Post

정보처리기사 실기 - 09. 소프트웨어 개발 보안 구축

중요도 ★★★★☆ - 보안은 원래 많이 어려웠다...

Posted
Preview Image
By 박종범(D15M4S)
7 min read
난이도
★★★★★, 어렵다. 처음 보는 개념들도 많고, 쉽게 머리에서 사라져버린다는 것이 아쉽다.
중요도
★★★☆☆ 반드시 출제되는 편, 1문제에서 2문제는 무조건 나온다.


😀 9장 이론 관계도

9장의 키워드를 관계도로 정리하였다.

memo_7

😋 9장 이론 체크 리스트

하나하나 따라가며 내가 잘 암기하고 있는지 체크해보자!


  1. 보안의 3대 요소에 대해 설명하라 (키워드: 기밀성, 무결성, 가용성)
  2. 인증과 인가에 대해 설명하라
  3. 인증
  4. SQL Injection에 대해 설명하라
  5. 스택 가드에 대해 설명하시오 (키워드: 오버플로우)
  6. 접근 제어자에 대해 설명하시오 (키워드: public, protected, default, private)
  7. 개인키 암호화 기법과 공개키 암호화 기법을 비교하라
  8. 개인키 암호화 기법 종류에 대해 설명하라 (키워드: 스트림 암호화 방식, 블록 암호화 방식)
  9. IDEA 알고리즘를 설명하라 (키워드: PES, 라이, 메시)
  10. Skipjack 암호화 알고리즘에 대해 설명하라 (키워드: NSA, IC칩)
  11. DES 암호화 알고리즘의 한계와 이를 AES 알고리즘으로 어떻게 극복했는지 설명하라 (키워드: NBS, NIST)
  12. RSA 암호화 알고리즘에 대해 설명하라 (키워드: 소인수분해, 1978)
  13. TKIP 알고리즘이 개선한 알고리즘은? (키워드: WEB)
  14. 해시란 무엇인가? 해시 알고리즘의 종류를 설명하라
  15. SHA 시리즈에 대해 설명하라 (키워드: NSA, NIST)
  16. MD5 알고리즘에 대해 설명하라 (키워드: R.rivest)
  17. 침입 탐지 시스템(IDS)에 대해 설명하라 (키워드: 오용 탐지, 이상 탐지)
  18. 템퍼 프루핑에 대해 설명하라 (키워드: 해시, 핑거프린트, 워터마킹)
  19. OAuth에 대해 설명하라 (키워드: OpenAI, 비밀번호 제공 X)
  20. VPN에 대해 설명하라 (키워드: SSL, IPSec)
  21. SIEM에 대해 설명하라 (키워드: IDS, IPS, VPN, 방화벽)
  22. SSH에 대해 설명하라 (키워드: 22번 포트)
  23. AAA에 대해 설명하라
  24. ISMS에 대해 설명하라 (키워드: KISA)
  25. 서비스 거부 공격과 그 종류에 대해 설명하라 (키워드: Ping of Death, Smurfing, SYN Flooding, Land Attack)
  26. Ping of Death에 대해 설명하라
  27. Smurfing에 대해 설명하라
  28. SYN Flooding에 대해 설명하라
  29. Land Atttack에 대해 설명하라 (키워드: 재귀)
  30. 분산 서비스 공격용 툴로는 무엇이 있는지 설명하라 (키워드: Trin00, TFN, Stacheldraht)
  31. 세션 하이제킹이란 무엇인가? (키워드: TCP 3-Way-HandShake, 세션)
  32. ARP 스푸핑이란 무엇인가? (키워드: MAC 주소)
  33. 사회 공학이란 무엇인가? (키워드: 인간 상호 작용)
  34. 다크데이터란 무엇인가?
  35. 타이포스쿼팅이란 무엇인가? (키워드: URL 하이제킹)
  36. 스니핑이란 무엇인가? (키워드: 패킷)
  37. 워터링 홀이란 무엇인가?
  38. 키로거 공격이란 무엇인가? (키워드: 키보드)
  39. 랜섬웨어란 무엇인가? (키워드: 무결성, 열린 포트, 로그, setUID)

🥰 9장 조금 더 알기

7장 이론을 공부하며 햇갈렸던 부분들을 추가로 조사하여 정리하였다.

SQL Injection

응용 프로그램에 SQL을 삽입하여 데이터를 유출 변조하고 관리자 인증을 우회하는 보안 약점이다.

스택 가드

스택 버퍼 오버플로우로 인해 강제로 응용프로그램을 종료시키는 보안 약점을 방어하는 기술

인증

사용자가 누구인지 확인하는 과정

인가

인증된 사용자가 특정 자원 및 서비스를 사용할 수 있도록 권한을 부여하는 과정

개인키 암호화

동일한 키로 데이터를 암호화하고 복호화 한다. DES, SEED, AES, AREA, IDEA

공개키 암호화

공개키는 사용자에게 공개. 복호화 할때 비밀키는 관리자가 관리 RSA, ECC

해시

임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 알고리즘 SHA, MD5, N-NASH

템퍼 프루핑

소프트웨어의 변조가 발생 시 소프트웨어를 오작동하게 만들어 데이터 악용 및 유출을 방어하는 시스템

VPN

보안 기술을 이용해 인터넷을 사용자가 마치 전용 회선을 사용하는 것처럼 구성해주는 보안 솔루션이다.

서비스 거부 공격 (DOS)

서버의 자원을 고갈 시킬 목적으로 상당한 트래픽을 해당 서버에 집중적으로 발생시키는 것.

Ping of Death

DoS 공격. 허용 범위 이상의 ICMP 패킷을 전송한다.

Smurfing

Dos 공격. IP, ICMP의 특성을 악용하여 특정 사이트에 집중적으로 데이터를 전송한다

자격증
자격증 정보처리기사
This post is licensed under CC BY 4.0 by the author.