정보보안기사 - PART 3. 애플리케이션 보안(1)

* 이기적 정보보안기사 필기 기본서를 공부하며 정리한 글입니다.

 

애플리케이션에서 가장 중요한 것은 "개발 보안"이다.

 

(1) 인터넷 응용 보안

FTP

- File Transfer Protocol로 인터넷에 연결된 시스템 간 파일을 전송하는 통신 프로토콜이다.

- 내부적으로 TCP 프로토콜을 사용한다.

- 21번 포트를 사용한다.

- Active Mode와 Passive Mode가 있다.

 

SMTP

- Simple Mail Transfer Protocol로 인터넷에서 전자우편을 보낼 때 사용되는 표준 통신 규약이다. 

- TCP 25번 포트를 사용한다.

 

POP3

- Post Office Protocol Version 3로 TCP/IP 연결을 통해서 E-Mail을 읽어오는 데 사용되는 프로토콜이다.

- TCP 110번으로 메일 서버에 접속하여 저장된 메일을 내려받는다.

 

PGP

- Pretty Good Privacy로 MIME 객체( "Multipurpose Internet Mail Extensions"의 약자로, 인터넷에서 다양한 종류의 데이터를 전송할 수 있도록 해주는 표준)에 암호화와 전자서명 기능을 추가한 암호화 프로토콜

- 메시지 암호화, 서명, 압축, 분할, 전자 우편 호환성의 5가지 기능 제공

 

DNSSEC

- DNS 캐시 포이즈닝과 DNS의 보안 취약점을 보완하기 위해 등장한 기술이다.

- DNS 응답 정보에 전자서명 값을 첨부하여 보내고 수신측이 해당 서명 값을 검증하므로 DNS 위변조를 방지하며 정보 무결성을 제공한다.

 

(2) 데이터베이스 보안

[데이터베이스 보안 기법]

DB 암호화 솔루션

- 패스워드의 경우 국내에서는 SHA-256 이상의 해시함수를 의무적으로 사용해야 한다.

- Plug In 방식과 API 방식으로 분류된다.

- Plug In 방식은 데이터베이스 서버에 별도의 암호화 솔루션을 설치하고 애플리케이션이 데이터 조작어를 실행하면 암호화하거나 복호화하는 방식

- API 방식의 경우 애플리케이션에서 암호화 API를 호출하여 암호화를 수행하는 방식

 

데이터베이스 감사 솔루션

- 데이터베이스의 모든 접근에 대해서 로그를 기록하여 추적성을 확보하는 것

 

데이터베이스 접근 제어 솔루션

- 권한이 없는 사용자가 데이터베이스 접근을 시도할 때 이를 차단하는 것으로, 데이터베이스에 접근할 수 있는 사용자 ID와 패스워드를 발급받고 해당 사용자 컴퓨터의 IP 주소를 등록해서 접근 제어를 수행한다. 

(3) 전자상거래 보안

전자화폐

- 불추적성, 가치이전성, 분할성, 독립성, 이중사용 방지의 요구조건이 있다.

 

SET(Secure Electronic Transaction)

- 인터넷에서 신용카드 사용 촉진을 위해 VISA와 MASTER CARD 사에서 공동으로 개발된 프로토콜

- SSL보다 상대적으로 느리다.

- 기밀성, 무결성, 인증, 부인봉쇄를 지원한다.

- SET 이중서명으로 사용자는 판매자에게 지불정보를 숨기고 사용자는 PG로부터 주문정보를 숨기고 싶다.

 

SSL(Secure Socket Layer)

- 개인정보를 전송하는 네트워크 구간은 보안서버를 사용하여 송신 및 수신되는 데이터를 암호화하는 것이 안전하다.

- 443 포트를 사용하며 인터넷과 같은 개방 환경에서 Client와 Server의 안전한 통신을 위해 개발되었다.

 

(4) 보안 취약점 및 개발 보안

OWASP Top 10

SQLi

XSS

CSRF

SSO

DRM

워터마킹

포렌식

 

진짜 내용이 한 단원마다 너무 방대해서 다 정리하지는 못 했고 어느 정도 키워드와 요약만 정리했다.