secure software : 보안 소프트웨어
컴퓨터 시스템이나 컴퓨터네이트워크를 보안할 목적을 지닌 컴퓨터프로그램이나 라이브러리
종류
실수, 오류, 결함, 결점,버그, 장애,문제
보안소프트웨어 종류
-바이러스 검사 소프트웨어
-방화벽
-침임탐지 시스템
-스파이웨어제거 프로그램 등
소프트웨어 보안약점
-소프트웨어에서 해킹 등 실제 보안사고에 악용될 수 있는 보안 취약점 근본원인
보안취약점
-소프트웨어 실행 시점에서 여러 개의 보안 약점 중 실제 침해사고의 원인이 되는 보안약점
sw개발보안프로세스 이해
-sw개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 발생될 수 있는 보안약점들을 최소화하여
안전한 sw를 개발하기 위해 소프트웨어 개발 각 단계별 적절한 보안활동 수행
요구사항 분석 : 요구사항 중 보안요구사항 식별
설계 : 보안 요구사항과 위험에 대한 보안통제를 고려하여 위험 도출
구현 : 표준 코딩정의 서 및 sw개발 보안가이드를 준수하여 개발, 소스코드 보안약점 진단
테스트 : 실행코드 [보안취약점 진단(동적분석, 스캐닝,모의해킹 테스트)
국내동향 - KISA SW개발보안 적용확대 및 강화 방안 마련 연구
국내에서는 SW개발보안 요구 강화를 위해 법개정 등을 고려하며 SW개발보안 적용확대를 위한
연구용역이 수행되고 있다.
보안사고사례 시큐어코딩의 필요성 이해
2018년 코인 복사로 인한 현금인출 피해
오버플로우 : 숫자가 최대치 이상으로 증가하는 것, 솔리디티는 최대256비트의 숫자까지 처리할 수 있으며, 처리 가능한
최대값에 1을더하면 0이됨
웹애플리케이션 취약점을 이용한 개인정보 유출
-웹사이트의 SQL인젝션 취약점을 이용하여 99만명 340만건의 고객개인정보 탈취됨
-URL 파라미터 조작 개인정보 노출(2016)
-무작위 대입공격 기프트카드 정보 유출(임의의 숫자를 무한 반복적 대입해 카드정보가 유출됨)