[정보보안기사] 기타 애플리케이션 보안

1. OWASP(The Open Web Application Security Project)

- 신뢰성 있는 웹 애플리케이션 개발 및 운영을 위한 웹 취약점의 우선순위와 위험도 기준의 가이드라인

- 약 3 ~ 4년을 주기로 최고 취약점 10개를 선정해 발표하며 가장 최근 2021 OWASP Top 10을 발표

 

 1-1. Broken Access Control

 - 취약한 접근 통제

 - 인증된 사용자가 수행할 수 있는 작업에 대한 제한을 제대로 적용하지 않을 때 발생

 

 1-2. Cryptographic Failures

 - 암호화 실패

 - 2017 OWASP Top 10의 민감한 데이터 노출을 한 단계 올려서 변경

 

 1-3. A1-Injection

 - 신뢰할 수 없는 데이터의 명령이나 쿼리문의 일부분이 인터프리터로 전송될 때 발생

 

 1-4. Insecure Design

 - 안전하지 않은 디자인

 - 소프트웨어 설계에서 발생

 

 1-5. Security Misconfiguration

 - 잘못된 보안 구성

 - 2017 OWASP Top 10의 XXE가 여기에 포함 됨

 

 1-6. Vulnerable and outdated Components

 - 취약점 및 오래된 구성요소

 - 2017 OWASP Top 10의 알려진 취약점이 있는 구성요소가 변경

 

 1-7. Identification and Authentication Failures

 - 식별 및 인증 실패

 - 인증 및 세션 관리와 관련된 애플리케이션 기능이 잘못 구현되어서 공격자에게 암호, 세션 토큰을 제공

 

 1-8. Software and Data Integrity Failures

 - 소프트웨어 및 데이터 무결성 오류

 - 무결성을 검증하지 않고 소프트웨어 업데이트, 중요 데이터, 파이프라인 등에서 발생

 - 2017 OWASP Top 10의 안전하지 않은 역직렬화가 포함 됨

 

 1-9. Security Logging and Monitoring Failures

 - 보안 로깅 및 모니터링 오류

 - 2017 OWASP Top 10의 불충분한 로깅 및 모니터링의 이름이 변경

 

 1-10. Server Side Request Forgery(SSRF)

 - 서버 측 요청 위조

 - 서버 측 응용 프로그램이 공격자가 선택한 임의의 도메인에 HTTP 요청을 할 수 있는 취약점

---

2. 웹 취약점 및 버그 방지 개발

 2-1. 소프트웨어 개발 보안

 - 요구사항 분석 -> 설계단계에서의 위협원 도출 -> 구현 단계에서의 보안 가이드 준수

 - Secure SDLC : 개발 보안을 준수하기 위한 개발 방법론

 - CLASP : OWASP의 보안 약점을 고려한 개발 보안 방법론

 - MS-SDL : PreSDL 단계에서 위협 분석을 수행하고, SDLC 단계에서 보안을 고려한 모델링을 수행

 - 7-Touch Point : 위협분석, 코드리뷰, 자동화 진단 등의 활동을 정의

 

 2-2. 분석/설계단계 개발 보안

 - 입력 데이터 검증 및 표현

 - 에러처리

 - 세션통제

 - 인증, 권한 관리, 암호화, 중요 정보 처리 등 보안 기능

 

 2-3. 구현단계 개발 보안

 - 입력데이터 검증 및 표현 : 프로그램 입력 값에 대한 검증 누락 또는 부적절한 검증

 - 보안 기능 : 보안 기능을 적절하지 않게 구현

 - 시간 및 상태 : 병렬 시스템에서 시간 및 상태를 부적절하게 관리

 - 에러처리 : 에러를 불충분하게 처리

 - 코드 오류 : 타입변환 오류, 자원의 부적절한 반환 등

 - 캡슐화 : 중요한 데이터 또는 기능성을 불충분하게 캡슐화

 - API 오용 : 의도된 사용에 반하는 방법으로 API를 사용

---

3. SQL Injection

- 입력값을 조작하여 사용자 인증을 우회하거나, DB에 SQL 문을 실행해 DB의 데이터를 인증 없이 얻어내는 공격

- OWASP Top 10에서 가장 빈번한 공격 기법 중 하나

- 입력값 필터링, 입력값 크기 제한, ORM 사용, Prepared Statement 사용, DB 권환 관리 등의 방법으로 대응

* ORM : 객체와 관계형 DB의 데이터를 자동으로 매핑하는 것

* Prepared Statement : 입력되는 모든 값을 문자열로 인식하는 기능

 

 3-1. Blind SQL Injection

 - 문자열을 하나씩 자르고 ASCII 코드 값을 입력하여 해당 문자열을 완성하는 공격

 - SQL 실행 후 나타나는 True, False 결과로 입력한 문자열의 일치 여부를 확인

 

 3-2. Union SQL Injection

 - SQL 문 뒤에 union을 입력해 공격자가 임의로 SELECT 문을 실행하여 DB에 접근하는 공격

 

 3-3. Mass SQL Injection

 - 한 번의 공격으로 대량의 DB 값이 변조되는 확장된 개념의 SQL Injection 공격

 - Cookie Injection : Get/Post 메서드가 아닌 Cookie를 통해 데이터가 전달되는 방식으로, WAF 우회 가능

---

4. Cross Site Scripting(XSS)

- 공격자가 제공한 악의적인 스크립트가 대상의 브라우저에서 실행되도록 하는 공격

- OWASP Top 10에서 가장 빈번한 공격 기법 중 하나

- 개인정보 유출, Cookie 값 탈취, Key Logging, 악성코드 실행 및 세션 하이재킹 등의 결과 발생

- Server 측면 대응 : 입력 값 검증, 출력 값 인코딩, 스크립트에 의한 쿠키 접근 제한, 태그 필터링 등

- Client 측면 대응 : 주기적인 패스워드 변경, 브라우저 최신 패치, URL 직접 입력, 쿠키 사용 금지 등

 

 4-1. Stored XSS

 - 취약한 웹 서버(게시판, 방명록 등)에 악성 스크립트를 저장하여 공격하는 방식

 - 공격자는 해당 게시물을 누구나 열람할 수 있도록 노출시킴

 

 4-2. Reflected XSS

 - 악성 스크립트를 서버에 저장하지 않고, 공격 대상에게 노출시킴

 - 공격자는 악성 스크립트를 포함한 URL을 공격 대상에게 전달(이메일, 메신저 등)

---

5. Cross Site Reuqest Forgery(CSRF)

- 공격 대상이 인식하지 못한 상황에서 의도하지 않은 공격 행위를 수행하게 하는 공격

- 공격 대상의 권한으로 악의적인 공격을 수행

- 공격이 피해자를 통해 이루어지므로 공격자 추적이 어려움

- 관리자 권한 획득, 게시물 삭제 및 수정, 사용자 비밀번호 탈취 등의 결과 발생

- 입력 폼 작성 시 POST 방식 이용, CSRF Token 값 추가해 재인증, CAPTCHA 등의 방법으로 대응 

---

6. Format String

- 데이터에 대한 포맷 스트링을 정확하게 정의하지 않아 발생되는 보안 취약점

- 메모리 열람, 메모리 변조, 쉘 코드 삽입 등의 결과 발생

---

7. XXE Injection(XML External Entities)

- XML 문서에서 동적으로 외부 URL의 리소스를 포함시킬 때 발생하는 취약점

- XML Parser 설정에 외부 엔티티 사용을 금지하는 방법으로 대응

- LFI : 내부의 주요 시스템 파일 접근

- RFI : 외부의 악의적 파일 참조

---

8. Single Sign On(SSO)

- 한 번의 Login으로 기업의 업무 시스템이나 인터넷 서비스등 다수의 서비스에 접속할 수 있게 하는 서비스

- Delegation : 인증 방식 변경 없이, 에이전트가 인증 정보를 관리해 사용자 대신 로그인하는 방식

- Propagation : 대상 애플리케이션에 사용자가 접근 시 토큰을 자동으로 전달해 인증하는 방식

- D & P : 애플리케이션의 특성에 따라 Delegation 방식과 Propagation 방식을 혼용한 방식

- One Cookie Domain SSO : SSO 대상 서비스와 애플리케이션들이 하나의 Cookie Domain 안에 존재할 때 사용

---

9. Digital Rights Management(DRM)

- 디지털 콘텐츠 저작권 관련 당사자의 권리 및 이익을 지속적으로 보호 및 관리하는 시스템

- 암호화, 인증, Watermarking, User Repository, 권한 관리, Temper Proofing 등의 기술이 있음

---

10. Watermark

- 디지털 정보에 사람이 인지할 수 없는 마크를 삽입하여 콘텐츠에 대한 소유권을 추적할 수 있는 기술

- Steganography 기법 중 하나

- 비인지성, 강인성, 연약성, 위조방지, 키 제한의 특징을 가짐

- Fingerprinting : 디지털 콘텐츠에 디지털 콘텐츠 구매저 정보도 함께 삽입해 불법 유통을 추적할 수 있는 기술

- Filtering Attack : 워터마크를 노이즈로 보고 노이즈 제거 방법을 활용한 공격

- Copy Attack : 임의의 신호를 추가하여 워터마크를 사용하지 못하게 하는 공격

- Mosaic Attack : 워터마크가 검출되지 않도록 작은 조각으로 분해하여 다시 합치는 공격

- Template Attack : 워터마크의 패턴을 파괴하여 검출되지 않도록 하는 공격

---

11. Digital Forensic

- 디지털 기기를 대상으로 발생하는 특정 행위의 사실관계를 증명하기 위한 방법 및 절차

 

 11-1. 디지털 포렌식 원칙

 - 정당성 원칙 : 증거가 적법한 절차에 의해 수집되었는지에 대한 원칙

 - 재현성 원칙 : 같은 조건과 상황 하에서 항상 같은 결과가 나오는지에 대한 원칙

 - 신속성 원칙 : 디지털 포렌식의 전 과정이 신속하게 진행되었는지에 대한 원칙

 - 절차 연속성 원칙 : 증거물 수집, 이동, 보관, 분석, 제출의 각 단계에서 담당자 및 책임자가 명확한지에 대한 원칙

 - 무결성 원칙 : 수집된 증거가 위변조되지 않았는지에 대한 원칙

 

 11-2. 휘발성 및 비휘발성 데이터

 - 휘발성 데이터 : 최근 접속 기록, 시스템 시간, 프로세스 정보, 접속자, 실행 중인 프로세스 등

 - 비휘발성 데이터 : 설정값, 로그, 애플리케이션 파일, 데이터 파일 등

 - 휘발성 데이터는 동작 중인 시스템 메모리 내에 존재하는 데이터를 우선순위를 고려해 수집

 - 비휘발성 데이터는 디스크 복제 수행

 - 로드카르 법칙 : 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙

 

 11-3. 디지털 포렌식 절차

 - 준비 : 사전 정보수집, 영장, 질문서, 등을 파악하고 OS, DB, Network, System 등 분야별 전문가 준비

 - 획득 : 현장 도착 시 전원 확인, 시스템의 시간 차 확인, 휘발성 정보 수집, 관련 자료 확보, 라벨링 및 포장

 - 이송 : 전자파 차폐 용기, X-RAY 통과 금지, 충격완화 장치, 증거물 보관실에 보관

 - 분석 : 원본 쓰기방지 장치 연결 후 사본을 복제하고 사본으로 분석

 - 증거분석서 작성 : 평이하게 분석 과정 상세히 기록, 발견 증거물의 경로 기재 및 사진 첨부

 - 보관 : 봉인, 분석 담당자 기록 유지, 사건 관계자 입회 하 반출입 기록 등을 유지하여 보관