시작 하기 앞서

망했다. 기대도 안했던 필기가 붙는 바람에
면접준비하다보니 시간을 다날렸다.
근데 면접도 그래 잘 본편은 아니다..
준비한거에 비해 예상과 달리 나왔기 때문,,
그래도 이렇게 계속 면접 준비하다보면 늘겠지?

출제유형

• 직업기초능력평가 : 의사소통능력, 수리능력, 문제해결능력, 정보능력
• 직무수행능력평가 : 데이터베이스, 소프트웨어공학, 운영체제, 정보보안, 컴퓨터네트워크

시간이 없으니 가장 약한 부분인 정보보안쪽을 보겠다.
하지만 컴일반에는 없어서
정보처리기사를 샀다
여기에는 정보시스템 구축관리라는 대제목으로
정보보안과 소프트웨어공학이 섞여있다.
디비는 객관식이면 풀겠고, 컴네는 모르겠고 운체는 조금이라도 했으니
희망을 걸어보자 공부기간 단 이틀!
이번에도 나올거 같은거만 골라서 공부하겠다

소프트웨어 개발 보안 구축

Secure SDLC

SDLC(소프트웨어 개발 생명주기)를 각단계를 보안을 고려한다는 개념임.
대표적인 방법론 : CLASP, SDL, Seven Touchpoints
보안요소 : 기밀성(인가된 사용자만 접근),
무결성(인가된 사용자만 수정가능),
가용성(인가된 사용자는 언제든 가능),
인증, 부인방지

세션하이재킹

서버에 접속한 크라이언트들의 세션 정보 가로채는 공격기법
탐지방법 : 비동기화 상태감지, ACK Storm 탐지, 패킷의 유실 탐지, 예상치 못한 접속의 리셋 탐지

암호 알고리즘

개인키 암호화

대칭 암호화로 개인 키를 이용해 암호화 복호화 둘다함
그래서 암호화 대상이 n개면 사용되는 키 개수는 n(n-1)/2임
예시로는 DES, SEED, AES, ARIA 등이 있음. 얘들은 하나의 데이터 단위로 블록 암호화
RC4, LFSR은 평문과 동일한 길이로 단위 암호화로 스트림 암호화

공개키 암호화

비대칭 암호화로 공개키로 암호화하고 비밀키로 복호화함
키 개수는 2n임
예시로는 RSA, ECC

해시 암호화

이건 뭐 복호화가 거의 불가능임
해시함수로 암호화시키고 앞에 값(salt)을 넣어 중복방지해줌
예시로 MD5, SHA등이 있음

서비스 공격 유형

Ping of Death

패킷의 크기를 허용범위 이상으로 전송해 네트워크 마비

SMURFING

IP와 ICMP 특성 악용해 엄청난 양의 데이터 집중 포화로 불능상태

SYN Flooding

TCP는 신뢰성 전송을 위해 3-way-handshake 를 거치는데
이를 가상 클라이언트로 위장해 의도적으로 중단시켜 대기상태로 만듦

TearDrop

데이터 송수신에 분할 순서를 나타내는 Offset값을 변경해
재조립실패시킴

Land

송신 IP를 수신 IP로 바꿔 무한 반복

DDoS

네트워크 취약한 host에 공격툴 깔아 Agent를 여러 만들어
한 서버에 분산 공격으로 마비