보안의 정의 및 용어
보안 : 외부의 위협 으로부터 내부의 자산 에 대한 취약점을 보호대책 을 통해 보호하는 방식
보안 관점에서의 위험의 구성요소
R = V A T - C
R(위험,Risk) = V(취약점,Vulnerabilities) A (자산,Aseset) T(위협,Threat) - C(보호대책,Coutermeasure)
소프트웨어 보안의 주요소 ( 약점 , 취약점) 비교
|
비고
|
약점
|
취약점
|
|
개념
|
소프트웨어 결함/오류 등으로 인한 공격을 유발할 가능성이 있는 잠재젹 보안 취약점
|
해커 공격의 직접적인 대상이 되는 보안 허점
|
|
보안 위협
|
주로 개발 환경 발생
|
주로 운영 환경 발생
|
|
탐지 방법
|
진단 도구(정적), 개발자 테스트
|
웹 스캐닝, 모의 해킹, 취약점 진단
|
|
원인 관계
|
취약점의 근본 원인
|
보안 사고의 실제 원인
|
|
사례
|
버그, 에러, 결함
|
SQL 인젝션, XSS
|
|
목록화
|
CWE
|
CVE
|
SQL 인젝션 :코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격 할 수 있는 공격 기법
XSS(Cross-Site-Scripting) :웹 애플리케이션에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법
CWE(Common Vulnerabilities and Exposures) : 보안약점 리스트
CVE(Common Weakness Enumeration) : 취약점 리스트
보안의 3가지 요소(CIA)
기밀성(Confidentiality) : 정보 내용을 알 수 없도록 하는 성질
무결성(Integrity) : 정보를 함부로 수정할 수 없도록 하는 성질
가용성(Availabilty) : 접근 시 방해받지 않도록 하는 성질
보안의 분류
관리적 보안 : 조직의 관리 절차 및 규정, 대책을 세우는 방법
기술적 보안 : 정보 시스템에 적용된 기숧에 특화하여 보호하는 방법
물리적 보안 : 설비/시설에 대한 물리적 위협으로 부터 보호하는 방법