보안 8

Secure Coding 메뉴얼 3편

안녕하세요. 이번 Secure Coding 메뉴얼 3편에서는 TestCase와 점검도구에 대해 알아보도록 하겠습니다. Secure Coding 전편은 아래 링크를 통해 확인해주세요. ▶ Secure Coding 메뉴얼 1편 ▶ Secure Coding 메뉴얼 2편 1. TestCase 1.1 회원가입 구분 보안요구항목 점검내용 SR1-1 DBMS 조회 및 결과 검증 중복아이디 검색을 위한 사용자ID에 쿼리를 조작할 수 있는 입력값으로 SQL 삽입공격이 시도될 수 있으므로 입력값 검증 우편번호 검색을 위한 입력값 조작하여 SQL 삽입 공격이 시도될 수 있으므로 입력값 검증 필요 SR1-5 웹 서비스 요청 및 결과 검증 회원가입을 위한 입력정보에 악의적인 스크립트가 포함 될 수 있으므로 입력값 검증 필요 S..

백엔드 2019.11.18

Secure Coding 메뉴얼 2편

안녕하세요. 이번 Secure Coding 2편에서는 보안 요구 사항 정의와 시큐어 코딩에 대해 알아보도록 하겠습니다. Secure Coding 1편의 내용은 아래 링크를 통해 확인해주세요. ▶ Secure Coding 메뉴얼 1편 1. 보안 요구 사항 정의 1.1 입력 데이터 검증 및 표현 1.1.1 SR1-1 구분 항목 요구 사항 내용 SR1-1 DBMS 조회 및 결과 검증 1. 애플리케이션에서 DB연결을 수행할 때 최소 권한의 계정을 사용해야 한다. 2. 외부 입력값이 삽입되어 SQL쿼리문을 동적으로 생성해서 실행하지 않도록 해야 한다. 3. 외부 입력값을 이용해 동적으로 SQL쿼리문을 생성해야 하는 경우 입려값에 대한 검증을 수행한 뒤 사용해야 한다. ▶ 데이터베이스와 연동되어 있는 어플리케이션의..

백엔드 2019.11.11

Secure Coding 메뉴얼 1편

1. 개요 소프트웨어 개발 보안 [배경] - 인터넷상 공격의 약 75%는 SW보안취약점을 악용하는 것으로, 특히 외부에 공개되어 불특정 다수를 대상으로 사용자 정보를처리하는 Web Application 취약점으로 인한 중요 정보가 유출되는 침해 사고가 빈번하게 발생하고 있음 - 미국의 경우 국토안보부를 중심으로 시큐어코딩을 포함한 SW개발 전 과정에 대한 보안 활동 연구를 활발히 진행 - 국내의 경우 행안부 시큐어코딩이 적용되는 대상 언어는 JAVA, C, 안드로이드 이며, 소프트웨어 업체는 SQL삽입, 크로스사이트스크립트 등 43개의 보안 취약점을 제거해야 함 - 2017년 정보 시스템 등급별 보안 관리 가이드라인을 개발하였으며 2018년 3월에는 정보 시스템 등급제 적용 근거를 행안부 고시인 ‘정보 ..

백엔드 2019.11.04

이상금융거래 탐지 시스템(FDS)

2001년, 어떤 해커가 PayPal 계정에 침투하여 여러 계정에서 소액을 이체해가는 사건이 발생합니다. 이 사건을 맡은 FBI는 대대적인 수사에 착수했지만 큰 성과를 내지는 못했습니다. 이에 PayPal은 스스로를 지켜야겠다는 판단 하에 보안탐지시스템을 구축했고, FDS가 세상에 나타나게 되었습니다. 이미 FDS는 알게 모르게 우리의 실 생활에 많이 적용되어 있습니다. 아래의 사진은 FDS란 무엇인가를 알려주는 대표적인 사례라 할 수 있겠습니다. 이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 핀테크, 빅데이터등 새로운 금융과 IT융합 시장이커짐에 따라 금융 보안의 패러다임이 변화하고 있습니다. 국내의 보안 규제 완화 및 간편결제 확대등 이용자의 편의성 위주로 결제 및 금융 환경이 ..

유용한 정보 2017.08.16

[번역] 마이크로 서비스 보안을 위한 10가지 팁

이번 아티클은 원작자 Scott Matteson의 동의를 얻어서 “10 tips for securing microservice architecture” 글을 번역하였습니다. 참고적으로 10가지 tip 부분은 최대한 원래 의미를 가져가면서 의역을 하였습니다.원본 : http://www.techrepublic.com/article/10-tips-for-securing-microservice-architecture/10 tips for securing microservice architecture 마이크로 서비스는 소프트웨어 개발을 가속화하고 개선하는 혁신적인 방법입니다. 이 용어는 개별적으로 개발할 수 있고 종종 특정 기능에 초점을 맞추는 응용 프로그램 하위 구성 요소 (재료 고려)를 나타냅니다. 예를 들어..

프론트엔드 2017.04.12

핀테크 오픈플랫폼 구축 방안

금융위원회는 2015년 7월 핀테크 산업 발전을 위한 인프라 구축의 필요성을 느끼고 금융권과 핀테크 기업의 의견을 수렴하여 금융권 공동 핀테크 오픈 플랫폼 구축 계획을 발표합니다. [핀테크 오픈 플랫폼 개념도] 창조경제를 지향하며 금융 서비스 활성화 및 핀테크 기업의 사업 활성화 방안으로 핀테크 오픈플랫폼 구축 사업을 계획하고 시작하였습니다. 계획대로 올해 핀테크 오픈 플랫폼 서비스를 시작한다면 세계 최초의 금융 오픈 플랫폼을 운영하는 나라가 된다고 합니다.OPEN API 방식으로 핀테크 오픈 플랫폼이 구축되면 , API 방식으로 서비스를 구축하고 이용할 수 있어서새로운 금융 서비스를 손쉽게 개발하고 이용자들이 그 서비스를 보다 빠르게 접해볼 수 있는 이점이 있어서 핀테크 관련 업체나 일반 사용자 모두에..

프론트엔드 2016.06.09

[웹포넌트 가상키보드] 다운로드부터 설치까지!!

[웹포넌트 가상키보드] 다운로드부터 설치까지 같이 해볼까요? 두달전쯤 webPonent VIRTUAL KEY(웹포넌트 가상키보드)를 출시하고 '박토끼' MD가 직접 소개글을 써주셨는데요. 이번글에서는 제가 가상키보드를 다운로드에서 부터 설치까지 진행해보고 직접 사용까지 해보겠습니다. 웹포넌트 가상키보드는 가격이 저렴할뿐만 아니라 30일간 사용 할 수 있는 트라이얼 버전을 제공해서 무료로 현재 서비스하는 페이지에 직접 적용 시켜 바로 확인 할 수 있습니다. 바로 다운로드할 수 있는 페이지로 가볼게요! 웹사이트로 이동 을 누르시면 웹포넌트 사이트로 이동하는데요 아래와 같이 중간쯤에 보면 CHART, GRID 제품외에 가상키보드 제품 메뉴가 보입니다. 위에 빨간색 네모박스 버튼을 누르면 트라이얼 다운로드 페이..

멀티 디바이스 환경을 위한 웹 표준 보안

웹 보안은 정보 접근 방법이 다양해 지고 손쉬워 지면서 점점 그 중요성이 커지는 분야입니다. 우리나라는 공인인증서라는 독특한(?) 솔루션을 바탕으로 키보드 보안, E2E, 개인 방화벽등 ActiveX 또는 OS 레벨에 설치되는 실행 프로그램을 통해 정보 보안을 처리하는 형태로 거의 20여년 동안 유지되고 있습니다. 문제는 이러한 방식이 모바일 환경이나 표준 웹 방식에서는 전혀 이용할 수 없는 비표준 방식이기 때문에 앞으로 공인인증서 기반의 보안은 없어질것으로 조심스럽게 기대해 봅니다. 그럼 모바일 환경이나 표준 웹 환경에서 보안을 강화하기 위한 웹 표준 방법으로 어떤것이 있는지 알아보겠습니다. 1.통신 보안 웹에서 통신보안의 기본은 SSL 입니다. Secure Socket Layer Protocol 기반..

프론트엔드 2015.08.26