엘에스웨어시스템

이번 글은 팀 품질점검에 대한 설명입니다. 아래 캡처본 확인해 주세요.

품질점검이란??

제품 출시 전 품질상태에 따른 적합, 부적합 판정을 진행.
만약 적합 판정을 받았을 시에는 버전이 패키지로 나옴.
부적합 판정을 받을 경우 2차 판정을 위한 제품 결함 수정 요청 후 다시 판정을 내림.

해시는 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것을 의미

- 해시 알고리즘을 해시 함수라고 부르며 해시 함수로 변환된 값이나 키를 해시값 또는 해시키라고 부른다.

- 데이터의 암호화, 무결성 검증을 위해 사용될 뿐만 아니라 정보보호의 다양한 분야에서 활용된다.

- 해시 함수의 종류에는 SHA 시리즈, MD5, N-NASH, SNEFRU 등이 있다.

[특징]

- 고정된 크기의 해시코드를 생성함.

- 일방향성

- 강약 충돌회피성이 보장됨.

키 배송 문제를 해결할 수 있는 방법

- 키 배포 센터에 의한 해결

- Diffe-Hellman 키 교환 방법에 의한 해결

   전자서명

- 공개키 암호에 의한 해결

안전한 키를 사용할 경우 결과값의 안전성이 보장됨.

해시는 단방향, 공개키/개인키는 양방향 방식이다.

해시 함수의 종류에는 SHA-256, MD5 등이 있다.

* 암호화 알고리즘   ==> SEED

- 한국인터넷진흥원에서 1999년 개발한 블록 암호화 알고리즘이다.

- 블록의 크기는 128비트이며, 키의 길이에 따라 128, 256 버전이 있다.

1. 게시판이나 메일 등에 HTML 태그 또는 스크립트 명령어를 삽입하는 방식을 이용한다.

2. 공격 대상 사이트의 장애를 유발하거나, 방문자들의 정보를 탈취하는 용도로 사용한다.

3. 입력 데이터에 대해 올바른 유효성 검증 체계를 갖추지 않은 경우 발생할 수 있다.

** 악의적인 스크립트 파일을 업로드 함으로써 시스템에 손상을 주는 보안 약점이다.

     =>입력 데이터 검증 및 표현과 관련된 보안 약점이다.

침입 탐지 시스탬 ( IDS ) : 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템이다.

침입 방지 시스템 ( IPS) : 방화벽과 침입탐지시스템을 결합한 보안 솔루션이다.

데이터 유출 방지 (DLP) : 사내 직원이 사용하는 PC와 네트워크상의 모든 정보를 검색하고 사용자 행위를 탐지, 통제해 외부로의 유출을 사전에 막는다.

NAC (Network Access Control) : 일반 방화벽에서는 탐지하지 못하는 SQL 삽입 공격, Cross-Site Scripting (XSS) 등의 웹 기반 공격을 방어할 목적으로, ~~~   NAC는 내부 네트워크를 관리하는 보안 솔루션이다.

Ping of Death : Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 (65,536 바이트) 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격

Land : 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP주소로 하여 공격 대상에게 전송하는 것으로, 이 패킷을 받은 공격 대상은 송신 IP 주소가 자신이므로 자신에게 응답을 수행하게 되는데, 이러한 패킷이 계속해서 전송될 경우 자신에 대해 무한히 응답하게 하는 공격

DDoS : 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것으로, 네트워크에서 취약점이 있는 호스트들을 탐색한 후 이들 호스트들에 분산 서비스 공격용 툴을 설치하여 에이전트로 만든 후 DDoS 공격에 이용함.

TearDrop : 패킷의 크기가 커 여러 개로 분할되어 전송될 때 분할 순서를 알 수 있도록 Fragment Offset 값을 함께 전송하는데 이 Offset 값을 변경시켜 수신 측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생시키으로써 시스템이 다운되도록 하는 공격 방법.

대비방법: Fragment Offset이 잘못된 경우 해당 패킷을 폐기하도록 설정한다.)

SYN Flooding

대비방법: 수신지의 'SYN' 수신 대기 시간을 줄이거나 침입 차단 시스템을 활용한다.

스머핑(SMURFING) 공격

프로토콜(IP), 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위, 가용성 침해

대비방법: 각 네트워크 라우터에서 브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는다.

봇넷(Botnet) : 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태를 말함.

C&C 서버 : 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버를 말함.

MinAuto를 확장한 Auto POT

기능자동화를 작동하는데 원할하게 할 수 있는 것 뿐만아니라 스크립트 관리, 기능자동화 결과 통계까지

확인 가능하게끔 만든 툴이다.

많은 시간 흘렀지만 아직까지도 기능자동화툴과 연동시켜서 사용하고 있다.

개인키와 공개키 암호화 알고리즘

[개인키] : DES (암호화키=복호화키)

• 동일한 키를 이용하는 방식으로 보안 수준이 낮음

• 알고리즘이 단순하고 빠르다는 장점

•  

[공개키 암호화]

• 서로 다른 키를 사용하는 비대칭 암호화 방식

• 보안 수준이 높지만,

• 속도가 느리고 알고리즘이 복잡함, 파일크기 큼

 암호화키는 사용자에게 공개하고, 복호화키는 관리자가 비밀리에 관리

• 알고리즘이 복잡하고, 파일의 크기가 비교적 크다

• 대표적으로 RSA, DSA 등이 있다.

장점: 개인키 암호화에 비해 키의 분배가 용이하고 관리해야 할 키의 개수가 적다.

단점: 암호화 및 복화화의 속도가 느리고 복잡하며 파일의 크기가 크다는 단점.

[DES 암호화 알고리즘]

• 1975년 미국 표준 기술 연구소의 전신인 NBS에서 발표한 개인키 암호화 알고리즘

• 블록 크기는 64bit이며, 키 길이는 56비트이다.

• 컴퓨터의 발달로 인해 최근에는 사용하지 않으며, 알고리즘을 3번 적용한 버전이 잠시 사용

[취약한 API를 사용했을 때 발생하는 보안 약점]

• API를 잘못된 방식으로 사용하는 경우 발생

• 보안에 문제가 있는 API를 사용하는 경우 발생

• 보안에 금지된 대표적인 API에는 C언어의 문자열 함수 strcat(), strcpy() 등이 있다.

• 보안상 안전한 API라고 하더라도 자원에 대한 직접 연결이나, 네트워크 소켓을 통해 직접 호출하는 경우는 보안에 위협을 줄 수 있으므로 사용하지 않아야 한다.

확인테스트와 병행해서 회귀테스트를 진행하는데 일반적으로 Selective 기법만 알고 있었지만 두개가 더 있다는 것에 참고해서 진행하면 더 완벽한 회귀테스트가 진행될 것으로 예상이 됩니다.