정보처리기사 오답 정리(14. SW 개발 보안 구현)

입력 데이터 검증 및 표현 취약점

1. XSS(Cross Site Script)

• 검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격

2. CSRF(Cross Site Request Forgery, 사이트 간 요청 위조)

• 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격

3. SQL Injection(SQL 삽입)

• 응용 프로그램의 보안 취약점을 이용해 악의적 SQL 구문을 삽입, 실행시켜 데이터베이스의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격기법

비즈니스 연속성 계획 관련 주요 용어

1. BIA(Business Impact Analysis)

• 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석

2. RTO(Recovery Time Objective)

• 업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간
• 재해 시 복구 목표 시간의 선정

3. RPO(Recovery Point Objective)

• 업무중단 시점부터 데이터가 복구되어 다시 정상가동될 때 데이터의 손실 허용 시점
• 재해 시 복구 목표 지점의 선정

4. DRP(Disaster Recovery Plan)

• 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획

5. DRS(Disaster Recovery System)

• 재해복구계획의 원활한 수행을 지원하기 위하여 평상시에 확보하여 두는 인적, 물적 자원 및 이들에 대한 지속적인 관리체계가 통합된 재해복구센터

보안 공격 관련 중요 용어

1. Side Channel Attack(부 채널 공격)

• 암호화 알고리즘의 실행 시기의 전력 소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호 키 등 내부 비밀 정보를 부 채널에서 획득하는 공격 기법

2. Drive By Download(드라이브 바이 다운로드)

• 악의적인 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버로 연결하여 감염시키는 공격기법

3. Watering Hole(워터링 홀)

• 특정인에 대한 표적 공격을 목적으로 특정인이 잘 방문하는 웹 사이트에 악성코드를 심거나 악성코드를 배포하는 URL로 자동으로 유인하여 감염시키는 공격기법

4. SCAM(스캠 공격)

• 기업 이메일 계정을 도용하여 무역 거래 대금을 가로채는 사이버 범죄

5. HeartBlood(하트블러드)

• OpenSSL 암호화 라이브러리의 하트비트라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이에 대한 검증을 수행하지 않는 취약점을 이용하여 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있도록 하는 취약점

6. Crimeware(크라임웨어)

• 중요한 금융정보 또는 인증정보를 탈취하거나 유출을 유도하여 금전적인 이익 등의 범죄행위를 목적으로 하는 악성코드

7. IoT-SSDP(Simple Servie Discovery Protocol. 프로토콜 취약점)

• 단순 서비스 검색 프로토콜(SSDP)의 특성을 활용하여 IoT Device를 좀비 PC로 이용한 분산 서비스 거부 공격

8. WindTalker(윈드토커)

• 와이파이/핫스팟 연결 디바이스의 터치스크린, 키보드 타이핑 등의 CSI(Channel State Information) 무선신호패턴을 스니핑 하여 해킹하는 기술

9. Tor Network(토르 네트워크)

• 네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하며, 익명으로 인터넷을 사용할 수 있는 가상 네트워크

10. Meltdown(멜트다운)

• 인텔 x86 아키텍처에서 CPU 파이프라인의 비순차 명령 실행 시 발생하는 버그를 악용해서 커널 사용자 영역의 우회를 통해 시스템 메모리에 접근하여 내용을 확인할 수 있는 취약점

11. Spectre(스펙터)

• 실패한 분기 예측으로 인해 메모리 데이터가 관찰될 수 있는 취약점을 이용하여 사용자 프로그램이 다른 사용자 프로그램의 메모리 영역을 훔쳐보고 정보를 탈취할 수 있는 취약점
• 분기 예측이 적용된 모든 현대 마이크로프로세서에 영향을 주는 하드웨어 보안취약점

12. MITM 공격(Man in the Middle)

• 네트워크 통신을 조작하여 통신 내용을 도청 및 조작하는 공격기법
• 통신을 연결하는 두 사람 사이 중간에 침입하여 두 사람의 정보를 탈취하는 중간자 공격

13. DNS Spoofing(DNS 스푸핑 공격)

• 공격 대상에게 전달되는 DNS 응답을 조작하거나 DNS 서버의 캐시 정보를 조작하여 희생자가 의도하지 않은 주소로 접속하게 만드는 공격기법
• DNS Cache Poisoning 이라고도 불림

14. Port Scanning(포트 스캐닝)

• 공격자가 침입 전 대상 호스트에 어떤 포트가 활성화되어 있는지 확인하는 기법
• 취약점을 분석하기 위한 사전 작업

15. Directory Listing(디렉토리 리스팅 취약점)

• 웹 애플리케이션을 사용하고 있는 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화되어 있을 경우, 공격자가 강제 브라우징을 통해서 서버 내의 모든 디렉터리 및 파일 목록을 볼 수 있는 취약점

16. Reverse Shell(리버스 쉘 공격)

• 타깃 서버가 클라이언트(공격자)로 접속해서 클라이언트가 타깃 서버의 쉘을 획득해 공격하는 기법

17. Exploit(익스플로잇)

• 소프트웨어나 하드웨어의 버그 또는 취약점을 이용하여 공격자가 의도한 동작이나 명령을 실행하도록 하는 코드 또는 그러한 행위

18. Stuxnet(스턱스넷 공격)

• 독일 지멘스사의 SCADA 시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 오작동을 일으키는 악성코드 공격기법

19. Credential Stuffing(크레덴셜 스터핑)

• 사용자 계정을 탈취해서 공격하는 유형 중 하나
• 다른 곳에서 유출된 아이디와 비밀번호 등의 로그인 정보를 다른 웹 사이트나 앱에 무작위로 대입해 로그인이 이루어지면 타인의 정보를 유출시키는 기법