디지털 보안을 위한 중요한 프로세스: Script 접근과 관련된 사고 분석

코딩프로세스 보안 프로세스 분석 : UI 로직 : Front -End 코딩 -&gt화면에 예쁘게 표시 API : UI 에 전달될 최종 모양 확정 Business 로직 : 타입부여 -&gt그릇에 입력 -&gt의미부여 -&gt변형 DB : Data를 Data 상태로 잘 보관​타입 -&gt데이터의 모양 -&gt1,000 ( 숫자 ) 변수 -&gt데이터를 담는 그릇 , 닉네임 -&gt잔고 : 1000함수 -&gt기능 ( input ,output) -&gt잔고 1000원 대출 10% =&gt100논리-&gt함수 안에서 연산, 조건 , 반복 , 제어 -&gt1000*10% 𽄀 ​타입:정수, 실수 , 문자 , 텍스트 , 날짜 등 변수: (타입) 변수명 <- 항목의 이름 등 int balance : 잔고를 의미하는 숫자가 들어올 곳 입력 : balance (DB에서 가져온 잔고는 10,000원임을 입력 ​함수 &amp로직 대출금을 계산하기 위해서 함수를 사용하게 된다. input parameter =입력값output parameter =출력값 Paramater ( 매개변수) ​함수는 입력 값을 받고 , 출력값을 반환 함수, 안에서 로직을 다양한 방법으로 계산 =&gt그래서, 개발자와 로직에 대해서 얘기할 보안 프로세스 분석 때 입력값 , 계산 방법 , 출력값의 논리를 머리에 두기 ​데이터 타입 vs 데이터 값 ​데이터 타입은 종류 숫자, 날짜데이터 값은 내용 : 50 , 2021 - 11- 15 자료 구조는 의미만 알고 있으면 된다. ​위키 백과 : 자료구조는 데이터값의 모임, 또 데이터 간의 관계 , 그리고 데이터에 적용할 수 있는 함수나 명령을 의미한다. Array , Linkedlist, Hashtable , Stack , Queue, Graph, Tree 등 - 여러 가지의 데이터들을 사용하기 편리하게 만드는 것이 자료구조이다. 데이터들을 모아 놓은 집합체이다. ​알고리즘 : 위키 백과 : 컴퓨터 과학에서 말하는 알고리즘은 , 보통 반복되는 문제를 풀기 위한 작은 프로시저 ( 진행절차)를 의미한다. ​정렬 , 탐색 , 학습, DFS , BFS , 다익스트라 등 - 쉽게 말하면 복잡한 로직을 잘 만들 수 있는 방법론 , 절자를 의미한다. ​프로세스 vs 스레드 스레드 처리 해야하나요>? : 의미 : 다른 보안 프로세스 분석 일도 동시에 여러 작업 처리하는 프로그램 이거 작동하는 동안 , 다른 기능을 쓸 수 있게 할까요? ​프로세스 : 한 번에 이어지는 프로그램 처리 : 한 번에 한 작업 스레드 : 다른 일도 동시하는 프로그램 처리 : 동시에 여러 작업 ​트랜젝션 사전 정의 : Transaction : 거래 , 매매 , 처리 (과정) 데이터베이스 상태를 변환시키는 하나의 논리적 기능을 수행하기 위한 작업의 단위 데이터베이스 시스템에서 복구 및 병행 수행 시 처리되는 작업의 논리적 단위 한꺼번에 수행되어야 할 일련의 연산 - IT 위키 ​원자성, 일관성 , 독립성 , 지속성 트랜젝션 쉬운 정의 : ALL or Nothing - 하든가, 말든가 , 중간은 없다.. DB : - 중간에 멈추면 큰일나, 원래대로 돌려준다. 프로그램 : - 여기까지는 한 번에 처리해야한다. 일반 업무 : - 최소 업무 단위 ​ex : 현금을 인출하는 과정에서 중간에 문제가 발생해서 돈을 받지 못했다. 보안 프로세스 분석 -&gt중간단계에서 문제가 생기면 처음부터 아예 없었던 것 처럼 차감하는 것을 원래대로 돌리는 것 돈을 지급할 때에는 본사 계좌 차감 후 인출이 정상적으로 되는 것 까지 확인 후 처리 확정하거나 아니면 처음으로 되돌리는 것 ​하나의 단위 업무라고 하느 넋 : ​DB : - 중간에 멈추면 큰일나, 원래대로 돌려 프로그램 : 여기까지는 한 번에 처리해야 해 ​파라메터가 뭔가요? 대출금 계산로직, input parameter가 뭔가요? 타입은요 ? ​네 input parameter는 잔고이고요. 타입은 정수예요. 화면설계, 로직 정의 시 항상 설계되는 항목은 항목명 , 데이터 타입임 ​스레드 처리가 뭔가요? -&gt이 기능이 동작하는 동안 다른 기능이 동작하게 할까요? ​이 기능은 스레드처리할까요? -&gt네, 처리 작업이 오래걸리고 , 다른 업무에 영향이 없으니 그렇게 해주세요. ​트랜젝션 처리가 뭔가요? 물건 구매후 잔액에 대해서 트랜젝션 처리가 안 되어서 큰 문제가 발생했어요. -&gt물건을 구매하고, 구매 금액만큼 잔액이 줄어들어야 하는데, 한 번에 처리가 안 되어서 , 보안 프로세스 분석 물건은 팔았는데, 잔액은 안 줄어드는 문제가 발생했다. 기획자: 그럼 빨리 데이터 조치하시고, 구매할 때, 잔액까지 트랜젝션 처리 부탁할게요. ​​보안지식 : 정보가 얼마만큼 안전하게 관리하느냐가 개발의 핵심 보안의 분류 침입 방지 - 들어오지마, 강탈 방지 - 가져가지마!분석 방지 - 확인하지마! 노출 방지 - 보지마! ​IT 보안은 정말 넓은 영역 다 알기 보다는 꼭 알아야 할 부분을 확실히 해야한다. ​침입방지 - 나쁜 적이 못 들어오게 ( 방화벽 ) 외부의 적 방화벽 ( 내부의 정보 : 서버 ) 1. 외부에서 못 들어오게 하는 벽 , 2. 출입 통제 (허락된 존재만 들어와 ) 방화벽의 적에 대한 기본 식별은 IP , PORT , 도메인 정보로 함. ​방화벽 오픈 ( 입장 허락) 을 위해서는 입장하려는 우리 서버의 ip / port 정보를 전달해줘야 한다는 것 정도 알면 됨 ​강탈 방지 : 정보의 이동 중 빼앗기지 않도록 - vpn , 보안 프로세스 분석 전용선 보호와 자유는 상반 관계 : 보안 정책에 따라 적절한 선택이 필요하다. ​분석 방지 : 침입/강탈 당해도 피해를 최소화 - 암호화 정보를 강탈당함 -&gt불꽃 남자 , #$Tkjkdlflakdj# -&gt암호화 : 정보를 빼앗겼지만, 보호를 받음 뺏겨도 정보를 분석당하지 않으면 의미가 없는 것이다. ​암호화 종류 및 프로세스 원본 암호화 : DB 데이터 암호화 ->프로그램 암호화 이동 중-&gt암호화 네트워크 암호화 복호화 : 네트워크 암호화 해제 -&gtApplication 암호화 해제 -&gtDB 데이터 암호화 ​DB -&gtApp -&gt네트웤 0&gt네트워크 해제 -&gtApp 해제 ​​암호화 : encryption , 인크립션 ,복호화 𽷬ryption 디크립션 ​DB 암호화 : 비밀번호 -&gt정보 체크 , 내용확인 하지않음 -&gt단방향 방식 전화번호 -&gt정보 체크 , 내용확인 함 -&gt양방향 방식 ​단방향 - 암호화 후 복호화 불가 ( 내용은 모르지만, 같은 정보 암호화 결과는 동일 양방향 - 암호화 후 복호화 가능 ​보안 필수 지식 : 대칭키 , 비대칭키 등 복잡한 설명 =&gt개발자가 보안 프로세스 분석 잘 알면 됨 우리는 기본 컨셉에 대한 이해가 중요하다. ​단방향 vs 양방향 ​어떤 기준으로 정해야 하는지? 단방향 -&gt저장된 정보를 알 필요가 없을 때 - 개인의 비밀번호 알 필요가 없음양방향 -&gt저장된 정보를 알아야 할 때 - 전화번호 , 개인 정보와 암호화 저장 , 업무 목적으로 연락 할 때, 알 필요 없음 ​프로그램 암호화의 경우 대부분 양방향 이용 : DB 정보를 전달 하는 과정으로 전달 받는 쪽이 정보 확인 필요 ​오픈 된 인터넷에서 정보 강탈을 원칙적으로 막는 것은 어려움 그래서 정보를 강탈 당해도 악용되지 않게 하기 위해 암호화 ​HTTPS &ampSSL​SSL -&gtSecure Sockets Layer : SSL은 암호의 규정 SSL인증서는 3자가 보증 해주는 인증 문서 HTTPS -&gtSSL 암호화 방식을 채용한 HTTP의 암호화 프로토콜 ​SSL인증서무료 VS 유료 둘 다 보호는 동일, 성능은 다소 차이 , 문제 시 유료는 보상해줌 해킹 피해에 대한 소재 및 피해 보상의 유무나 보안 프로세스 분석 정도에 따라 ​노출 방지 : 평상시에도 노출 되지 않도록 : 마스킹 , 화면 캡쳐 방지 등 마스킹 의미 : 정보의 특정 부분을 가리는 것 특수 문자 등으로 바꾸는 방식 화면에 블록으로 가리는 방식 ​캡쳐 방지 -&gtOS 기능 혹은 캡쳐 S/W 캡쳐 시도시 이 화면을 캡쳐할 수 없습니다. ​개발자 : 개인 정보 암호화 어떤 방식으로 할까요? 기획자 : 비밀번호는 단방향 (복호화 불가) 로 해주시고, 이름, 전화번호는 양방향 (복호화 가능하게) 해주세요. ​HTTPS , SSL이 뭐야? ​고객사 시스템이랑 화면 연계시 HTTPS 적용해줘야 할까요? SSL인증서는 어떻게 해야할까요? HTTPS 적용해서 기본 암호화 되게 해주시고, SSL은 그냥 무료 인증서 중 좋은 걸로 해주세요. 마스킹이 뭐야? 이번에 보안 진단에서 전화번호가 개인정보라고 마스킹 처리하라고 하는데 어떻게 해야하죠? 일단 기본은 뒷자리 4개까지 마스킹 처리 하되, 업무 담당자가 해당 필드 더블클릭하면 원본 정보 보이도록 부탁드려요. ​​​​​​​​ 얼마만큼 ​