2020 정보처리기사 실기 요약정리 - 9과목 : 소프트웨어 개발 보안 구축(2)

# 암호 알고리즘

 - 데이터의 무결성 및 기밀성 확보를 위해 정보를 쉽게 해독할 수 없는 형태로 반환하는 기법

 

 

# 대칭 키 암호화 방식

  - 암호화 알고리즘의 한 종류로, 암호화와 복호화에 같은 암호키를 쓴느 알고리즘

  - 블록 암호화 / 스트림 암호화 알고리즘

 

 

# 비 대칭키 암호화 방식 (공개 키 암호화 방식)

 - 공개 키를 이용해 암호화하고 공개 키에 해당하는 개인 키를 이용해 복호화하는 암호 방식

 - 비대칭 키 암호 방식에서는 공개 키와 개인 키가 존재하며, 공개 키는 누구나 알 수 있지만 그에 대응하는 개인 키는 키의 소유자만이 알 수 있어야 함

 - 비밀 키는 키의 소유자만이 알 수 있어야 한다. 공개 키는 보안 타협 없이공개적으로 배포가 가능

 - RSA, 디피-헬만

 

 

# 해시 방식

 - 단방향 알고리즘으로서 임의의 데이터를 고정된 길이의 데이터로 매핑하는 함수

 - 해시 함수의 결과로 원본 데이터를 유추하기 어려운 것을 이용

 - 연산에 걸리는 시간이 빠른 것이 장점이지만, 동일한 결과를 갖는 값이 발생하는 해시 충돌 문제가 발생 가능

 - SHA, MD5

 

 

# 고유 식별 정보

 - 주민번호, 여권번호, 운전면허번호, 외국인등록번호

 

 

# 시큐어 코딩

 - 설계 및 구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하고, 외부 공격으로부터 안전한 소프트웨어를 개발하는 기법

 

 

# 시큐어 코딩 가이드

 - 입력 데이터 검증 및 표현

 - 보안 기능

 - 시간 및 상태

 - 에러 처리

 - 코드 오류

 - 캡슐화

 - API 오용

 

 

# SQL 삽입 공격

 - 웹 애플리케이션에서 입력데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 창 및 URL에 SQL문을 삽임하여 DB로부터 정보를 열람, 조작할 수 있는 취약점 공격 기법

 - 시큐어 코딩 : PreparedStatement객체를 상수 문자열로 생성하고 파라미터 부분을 setString등 메서드로 설정해 외부의 입력이 쿼리문의 구조를 바꾸는 것을 방지함

 

 

# XSS 크로스 사이트 스크립트 공격

 - 웹 페이지에 악의적인 스크립트를 포함해 사용자 측에서 실행되게 유도할 수 있는 공격 기법

 - 시큐어 코딩 : 외부 입,출력 값에 스크립트가 삽입되지 못하도록 & <> "' () 등에 대해 문자열 치환 함수를 구현