소프트웨어 개발 보안 구현
2-1. 설계 및 구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하고, 외부 공격으로부터 안전한 소프트웨어를 개발하는 기법
정답
시큐어 코딩 가이드
2-2. 프로그램 입력값에 대한 검증 누락 부적절한 검증, 잘못된 형식 지정. 입력 데이터에 대한 유효성 검증 체계를 수립하고 실패 시 처리 기능설계 및 구현
정답
입력데이터 검증 및 표현
2-3. 보안 기능(인증, 접근 제어, 기밀성, 암호화, 권한 관리 등)의 부적절한 구현. 보안기능이 적절하게 반영되도록 설계 및 구현
정답
보안 기능
2-4. 거의 동시에 수행 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작하는 환경에서 시간 및 상태의 부적절한 관리. 공유자원 접근 직렬화, 병렬 실행 가능 프레임워크 사용, 블록문 내에서만 재귀 함수 호출
정답
시간 및 상태
2-5. 에러 미처리, 불충분한 처리 등으로 에러 메시지에 중요 정보가 포함됨. 에러 상황을 처리하지 않거나, 불충분하게 처리되어 보안 약점을 발생시키지 않도록 시스템 설계 및 구현
정답
에러 처리
2-6. 개발자가 범할 수 있는 코딩 오류. 코딩 규칙 도출 후 검증 가능한 스크립트 구성과 경고 순위의 치상향 조정 후 경고 메시지 코드 제거
정답
코드 오류
2-7. 기능성이 불충분한 캡슐화. 디버거 코드 제거와 필수정보 외의 클래스 내 프라이빗 접근자 지정
정답
캡슐화
2-8. 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API의 사용. 개발 언어별 취약 API 확보 및 취약 API 검출 프로그램 사용
정답
API 오용
2-9. (입력 데이터 검증 및 표현 취약점) 검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
정답
XSS
2-10. 사용자가 자신의 의지와는 무관하게 공격자가 의도하는 행위를 특정 웹사이트에 요청하게 되는 공격
정답
사이트 간 요청 위조
2-11. 응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격기법
정답
SQL 삽입(Injection)
2-12. (네트워크 보안 솔루션) 기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템
정답
방화벽
2-13. 일반적인 네트워크 방화벽과는 달리 웹 애플리케이션 보안에 특화된 보안장비
정답
웹방화벽(WAF)
2-14. 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션
정답
네트워크 접근제어(NAC)
2-15. 네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 지원접근과 보안정책 위반 행위를 실시간으로 탐지하는 시스템
정답
침입탐지 시스템(IDS)
2-16. 인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기를 탐지하는 시스템
정답
침입방지 시스템(IPS)
2-17. 방화벽, 침입탐지시스템, 침입방지시스템, VPN, 안티바이러스, 이메일 필터링 등 다양한 보안 장비의 기능을 하나의 장비로 통합하여 제공하는 시스템
정답
통합 보안 시스템(UTM)
2-18. 인터넷과 같은 공중망에 인증, 암호화, 터널링 기술을 활용하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션
정답
가상 사설망(VPN)
2-19. 다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안 로그와 이벤트 정보를 수집, 정보간의 연관성을 분석하여 위협 상황을 인지하고, 침해사고에 신속하게 대응하는 보안 관제 솔루션
정답
SIEM(Security Information and Event Management)
2-20. 방화벽, 침입탐지 시스템, UTM, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트 및 로그를 통합해서 관리, 분석, 대응하는 전사적 통합 보안 관리 시스템
정답
ESM(Enterprise Security Management)
2-21. (시스템 보안 솔루션) 메일 서버 앞단에 위치하여 프록시 메일 서버로 동작
정답
스팸 차단 솔루션(Anti-Spam Solution)
2-22. 컴퓨터 운영체제의 커널에 보안 기능을 추가한 솔루션
정답
보안 운영체제(Secure OS)
2-23. 정보 유출 방지 등의 보안 기능을 갖춘 USB 메모리
정답
보안 USB
2-24. (콘텐츠 보안 솔루션) 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션
정답
데이터 유출 방지(DLP)
2-25. MP3, E-Book과 같은 디지털 저작물에 대한 보호와 관리를 위한 솔루션
정답
디저털 저작권 관리(DRM)
2-26. 자산이 가지고 있는 보안상의 결점 또는 취약한 속성을 파악하여 위험을 낮추는 활동
정답
취약점 분석
2-27. 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계
정답
비즈니스 연속성 계획
2-28. 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석
정답
BIA(Business Impact Analysis)
2-29. 업무중단 시점부터 업무가 복구되어 다시 가동될 때가지의 시간
정답
RTO(Recovery Time Objective)
2-30. 업무중단 시점부터 데이터가 복구되어 다시 정상가동될 때 데이터의 손실 허용시점
정답
RPO(Recovery Point Objective)
2-31. 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획
정답
DRP(Disaster Recovery Plan)
2-32. 재해복구계획의 원활한 수행을 지원하기 위하여 평상시에 확보하여 두는 인적, 물적자원 및 이들에 대한 지속적인 관리체계가 통합된 재해복구센터
정답
DRS(Disaster Recovery System)