15. 인터페이스보안 - 인터페이스 구현 2 - 1 과목 소프트웨어 구축

15. 인터페이스보안 - 인터페이스 구현 2 -  1 과목 소프트웨어 구축

이번 파트에서는 지난 인터페이스 구현에 이어 인터페이스 보안에 대해 이야기해보고자 합니다. 네트워크 파트에서 나오는 공격기법이 중복되니, 자주보시는 것이 나쁘지 않습니다. 스니핑이나 스푸핑 등 자주 출제되는 개념은 꼭 확인하시고 지나가시길 바랍니다. 

늘 그렇듯 암기하려 보시기보다 천천히 읽어보시길 추천드립니다.

목차

인터페이스 보안

인터페이스 보안은 시스템의 인터페이스를 보호하고 안전하게 유지하는 것을 의미합니다.

인터페이스는 시스템 간의 상호 작용을 담당하며, 이러한 상호 작용은 보안 위협에 노출될 수 있습니다.

따라서 인터페이스 보안은 시스템 전체의 안전성을 유지하기 위해 중요합니다.

 

소스 보안은 시큐어 코딩, network에서는 ipsec, ssl, s-hppt, DB는 플러그인 등을 이용합니다.

1. 인증과 권한 부여:
   • 인터페이스에 접근하는 사용자 또는 시스템을 인증하고 적절한 권한을 부여하여 미인가된 액세스를 방지합니다. 강력한 인증 및 권한 관리 메커니즘이 필요합니다.
2. 데이터 암호화:
   • 데이터를 전송하거나 저장하기 전에 암호화하여 중요한 정보가 유출되는 것을 방지합니다. HTTPS와 같은 암호화된 통신 프로토콜을 사용하여 데이터의 기밀성을 보호할 수 있습니다.
3. API 보안:
   • 인터페이스를 통해 노출되는 API(Application Programming Interface)를 보호합니다. API 보안을 강화하기 위해 API 키, OAuth 토큰 등의 메커니즘을 사용할 수 있습니다.
4. 입력 유효성 검사:
   • 사용자가 제공하는 입력 데이터를 검증하여 악의적인 입력을 방지합니다. 입력 유효성 검사는 SQL 삽입, 크로스 사이트 스크립팅(XSS) 등의 공격을 방어하는 데 도움이 됩니다.
5. 세션 관리:
   • 세션을 안전하게 관리하여 세션 위조 및 세션 하이재킹과 같은 공격을 방지합니다. 세션 식별자를 안전하게 전송하고 저장하는 것이 중요합니다.
6. 보안 업데이트:
   • 인터페이스를 구성하는 소프트웨어 및 하드웨어 구성 요소를 최신 상태로 유지하여 알려진 보안 취약점에 대비합니다. 정기적인 보안 업데이트와 패치 관리가 필요합니다.
7. 모니터링과 로깅:
   • 인터페이스 활동을 모니터링하고 로그를 기록하여 잠재적인 보안 위협을 탐지하고 대응할 수 있습니다. 이러한 로그는 사고 조사 및 보안 감사를 지원합니다.

인터페이스 보안 취약점 분석

스니핑 (Sniffing)

네트워크상에서 전송 되는 패킷을 가로체는 행위.

스푸핑 (Spoofing)

IP 주소나 다른 식별자를 위장하여 다른 사용자를 속이는 행위

 

네트워크 영역

인터페이스 송수신 간 스니핑등을 이용한 데이터 탈취 및 변조 위협 방지 위해 네트워크 트래픽에 대한 암호화 설정 필요

• 암호화 설정 필요: 네트워크 상에서 전송되는 데이터의 기밀성을 보호하기 위해 암호화 설정이 필요합니다. 스니핑 공격을 통해 데이터 탈취를 방지하기 위해 네트워크 트래픽을 암호화하는 것이 중요합니다.
• IPsec (Internet Protocol Security): IPsec는 네트워크 계층에서 데이터를 보호하기 위한 프로토콜입니다. IPsec를 사용하여 데이터의 기밀성, 무결성 및 인증을 보장할 수 있습니다.
• SSL/TLS: SSL(TLS)은 전송 계층에서 데이터를 보호하기 위한 프로토콜로, 웹 서버와 클라이언트 간의 통신을 안전하게 보호하는 데 사용됩니다.
• S-HTTP (Secure HTTP): S-HTTP는 HTTP를 기반으로 한 데이터 전송 보안 프로토콜로, 데이터 전송 시에 암호화를 적용하여 보안을 강화합니다.

 

애플리케이션 영역

시큐어코딩: 애플리케이션 개발 시 보안 취약점을 최소화하기 위해 적절한 보안 코딩 기법을 적용해야 합니다. 예를 들어, 입력 유효성 검사, 적절한 인증 및 권한 부여, 출력 필터링 등의 기법을 사용하여 보안 취약점을 방지할 수 있습니다.

 

DB 영역

db, 스키마, 엔티티의 접근 권한과 프로시저 트리거 등 DB 동작 객체의 보안 취약점 주의

• 접근 권한 관리: 데이터베이스 객체(테이블, 스키마, 프로시저 등)에 대한 접근 권한을 적절히 관리하여 불법적인 접근을 방지해야 합니다. 최소 권한 원칙을 따라 사용자에게 필요한 최소한의 권한만 부여해야 합니다.
• 프로시저와 트리거 보안: 데이터베이스 내의 프로시저와 트리거를 사용할 때 보안 취약점에 대한 주의가 필요합니다. 프로시저와 트리거를 작성할 때 입력 유효성 검사 및 적절한 권한 부여를 고려해야 합니다

 

인터페이스 구현 검증

인터페이스 구현 검증 도구

도구	설명
xunit	xUnit은 단위 테스트를 자동화하기 위한 테스트 프레임워크입니다. 주로 소프트웨어 개발자들이 코드의 정확성을 검증하고 테스트할 때 사용됩니다. 다양한 언어에 대한 xUnit 구현체가 존재합니다.
STAF	STAF(Software Testing Automation Framework)는 소프트웨어 테스트 자동화를 위한 프레임워크로, 여러 플랫폼에서 다양한 테스트 환경을 자동화하고 관리할 수 있도록 지원합니다. 서비스 호출 및 컴포넌트 재사용 등 다양한 환경을 지원하는 테스트 프레임워크
FitNesse	FitNesse는 테스트 케이스를 기술하는 위키를 제공하는 도구로, 비 개발자들도 테스트 케이스를 기술하고 실행할 수 있습니다. 비즈니스 요구사항과 소프트웨어 기능 간의 일치 여부를 검증합니다. 웹 기반 테스트 케이스 설계, 실행, 결과 확인 등을 지원하는 테스트 프레임 워크
NTAF	NTAF(Network Testing Automation Framework)는 네트워크 기반 시스템의 테스트 자동화를 지원하는 프레임워크입니다. 네트워크 장비 및 프로토콜 테스트, 장비 간 통신 테스트 등을 수행할 수 있습니다. FitNesse + STAF 장점을 모아서 naver에서 만든 프레임워크
Selenium	Selenium은 웹 애플리케이션을 위한 자동화 테스트 도구로, 웹 브라우저를 자동으로 제어하여 웹 애플리케이션의 기능을 테스트합니다. 다양한 브라우저와 플랫폼을 지원합니다.
Watir	Watir은 Ruby로 작성된 웹 애플리케이션 테스트 도구로, 브라우저를 자동화하여 웹 애플리케이션의 기능을 테스트합니다. Selenium과 유사한 기능을 제공하지만 Ruby 기반으로 동작합니다.

 

인터페이스 구현 감시도구

APM

APM(Application Performance Monitoring) 도구가 주로 사용됩니다. APM 도구는 애플리케이션의 성능 및 작동 상태를 실시간으로 모니터링하고 관리하는 데 사용됩니다. APM 도구는 다양한 기능을 제공하여 애플리케이션의 성능 문제를 식별하고 해결하는 데 도움이 됩니다.

 

스카우터, 제니퍼

1. 스카우터(Scouter):
   • 스카우터는 Java 애플리케이션의 모니터링 및 성능 관리를 위한 오픈 소스 APM 도구입니다. 주로 분산 환경에서 동작하는 대규모 Java 애플리케이션을 모니터링하기 위해 사용됩니다.
   • 스카우터는 실시간 트랜잭션 모니터링, 성능 통계 및 리포트, 자원 사용량 모니터링 등의 기능을 제공합니다. 또한 분산 시스템의 구성 요소 간의 의존성을 시각화하여 문제 해결에 도움이 됩니다.
   • 스카우터는 에이전트 기반 모니터링 방식을 사용하여 애플리케이션의 상태 및 성능 데이터를 수집하고 분석합니다.
2. 제니퍼(JENNIFER):
   • 제니퍼는 한국의 기업인 N3N에서 개발한 APM 및 IT 오퍼레이션 인텔리전스(OI) 도구입니다. 주로 대규모 웹 애플리케이션 및 서버 환경의 모니터링에 사용됩니다.
   • 제니퍼는 실시간 트랜잭션 모니터링, 애플리케이션 성능 분석, 이벤트 관리, 자원 사용량 및 로그 모니터링 등의 기능을 제공합니다. 또한 사용자 정의 대시보드와 리포트를 제공하여 성능 및 가용성에 대한 종합적인 시각화를 제공합니다.
   • 제니퍼는 강력한 분석 기능을 제공하여 성능 문제의 원인을 신속하게 식별하고 해결할 수 있도록 도와줍니다. 또한 알람 및 이벤트 관리 기능을 통해 문제 발생 시 즉각적으로 대응할 수 있습니다.