보안 기능

1. 보안 기능

 

* 보안 기능의 보안 약점

1) 적절한 인증 없이 중요 기능 허용

- 보안 검사를 우회하여 인증 없이 중요 정보 또는 기능에 접근 및 변경 가능

- 중요 정보나 기능을 수행하는 페이지에서 재인증 기능을 수행하도록 하여 방지

 

2) 부적절한 인가

- 접근제어 기능이 없는 실행경로를 통해 정보 또는 권한을 탈취

- 모든 실행경로에 대해 접근제어 검사를 수행, 사용자에게 반드시 필요한 접근 권한만을 부여하여 방지

 

3) 중요한 자원에 대한 잘못된 권한 설정

- 권한 설정이 잘못된 자원에 접근하여 해당 자원을 임의로 사용할 수 있음

- 소프트웨어 관리자만 자원을 읽고 쓸 수 있도록 설정, 인가되지 않은 사용자의 중요 자원에 대한 접근 여부를 검사함으로써 방지

 

4) 취약한 암호화 알고리즘 사용

- 암호화된 환경설정 파일을 해독하여 비밀번호 등 중요 정보 탈취

- 안전한 알고리즘을 이용, 업무 관련 내용 및 개인 정보 등을 IT보안인증사무국이 안정성을 확인한 암호모듈을 이용함으로써 방지

 

5) 중요정보 평문 저장 및 전송

- 암호화되지 않은 평문 데이터를 탈취하여 중요한 정보를 획득

- 중요 정보를 저장하거나 전송 시 반드시 암호화 과정을 거치고, HTTPS 또는 SSL과 같은 보안 채널을 이용하여 방지

 

6) 하드코드된 암호화 키

- 암호화된 키도 하드코드된 경우 유출 시 역계산 또는 무차별 대입 공격에 의해 탈취

- 상수 형태의 암호키 사용을 하지 않고 암호화 키 생성 모듈 또는 보안이 보장된 외부 공간을 이용함으로써 방지

 

출처 :  정보처리기사 실기 2024 기본서 / 저자 : 길벗알앤디(김정준, 강윤석, 김용갑, 김우경)  / 출판사 : 길벗