5. 에러처리
1) 개요
에러처리는 소프트웨어 실행 중 발생할 수 있는 오류들을 사전에 정의해 오류로 인해 발생할 수 있는 문제들을 예방하기 위한 보안 점검 항목
프로그래밍 언어의 예외처리 구문을 통해 오류에 대한 사항을 정의
예외처리 구문으로 처리하지 못한 오류들은 중요정보를 노출시키거나, 소프트웨어의 실행이 중단되는 등 예기치 못한 문제를 발생할 수 있음
보안 약점 : 오류메시지를 통한 정보 노출, 오류 상황 대응 부재, 부적절한 예외처리
6. 코드 오류
1) 개요
코드 오류는 소프트웨어 구현 단계에서 개발자들이 코딩 중 실수하기 쉬운 형 변환, 자원 반환 등의 오류를 예방하기 위한 보안 점검 항목
2) 널 포인터 역참조
널 포인터가 가리키는 메모리에 어떠한 값을 저장할 때 발생하는 보안 약점
널이 될 수 있는 포인터를 이용 하기 전, 널 값을 갖고 있는지 검사함으로 방지
3) 부적절한 자원 해제
자원을 반환하는 코드를 누락하거나 프로그램 오류로 할당된 자원을 반환하지 못햇을 때 발생하는 보안 약점
프로그램 내 자원 반환 코드 누락 확인, 예외처리에 관계 없이 자원이 반환되도록 코딩함으로 방지
4) 해제된 자원의 사용
이미 사용이 종료되어 반환된 메모리를 참조하는 경우 발생하는 보안 약점
반환된 메모리에 접근할 수 없도록 저장하고 있는 포인터를 초기화 함으로 방지
5) 초기화되지 않은 변수 사용
변수 선언 후 값이 부여되지 않은 변수를 사용할 때 발생
변수 선언시 할당된 메모리를 초기화함으로 방지
7. 암호 알고리즘
1) 개요
패스워드, 주민번호, 은행계좌와 같은 중요 정보를 보호하기 위해 평문을 암호화된 문장으로 만드는 절차 또는 방법
방식 : Hash를 사용하는 단방향 암호화와 개인키(Steam 방식, Block 방식) 및 공개키로 분류되는 양방향 방식이 있음.
양방향 - 개인키(Steam,Block), 공개키
단방향 - Hash
2) 개인키 암호화 기법
동일한 키로 데이터를 암호화/복호화하는 방법
개인키 암호화 기법을 대칭 암호 기법 또는 단일키 암호화 기법이라고 함
장점 : 암호화/복호화 속도가 빠르며 알고리즘이 단순, 공개키 암호 기법보다 파일 크기가 작음
단점 : 사용자 증가에 따라 관리해야 할 키의 수가 상대적으로 많아짐
블록 암호화 방식
한 번에 하나의 데이터 블록을 암호화
종류 : DES, SEED, AES, ARIA
스트림 암호화 방식
평문과 동일한 길이의 스트림을 생성해 비트 단위로 암호화
종류 : LFSR, RC4
3) 공개키 암호화 기법
암호화할 때 사용하는 공개키를 데이터베이스 사용자에게 공개하고, 복호화할 때의 비밀키는 관리자가 관리하는 방법
비대칭 암호 기법이라고도 불리며 대표적으로는 RSA(Rivest Shamir Adleman) 기법이 있다.
장점 : 키의 분배가 용이하고 관리해야할 키의 개수가 적다.
단점 : 암호화/복호화 속도가 느리며 알고리즘이 복잡하고, 파일크기가 크다.
*공개키 기반 구조(PKI: Public Key Infrastructure)
공개키 암호 시스템을 안전하게 사용하고 관리하기 위한 정보 보호 표준 방식
X.509 방식 : 인증기관에서 발생하는 인증서 기반으로 상호 인증
비X.509 방식 : 국가별, 지역별로 맞게 보완 및 개발
4) 양방향 알고리즘 종류
| SEED |
한국인터넷진흥원(KISA)에서 개발한 블록 암호화 알고리즘 블록크기 128비트, 키길이에 따라 128, 256으로 분류 |
| ARIA |
국가정보원과 산학연협회가 개발한 블록 암호화 알고리즘 블록크기 128비트, 키길이에 따라 128,192,256으로 분류 |
| DES |
미국 BNS에서 발표한 개인키 암호화 알고리즘 블록크기는 64비트, 키길이는 56비트 |
| AES |
미국 표준 기술 연구소(NIST)에서 발표한 개인키 암호화 알고리즘 블록크기 128비트, 키길이에 따라 128, 192, 256으로 분류 |
| RSA |
MIT에서 개발 큰 숫자를 소인수분해하기 어렵다는 것에 기반해 만들어짐 공개키와 비밀키를 사용하는데, 여기서 키는 메시지를 열고 잠그는 상수를 의미 |
5) 해시(Hash)
해시는 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것
해시 알고리즘을 해시 함수라고 부른다.
해시 함수로 변환된 값이나 키를 해시값 또는 해시키라고 부른다.
데이터의 암호화 무결성 검증을 위해 사용
해시 함수 종류 : SHA 시리즈, MD5, N-NASH, SNEFRU
'2020 정보처리기사 필기 > 5과목 - 정보시스템 구축 관리' 카테고리의 다른 글
| [2020 정보처리기사 필기 요약] 5과목 - 정보시스템 구축 관리(시스템 보안 구축) (0) | 2020.08.20 |
|---|---|
| [2020 정보처리기사 필기 요약] 5과목 - 정보시스템 구축 관리(소프트웨어 개발 보안 구축_1) (0) | 2020.08.20 |
| [2020 정보처리기사 필기 요약] 5과목 - 정보시스템 구축 관리(IT프로젝트 정보시스템 구축 관리_5) (0) | 2020.08.20 |
| [2020 정보처리기사 필기 요약] 5과목 - 정보시스템 구축 관리(IT프로젝트 정보시스템 구축 관리_4) (0) | 2020.08.20 |
| [2020 정보처리기사 필기 요약] 5과목 - 정보시스템 구축 관리(IT프로젝트 정보시스템 구축 관리_3) (0) | 2020.08.16 |