9/25 보안뉴스 정리

"4차 산업혁명은 SW 혁명, 사이버 보안이 초석이다"

 

SW가 4차 산업의 중심이다. 따라서 4차 산업혁명에서의 SW 요구사항은 기존보다 증가할 것이다.

 

@블랙 햇 해커 (<-> 화이트 햇 해커): 악의적 목적의 정보 체계 침입, 소프트웨어 변조, 컴퓨터 바이러스 유포 등의 행휘로 해를 끼치는 해커

 

SW 취약성은 코드 취약성, 운영상의 구성 취약성으로 나뉜다.

대형 SW 취약점은 심각성의 정도가 크고, 로컬에서 개발된 응용 SW는 심각한 정도가 상대적으로 낮다.

 

*미국 국토안보부(DHS)가 분석한 범죄자의 공격 경로

▷ 악성코드 전자우편 -> 스피어 피싱, 스팸 이용 악성코드

▷ 악성코드 웹 -> 취약점을 이용한 악성코드

▷ 웹 공격: 웹 코드 취약성을 이용한 공격

▷ 계정탈취: 컴퓨터 및 SNS 계정 탈취

▷ DDoS 공격: 네트워크 손상

 

@APT 공격: 지능적인 방법을 사용해서 지속적으로 특정 대상을 공격하는 것 하나의 대상을 목표로 정한 후에, 내부로 침입을 성공할 때까지 다양한 IT 기술과 공격방식을 기반으로 여러 보안 위협을 생산하여 공격을 멈추지 않는 것이 특징이다. -> 백신 하나만으로 해결되지 않는다.

 

*사이버 공격 기법 TOP 10

1. Dos/DDos 공격

2. 중간 가로채기 공격(MitM: Man-in th-Middle attack)

3. 스피어 피싱, 스팸

4. 드라이브 바이 다운로드 공격(Drive-by-download attack)

5. 계정 탈취(Password attck)

6. 웹 SQL 인젝션 공격

7. 웹 XSS 공격

8. 감청(Eavesdropping)

9. 해시 공격(Birthday attack)

10. 악성코드

 

@데브옵스(DevOps)

: 애플리케이션과 서비스를 빠른 속도로 제공할 수 있도록 조직의 역량을 향상시키는 문화 철학, 방식 및 도구의 조합. 기존의 소프트웨어 개발 빛 인프라 관리 프로세스를 사용하는 조직보다 제품을 빠르게 혁신적으로 개선할 수 있다.

기본적으로 통합과 테스트, 딜리버리 프로세스를 자동화, 소프트웨어 개발 프로세스를 지속적으로 반봅하는 프로세스로 전환하는 기법이다.

 

@데브섹옵스(DevSecOps : Secure DevOps)

: 데부옵스 기법에 보안을 더한 방법이다. 

SDLC 절차(요구사항 분석, 설계, 개발, 시험, 운영)를 준수하면서 성능을 크게 개선할 수 있는 4가지 키워드

= CAMS(문화(C), 자동차(A), 측정(M), 공유(S)) 

 

 

기사 링크: http://m.boannews.com/html/detail.html?idx=72210&page=1&kind=2