 위해 많은 전문가의 의견을 종합하여 산정하는 기법

 

상향식 비용 산정 기법

세부 작업단위 별로 비용을 산정한 후 집계하여 전체 비용을 산정하는 방법이다.

LOC 원시 코드 라인 수 기법

개발 단계별 인원수 기법

 

서비스 거부 공격의 유형

죽음의 핑: ping 명령을 전송할 때 패킷을 허용범위 이상으로 전송하여 대상의 네트워크를 마비

스머핑: IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크 또는 시스템의 상태를 불능으로 만드는 공격 방법

SYN Flooding: TCP는 신뢰성 있는 전송을 위해 3wayhandshake를 거친 후에 데이터를 전송하게 되는데, syn flooding은 공격자가 가상의 클라이언트로 이 과정을 의도적으로 중단시킴으로써 공격대상지인 서버가 대기상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격방법

TearDrop: 데이터 송수신 과정에서 필요한 offset 값을 변경시켜 수신 측에서 패킷을 재조립 할 때 오류로 인한 과부하를 발생시킴으로써 시스템이 다운되도록 함

Land: 자신에게 무한히 응답?

DDOS: 분산 서비스 거부 공격

 

네트워크 침해 공격 관련 용어

스미싱: 문자메시지를 이용해 신용정보를 빼내는 수법

스피어피싱

APT

무작위대입공격

큐싱: QR코드를 통한 낚시

SQL 인젝션

XSS: 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나 비정상 적인 기능 수행을 유발하는 등 스크립트의 취약점을 악용

 

정보 보안 침해 공격 관련 용어

좀비PC

C&C 서버: 해커가 원격자에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버를 말함

봇넷: 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태를 말함

웜: 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종으로, 분산 서비스 거부 공격, 버퍼오버플로우 공격, 슬래머 등이 웜 공격의 한 형태

제로데이공격: 취약점이 발견되어을 때 존재가 널리 공표되기 전에 이루어지는 보안 공격

키로거 공격: 

랜섬웨어

백도어: 비밀통로(탐지방법: 무결성 검사, 로그 분석, SetUID파일 검사

트로이 목마: 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는것. 자기복제능력 없음

 

보안요소

기밀성

무결성

가용성

인증

부인방지

 

암호 알고리즘

개인키 암호화: 동일한 키로 데이터를 암호화하고 복호화, 개인키 암호화 기법은 대칭 암호 기법 또는 단일키 암호화 기법이라고도 함

공개키 암호화: 데이터를 암호화할 때 사용하는 공개키는 데이터베이스 사용자에게 공개하고 복호화할 때으 ㅣ비밀키는 관리자가 관리.(비대칭암호기법)

해시: 임의의