5-3 소프트웨어 개발 보안 구축

SW개발 보안 3대 요소

기밀성(Confidentiaility): 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출 차단

무결성(Integrity): 인가된 사용자에 대해서만 자원 수정 가능, 전송 중인 정보는 수정X

가용성(Availability): 인가된 사용자는 가지고 있는 권한 범위 내에서 언제든 자원 접근이 가능해야 하는 특성

 

취약점 관리 보안 설정

실행 프로세스 권한 설정

운영체제 접근 권한

운영체젲의 정보 수집 제한

 

Secure SDLC(software developement Life Cycle)

개발 단계에서 발생하는 설계, 구현상의 보안 약점 극복을 위한 보안 개발 방법론

 

암호 알고리즘 방식

대칭 키 암호방식: 암호화와 복호화에 같은 암호 키를 쓰는 알고리즘

비밀키 전달을 위한 키 교환이 필요하고  블록 암호화(DES,AES,SEED), 스트림 암호화가 있음

 

비 대칭 키 암호방식(공개키 암호방식) : 비밀 키를 나눠 사용자들에게 각 각 개인 키로 만들어줌, 공개키는 누구나 알지만 복호화할 때 개인 키로만 복호화 가능 (RSA,ECC,Elgamal,디피-핼만)

 

일방향 암호 방식(해시 암호 방식): 임의 길이의 정보를 입력 받아, 고정된 길이의 암호문을 출력하는 암호 방식 (복호화 불가능)

MAC(Message Authentication Code): 메시지의 무결성과 송신자의 인증 보장

MDC(Modification Detection Code): 메시지의 무결성 보장

레인보우 테이블 공격에 취약해서 대응책 솔트키, 키스트레칭