'보안기능'에 해당되는 글 6건

  1. 2014.03.15 SW 보안 약점 진단 47개 진단항목 (1)
  2. 2013.03.28 무선랜 보안 설정, 10분이면 OK!
  3. 2012.07.19 [무선랜 보안-③] 무선랜 보안기능 설정
2014. 3. 15. 09:38

SW 보안 약점 진단 47개 진단항목

소스코드 취약점 진단컨설팅은 전자정부 SW개발단계부터 소스코드 보안약점 진단·제거 의무화에 따른 어플리케이션 개발 시 개발자에게 SW 보안 코딩 설계방안 제시 및 대응 할 수 있도록 하는데 목적이 있습니다.

평가대상

’12.12월 사업비 40억원이상 → ’14.1월 20억이상 → ’15.1월 5억이상 
범위 : 소스코드(신규개발 전체 및 유지보수로 변경된 부분), 단, 상용SW 제외

평가절차 
진단항목7개 유형 47개 진단항목(입력 데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API 오용)

유형주요내용개수 (47)
입력 데이터 검증 및 표현프로그램 입력 값에 대한 부적젃한 검증 등으로 인해 발생할 수 있는 보안약점  
1. SQL 삽입
2. 경로 조작 및 자원 삽입
3. 크로스사이트 스크립트
4. 운영체제 명령어 삽입
5. 위험한 형식 파일 업로드
6. 신뢰되지 않는 URL 주소로 자동접속 연결
7. XQuery 삽입
8. XPath 삽입
9. LDAP 삽입
10. 크로스사이트 요청 위조
11. HTTP 응답분할
12. 정수형 오버플로우
13. 보안 기능 결정에 사용되는 부적절한 입력값
14. 메모리 버퍼 오버플로우
15. 포맷 스트링 삽입
15
보안기능인증, 접근제어, 권한 관리 등을 적젃하지 않게 구현시 발생할 수 있는 보안약점  
1. 적절한 인증 없는 중요 기능 허용
2. 부적절한 인가
3. 중요한 자원에 대한 잘못된 권한 설정
4. 취약한 암호화 알고리즘 사용
5. 중요정보 평문저장
6. 중요정보 평문전송
7. 하드코드된 비밀번호
8. 충분하지 않은 키길이 사용
9. 적절하지 않은 난수 값 사용
10. 하드코드된 암호화 키
11. 취약한 비밀번호 허용
12. 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출
13. 주석문 안에 포함된 시스템 주요정보
14. 솔트 없이 일방향 해쉬 함수 사용
15 무결성 검사 없는 코드 다운로드
16. 반복된 인증시도 제한 기능 부재
16
시간 및 상태멀티프로세스 동작환경에서 부적젃한 시간 및 상태 관리로 발생할 수 있는 보안약점

1. 경쟁조건: 검사시점과 사용시점(TOCTOU)
2. 종료되지 않는 반복문 또는 재귀함수

2
에러처리불충분한 에러 처리로 중요정보가 에러정보에 포함되어 발생할 수 있는 보안약점
1. 오류메시지를 통한 정보노출
2. 오류 상황 대응 부재
3. 부적절한 예외 처리
3
코드오류개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점
1. Null Pointer 역참조
2. 부적절한 자원 해제
3. 해제된 자원 사용
4. 초기화되지 않은 변수 사용
4
캡슐화불충분한 캡슐화로 인가되지 않은 사용자에게 데이터가 노출될 수 있는 보안약점 
1. 잘못된 세션에 의한 데이터 정보 노출
2. 제거되지 않고 남은 디버그 코드
3. 시스템 데이터 정보노출
4. Public 메소드로부터 반환된 Private 배열
5. Private 배열에 Public 데이터 할당
5
API오용부적절하거나, 보안에 취약한 API 사용으로 발생할 수 있는 보안약점 
1. DNS lookup에 의존한 보안 결정
2. 취약한 API 사용
2



  • 소스코드 취약점 50~60% 감소 
  • 유지보수단계의 비용보다 60배 절감
  • ROI(투자수익율) 21% 이상 향상
<SW 개발단계별 결함 수정비용 분석>
구분설계단계코딩단계통합단계베타제품제품출시
설계과정결함1배5배10배15배30배
코딩과정결함 1배10배20배30배
통합과정결함  1배10배20배



출처 : kisac.co.kr


Trackback 0 Comment 1
  1. Favicon of https://blog.pages.kr 날으는물고기 2014.03.15 10:41 신고 address edit & del reply

    시큐어 코딩(Secure Coding)
    프트웨어 보안 약점을 전자정부 서비스 개발단계에서 제거하기 위해 정보시스템 구축 시 ‘소프트웨어 개발보안(시큐어 코딩)’을 의무화

2013. 3. 28. 18:25

무선랜 보안 설정, 10분이면 OK!

스마트기기가 대중화되면서 커피숍이나 길거리에서 스마트폰이나 노트북으로 무선랜에 접속해 인터넷을 사용하는 모습은 이제 익숙한 풍경이 됐다. 하지만 무선랜을 사용하면서 보안에 신경 쓰지 않으면 개인정보 유출 등의 보안 위협이 발생할 수 있다.

 

무선랜은 선 연결 없이 인터넷을 이용할 수 있게 해주는 무선 인터넷 이용환경을 말하는데, 흔히 와이파이(Wi-Fi)라고도 부른다. 개인이 구매하거나 설치해 이용하기도 하고, 통신사업자가 제공하거나, 고객 편의를 위해 공공시설에서 운영하는 경우도 있다.


[그림 1] 무선랜 환경의 예 (출처 : KISA)


무선랜은 이용자가 자유롭게 인터넷에 접속할 수 있다는 점에서 나쁜 의도를 가진 사용자에게 악용될 위험이 있다. 자신의 무선 AP(공유기)가 해킹되거나 불법 다운로드에 이용될 수도 있고, 악성코드를 유포하는 경로가 될 수도 있다.


무선랜을 안전하게 사용할 수 있는 강력한 보안 설정 방법을 알아보자.

 

 

강력한 무선 공유기 보안 설정 방법


무선인터넷을 안전하게 사용하기 위해서는 강력한 보안 설정이 필수적이다. 무선 공유기에 설치된 초기 비밀번호는 타인이 쉽게 접속할 수 있으므로 반드시 변경해서 사용해야 한다. 무선랜 보안 설정을 위해서는 일단 무선 공유기의 고유 IP주소를 알아야 하는데, 이는 제품 매뉴얼을 참조하면 된다. 이 주소를 인터넷 창에 입력하면 무선 공유기의 설정을 바꿀 수 있는 관리 화면이 나온다.

 

[그림 2] 무선랜 보안 설정 방법 (출처 : KISA)

 

무선 보안 설정 > 보안 설정 : 암호를 통한 보안 설정 > 암호 설정 : WPA2 > 알고리즘 : AES > 비밀번호 설정 > 확인


비밀번호는 타인이 추측하기 어려운 8자리 이상으로 설정하고 주기적으로 변경해 주는 것이 좋다.

 

 

사용하지 않는 무선 공유기는 꺼두기


사용하지 않는 무선 공유기는 꺼둔다. 다른 사람이 불법 다운로드나 해킹 등에 악용할 위험이 있기 때문이다.

 

 

제공자 불분명한 무선랜 사용하지 않기


불순한 목적을 위해 무선 공유기를 설치한 경우가 있을 수 있다는 점에서 제공자가 명확하지 않거나 본인이 잘 모르는 무선랜은 접속하지 않는 것이 좋다. 부득이 보안 설정이 없는 무선랜을 이용할 경우에는 금융거래나 기업 업무 등의 민감한 서비스는 이용하지 않는 것이 좋다.

 

 

무선랜 자동 접속 기능 꺼두기


무선 단말기에는 한번 접속한 무선랜에 자동으로 접속하는 기능이 있다. 공격자는 이 기능을 악용해 잘 알려진 무선랜을 가장해 자동 접속으로 이용자의 접속을 유도하는 경우가 있다. 이 때문에 무선랜 자동 접속 기능은 끄고, 기존에 접속한 무선랜 리스트도 주기적으로 삭제해야 한다. 아래의 방법으로 무선랜 자동 접속을 해지할 수 있다.

 

 

[그림 3] 무선랜 자동 접속 기능 해지 방법 (출처 : KISA)

 

- Windows XP
1. 시작 > 설정 > 네트워크 연결 > 무선네트워크 연결 > 무선네트워크 > 속성 > 연결 > 자동연결 체크 해제
2. 시작 > 설정 > 네트워크 연결 > 무선네트워크 연결 > 무선 네트워크 > 해당 무선랜 선택  > 제거


- Windows 7 
1. 시작 > 제어판 > 네트워크 및 인터넷 > 네트워크 및 공유센터 > 무선 네트워크 관리 > 해당 무선랜 우클릭 > 속성 > 자동 연결 체크 해제
2. 시작 > 제어판 > 네트워크 및 인터넷 > 네트워크 및 공유센터 > 무선 네트워크 관리 > 해당 무선랜 선택 > 제거

 

 

무선 공유기 SSID 변경 및 숨김 기능 설정


SSID(Service Set Identification)란 무선랜을 구분하기 위한 이름인데, 이를 숨김으로 설정해두면 해킹 및 정보 유출 등의 피해를 예방할 수 있다. 무선 네트워크 이름의 숨김 기능 설정을 위해서는 무선 공유기 관리 화면에 접속한 뒤, 무선 네트워크 설정 화면에서 SSID를 변경하고 숨김 기능을 체크하면 된다. SSID가 숨겨져 있을 경우 직접 SSID를 입력해서 접속해야 한다.@

 

자세한 내용은 한국인터넷진흥원(KISA) 보호나라를 참조하면 된다.

 

무선랜 안전 이용 7대 수칙


1. 무선 공유기 사용시 보안 기능 설정하기
2. 무선 공유기 비밀번호 안전하게 관리하기
3. 사용하지 않는 무선 공유기는 꺼놓기
4. 제공자가 불분명한 무선랜은 이용하지 않기
5. 보안 설정 없는 무선랜으로 민감한 서비스 이용하지 않기
6. 무선랜 자동 접속 기능 사용하지 않기
7. 무선 공유기의 SSID를 변경하고 숨김 기능 설정하기

 


출처 : 안철수연구소


Trackback 0 Comment 0
2012. 7. 19. 18:35

[무선랜 보안-③] 무선랜 보안기능 설정




출처 : 보호나라


Trackback 0 Comment 0