9장 소프트웨어 개발 보안 구축 - (1) 소프트웨어 개발 보안 설계

SW 개발 보안

SW 개발 보안의 3대 요소는 기무가(기밀성, 무결성, 가용성)이다.

 

기밀성(Confidentiality)은 인가되지 않은 사용자, 시스템에 대해선 정보 공개 및 노출을 차단하는 특성

무결성(Integrity) : 정당한 방법을 따르지 않으면 데이터가 변경될 수 없음

가용성(Availability) : 권한을 가진 사용자, 시스템은 서비스를 지속해서 사용할 수 있음.

 

SW 개발 보안 용어 (자위취위)

자산(Asset) - 가치를 부여한 대상

위협(Thread) - 자산에 악영향을 끼칠 수 있는 사건, 행위

취약점(Vulnerability) - 위협이 발생하기 위한 사전 조건

위험(Risk) - 위협이 취약점을 이용해 조직의 자산 손실 피해를 가져올 가능성

---

SW 개발 보안을 위한 공격기법의 이해

 DoS(Denial of Service) 공격

 = 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 해서 의도된 용도로 사용하지 못하게 하는 공격 

  

  DoS 공격의 종류

  1. SYN 플러딩(Flooding)

= TCP 프로토콜의 구조적 문제를 이용한 공격으로, 서버에 SYN 패킷만 계속 보내서 계속 새로운 연결 요청을 이용해 서버는   자원 할당을 해지하지 않고 자원만 소비해 고갈됨(SYN 패킷을 보내면 ACK 패킷을 보내서 응답해야 함.)

 

  2. UDP 플러딩

= 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하고 응답 메시지를 생성하게 해서 지속해서 자원을 고갈시키는 공격

 

  3. 스머프(Smurf)/스머핑(Smurfing)

 = 출발지 주소를 공격 대상의 IP로 설정해서 네트워크 전체에 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비시키는  공격 (바운스라고 불리는 제 3의 사이트를 이용해 공격)

 

  4. 죽음의 핑(PoD, Ping of Death)

 = ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 전송하면 다수의 IP 단편화가 발생하고, 수신 측에서 단편화된 패킷을 처리하기 하는 과정에서 많은 부하가 발생하거나, 재조합 버퍼의 오버플로우가 발생해 정상적인 서비스를 하지 못하도록 한다.

 

  5. 랜드 어택(Land Attack)

= 출발지 IP와 목적지 IP를 같게 만들어 같은 주소에서 패킷이 루프 돌도록 해 시스템의 가용성을 침해하는 공격기법

 

  6. 티어 드롭(Tear Drop)

= IP 패킷의 재조합 과정에서 잘못된 Fragment Offset 정보로 인해 수신시스템이 문제를 발생하도록 만드는 DoS 공격

 

  7. 봉크(Bonk)/보잉크(Boink)

 = 프로토콜의 오류 제어를 이용한 공격기법으로 시스템의 패킷 재전송과 재조립이 과부하를 유발 (봉크 : 같은 시퀸스 번호를 계속 보냄, 보잉크 : 일정한 간격으로 시퀸스 번호헤 빈 공간 생성)

---

DDoS(Distributed Dos) 공격

    = Dos의 다른 형태로 여러 대의 공격자를 분산 배치해 동시에 동작함으로서 특정 사이트를 공격하는 기법

 

DDos 구성요소 하마드(HAMAD)

Handler (핸들러) - 마스터 시스템의 역할을 수행하는 프로그램 (서버)

Agent (에이전트) - 공격 대상에 직접 공격을 가하는 시스템

Master (마스터) - 여러 대의 에이전트를 관리하고 공격자에게서 직접 명령을 받는 시스템

Attacker (공격자) - 공격을 주도하는 해커 컴퓨터

Demon (데몬) - 에이전트 시스템의 역할을 수행하는 시스템 (클라이언트)

 

DDos 공격 도구

Trinoo : UDP Flood 서비스 거부 공격을 유발하는데 사용되는 도구

Tribe Flood Network : 이 도구는 Trinoo와 유사한 분산 도구로 많은 소스에서 하나 혹은 여러 개의 목표 시스템에 대해 서비스 거부 공격을 수행할 수 있는 도구

Stacheldraht : 분산 서비스 거부 에이전트 역할을 하는 Linux 및 Solaris 시스템용 멀웨어 도구

---

DRDoS(Distributed Reflection Dos) 공격

공격자는 출발지 IP를 공격대상 IP로 위조해 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부(Dos)가 되는 공격

 

DRDoS와 DDoS의 차이점 : DRDos가 DDoS에 비해 공격 근원지 파악이 어렵고, 공격 트래픽 생성 효율이 큼

 

세션 하이재킹(Session Hijacking)

TCP Sequence Number의 보안상 취약점으로 발생하며, 서버와 클라이언트 통신 시 TCP의 시퀸스 넘버를 제어하는 데 발생하는 문제를 공격한다. 이 시퀸스 넘버는 클라와 서버가 통신할 때 패킷의 연속성을 보장하기 위해 사용하는데, 만약 이 시퀸스 넘버가 잘못되면 이를 바로잡기 위한 작업을 진행하는데 이때 시퀸스 넘버를 위조해 연결된 세션에 잠시 혼란을 준 뒤 끼어들어가는 방식이다.

---

애플리케이션 공격

HTTP GET 플러딩(Flooding) : 과도한 Get 메시지를 이용해 웹 서버의 과부하를 유발시키는 공격

Slowloris : GET 메서드를 사용해 헤더의 최종 끝을 알리는 개행 문자열인 \r\n\r\n을 전송하지 않고 \r\n만 전송해 대상 웹 서버와   연결상태를 장시간 지속시키고 연결 자원을 모두 소진시키는 서비스 거부 공격

RUDY(Slow HTTP Post DoS) : 요청 헤더의 content-Length를 비정상적으로 크게 설정해 메시지 바디부분을 매우  소량으로 보내 계속 연결상태를 유지시키는 공격

Slow HTTP Read Dos : TCP 윈도 크기와 데이터 처리율을 감소시킨 상태에서 다수 HTTP 패킷을 지속적으로 전송해  대상 웹 서버의 연결상태가 장시간 지속, 연결자원을 소진시키는 서비스 거부 공격

Hulk DoS : 공격자가 공격대상 웹 사이트의 주소를 계속 변경하면서 다량으로 GET 요청을 발생시키는 서비스 거부 공격

Hash DoS : 웹 서버는 파라미터들을 효율적으로 저장하고, 검색하기 위해 해시 테이블을 주로 사용하는데, 이 특성을 악용해 조작된 수 많은 파라미터를 POST 방식으로 서버에 전달해 다수의 해시 충돌을 발생시켜 자원을 소모시키는 서비스 거부 공격

---

네트워크 공격

스니핑(Sniffing) : 공격대상에게 직접 공격을 하지않고 데이터만 몰래 들여다보는 수동적 공격 기법

네트워크 스캐너(Scanner)/스니퍼(Sniffer) : 네트워크 관련 하드웨어 및 소프트웨어의 취약점을 공격자가 탐색하기  위한 도구

패스워드 크래킹(Password Cracking) : --

IP 스푸핑(IP Spoofing) : 침입자가 인증된 컴퓨팅 시스템인 것처럼 속여 타킷 시스템의 정보를 빼내기 위해 본인의 패킷 헤더를 인가된 호스트의 IP 주소로 위조해 타깃에 전송하는 공격 기법

ARP 스푸핑 : 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 만들어 희생자에게  지속적으로 전송해 희생자의 ARP Cache Table에 특정 호스트의 MAC 정보를 공격자의 MAC 정보로 변경,  희생자로부터 특정 호스트로 나가는 패킷을 공격자가 스니핑하는 기법

ICMP Redirect 공격 : 3계층에서 스니핑 시스템을 네트워크에 존재하는 또 다른 라우터라고 알림으로서 패킷의 흐름을  바꾸는 공격 기법

트로이 목마 : 악성 루틴이 숨어있는 프로그램으로 겉보기에는 정상적인 프로그램이지만 실행하면 악성 코드를  실행하는 프로그램

---

시스템 보안 위협

버퍼 오버플로우(Buffer Overflow) 공격

= 메모리에 할당된 버퍼 크기를 넘어선 양의 데이터를 입력해 프로세스의 흐름을 변경시켜 악성 코드를 실행시키는 공격기법으로 공격 유형에는 스택 버퍼 오버플로우, 힙 버퍼 오버플로우가 있다. (스택 영역과 힙 영역에서 발생한다는 점)

 

이 버퍼 오버플로우의 공격 대응 방안은 다음과 같다

1. 스택가드(StackGuard) 활용 : 카나리(Canary)라는 무결성 체크용 값을 이용

2. 스택쉴드(StackShield) : 함수 시작 시 복귀 주소를 Global RET이라는 특수 스택에 저장

3. ASLR(Address Space Layout Randomizaion) : 주소 공간 배치를 난수화, 실행 시마다 메모리 주소를 변경

4. 안전한 함수 활용 ex) strcat(), strcpy(), gets(), scanf(), 등등..

 

백도어(Backdoor) 

= 허가받지 않고 시스템에 접속하는 권리를 얻는 방법으로, 정상적인 인증 절차를 우회하는 기법

 

주요 시스템 보안 공격 기법

1. 포멧 스트링 공격(Format String  Attack) : 포맷 스트링을 인자로 하는 함수의 취약점을 이용한 공격

2. 레이스 컨디션 공격(Race Condition Attack) : 실행되는 프로세스가 임시파일을 만드는 경우 악의적인 프로그램을 통해  그 프로세스의 실행중 끼어들어 임시파일을 심볼릭 링크하여 악의적인 행위를 수행하게 하는 공격기법

3. 키로거 공격(Key Logger Attack) : 컴퓨터 사용자의 키보드 움직임을 탐지해 저장, 이 방법을 이용한 해킹 공격

4. 루트킷(Rootkit) : 시스템 침입 후 침입 사실을 숨킨 채  차후 침입을 위한 행동에 대한 기능을 제공하는 프로그램의 모음

---

보안 관련 용어

1. 스피어 피싱(Spear Phishing) : 사회 공학의 한 기법으로, 대상 선정 후 그 대상에게 일반적인 메일로 위장한 메일을 지속적으로 보낸 후 대상이 그 메일의 링크나 파일을 클릭도록 유도해 사용자의 개인정보를 탈취하는 기법

2. 스미싱(Smishing) : SMS와 피싱의 합성어로 문자메시지를 이용해 개인정보 및 소액결제를 유도하는 공격 기법

3. 큐싱(Qshing) : QR코드와 피싱의 합성어로 QR코드를 이용해 앱을 내려받도록 유도 및 금융 정보를 갈취하는 공격

4. 봇넷(Botnet) : 악성 프로그램에 감염된 다수의 컴퓨터들이 네트워크 형태를 띄고 있는 것 

5. APT 공격 : 특정 타깃을 목표로 다양한 수단을 통해 지속적이고 지능적인 맞춤형 공격 기법

6. 공급망 공격(Supply Chain Attack) : 개발사의 네트워크에 침투, 코드의 수정 및 악의적인 코드의 삽입을 통해 이 내용을 사용자 PC에서 업데이트 시 자동적으로 감염되도록 하는 기법

7. 제로데이 공격(Zero Day Attack) : 보안 취약점이 발견되어 널리 공표되기 전 해당 취약점을 악용하는 공격 기법

8. 웜(Worm) : 스스로를 복제, 네트워크 등의 연결을 통해 전파하지만 컴퓨터 바이러스와는 컴퓨터 바이러스는 다른  프로그램에  기생해 실행되지만, 웜은 독자적으로 실행해서 다른 프로그램이 필요가 없음. 

9. 악성 봇(Malicious Bot) : 스스로 실행되지 못하고 해커의 명령에 의해 원격 제어, 실행이 가능한 프로그램 및 코드

10. 사이버 킬체인 : 공격형 방위시스템

11. 랜섬웨어 : 파일 및 문서, 사진 등을 암호화 해 피해자에게 이 파일들을 인질로 몸값을 요구하는 악성 소프트웨어

12. 이블 트윈 공격 :  무선 Wifi 피싱 기법

---

인증 기술의 유형

지식 기반 - ex ID/Password

소지 기반 - ex 공인인증서, OTP

생체 기반 - 홍채, 정맥, 얼굴 등

특징 기반 - 서명, 발걸음, 몸짓

 

접근 통제 기법

식별(identification) : 자신이 누구라고 시스템에 밝히는 행위

인증(Authentication) : 주체의 신원을 검증하기 위한 활동

인가(Authorization) : 인증된 주체에게 접근을 허용하는 행위

책임추적성(Accountability) : 주체의 접근흘 추적하고 행동을 기록하는 행위

 

서버 접근 통제 유형

임의적 접근(DAC, Discretionary Access Control) : 주체나 그룹의 신원에 근거해 객체에 대한 접근을 제한하는 방법

(신분기반)

강제적 접근(MAC, Mandatory Accsess Control) : 객체에 포함된 정보에 의해 접근의 권한을 제한하는 방법(규칙 기반)

역할 기반(RBAC, Role Based Access Control) : 조직 내 역할에 기초해 자원에 대한 접근을 제한하는 방법

 

3A

Authentication (인증) : 접근을 시도하는 주체에 대한 식별 및 검증

Authorization (권한 부여) : 검증된 주체에 어떤 수준의 권한과 서비스 허용

Accountiong (계정 관리) : 리소스 사용자에 대한 정보를 수집하고 관리하는 서비스

---

접근 통제 보호 모델

1. 벨-라파듈라 모델 : 미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조하여 강제적 정책에 의해 접근 통제하는 모델

2. 비바 모델 : 벨-라파듈라의 모델의 단점을 보완한 무결성을 보장하는 최초의 모델

 

암호 알고리즘 방식

양뱡향과  일방향으로 나눌 수 있으며, 양방향 암호 알고리즘 방식엔 대칭 키 암호 방식과 비대칭 키 암호 방식이 있으며, 일방향 암호 알고리즘 방식엔 해시 함수 방식이 있다.

 

대칭 키 암호 방식은 암호화와 복호화에 같은 암호키를 쓰는 방식으로 블록 암호화와 스트림 암호화 알고리즘으로 나뉜다. 

블록 암호 방식 : 긴 평문을 암호화 하기위해 고정 길이의 블록을 암호화하는 방법 ex DES, AES, SEED

DES? : 56bit의 키를 사용, 64bit의 평문 블록을 암호문 블록으로 만드는 블록 암호 방식의 미국 표준(NIST) 암호화 알고리즘

AES? : DES를 대체한 암호 알고리즘으로 암호화와 복호화 과정에서 동일한 키를 사용

SEED? : KISA와 ETRI에서 개발(국산꺼)

스트림 암호 방식 : 매우 긴 주기의 난수열을 발생시켜 평문과 더불어 암호문을 생성하는 방식 ex RC4

 

키 개수 : 1/2 x n(n-1)

 

비대칭 키 암호 방식은 공개키 암호 방식이라고도 불리며 사전에 개인 키를 나눠 가지지 않은 사용자들이 안전하게 통신하는 방식으로 공개키와 개인키를 통해 암호를 진행하나 공개키는 누구나 알 수 있지만, 공개키에 대응하는 개인키는 키의 소유자만 알 수 있어야 한다.  ex) RSA, ECC, ELGamal, 디피-헬만

RSA? : 비대칭 키 암호방식 중에서 가장 널리 사용, 소인수 분해의 어려움을 이용한 방식

디피 헬만? : 암호 키를 교환하는 방식으로 통신망을 통해 공통의 비밀키를 공유할 수 있도록 하는 방식

 

키 개수  : 2n

 

일방향 암호 방식은 해시 암호 방식이라고도 불리며 임의 길이의 정보를 입력받아, 고정된 길이의 암호문을 출력하는 암호 방식으로 해시 암호화 알고리즘이 적용된 정보는 복호화가 불가능함. ex MAC, MDC