9. 소프트웨어 개발 보안 구축

SW 개발 보안 3대 요소

• 기밀성: 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
• 무결성: 정당한 방법을 따르지 않고서는 데이터가 변경될 수 없고, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손되지 않음을 보장하는 특성
• 가용성: 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속해서 사용할 수 있도록 보장하는 특성

 

Dos 공격

시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 사용하지 못하게 하는 공격

• SYN 플러딩: 다른 사용자가 서버를 사용하지 못하게 하는 공격
• UDP 플러딩: 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 지속적으로 자원을 고갈시키는 공격
• 스머프: 출발지 주소를 공격 대상의 IP로 설정해 네트워크 전체에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비시킴
• 죽음의 핑: ping을 정상적인 크기보다 아주 크게 만들어서 전송
• 랜드어택: 출발지 IP와 목적지 IP를 같은 패킷 주소로 만들어 보내서 수신자가 자기 자신에게 응답을 보내도록 함
• 티어드롭: Fragment Offset 정보로 인해 수신 시스템이 문제를 발생하도록 만드는 공격
• 봉크/보잉크: 시스템의 패킷 재전송과 재조립이 과부하를 유발하게 하는 공격 기법

 

DDos 공격

여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트 공격

• Trinoo: 많은  소스로부터 통합된 UDP flood 서비스 거부 공격을 유발하는데 사용
• TFN: 많은 소스에서 하나 혹은 여러 개의 목표 시스템에 대해 서비스 거부 공격
• Stacheldraht: 분산 서비스 거부 에이전트 역할

 

DRDoS

공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송

• HTTP GET Flodding: 과도한 GET 메시지 사용으로 웹 서버의 과부하를 유발시키는 공격
• Slowloris: HTTP GET 메서드
• RUDY
• Slow Http Read DoS
• Hulk DoS
• Hash DoS

 

네트워크

• 스니핑: 직접 공격을 하지 않고 데이터만 몰래 들여다보는 수동적 공격
• 패스워드 크래킹
  • 사전 크래킹: ID-PW 단어 파일
  • 무차별 크래킹: 패스워드로 사용될 수 있는 글자를 무작위로 패스워드 자리에 대입
  • 패스워드 하이브리드 공격: 사전 + 무차별
  • 레인보우 테이블 공격: 패스워드 별로 해시 값을 미리 생성해서 역으로 패스워드를 찾음
• IP 스푸핑: 본인의 패킷 헤더를 인증된 호스트의 ip로 위조하여 타깃에 전송
• ARP 스푸핑: 공격자가 특정 호스트의 mac 주소를 공격자의 mac 주소로 변경
• ICMP Redirect: 스니핑 시스템을 네트워크에 존재하는 또 다른 라우터라고 알림
• 트로이 목마: 겉보기에는 정상적인 프로그램으로 보이지만 실행 시 악성 코드를 실행하는 프로그램

 

시스템 보안 위협