원래 2021년으로 변경되었으나 가이드에 적용되지 않고 2022년부터 반영됩니다. 영향 #정보보안기사 #보안약점진단원 #정보시스템감리사 등의 시험에 영향을 미칩니다. 첨부파일 소프트웨어 개발 보안 가이드_202110.pdf 파일 다운로드
첨부파일 소프트웨어 개발 보안 가이드 개정(요약).hwp파일 다운로드
첨부파일 소프트웨어 보안 취약점 기준(제52조 관련).hwp파일 다운로드
□ 주요 개정내용 o S/W 보안 취약점 진단 대상 및 절차 등이 유사한 보안 취약점 기준 통합(8건→4건)에 따른 개정 사항 반영
(개정 전) 보안 취약점(개정 후) 보안 취약점 가이드 XPath 삽입 XML 삽입 p.174XQuery삽입중요정보평문저장암호화되지않은중요정보p.226증요정보평문전송 하드코드된비밀번호하드코드된중요정보p.235 하드코드된 암호화 키 오류 메시지로 인한 정보 노출 오류 메시지 정보 노출 p.285 시스템 데이터 정보 노출
o 중요도나 발생 빈도 등을 고려하여 추가된 신규 보안 취약점(6건)에 대한 보안 취약점 개요, 보안 대책, 코드 예제를 상세하게 기술신규 보안 약점 설명 가이드 코드 삽입 과정이 외부 입력 값을 코드(명령)·실행 가능하며, 프로세스로 검증되지 않은 외부 입력 값을 허가할 경우 악성 코드가 실행 가능한 보안 약점 p.143부적절한 XML외부 객체 참조 적절한 검증 없이 XML외부 객체를 참조하고 공격자의 공격 수단으로 사용되는 보안 약점 p.170서버 측 요구 가짜 서버 간 처리되는 요구에 검증되지 않은 외부 입력 값을 허용하고 공격자가 의도한 서버에 전송 또는 변조하는 보안 약점 p.191부적절한 전자 서명 확인 프로그램 라이브러리의 유효성, 공격자의 검증 프로그램에 대한 공격자의 검증.253부적절한 증명서 유효성 검증 증명서에 대한 유효성 검증이 적절하지 않기 때문에 발생하는 보안 약점 p.255신뢰할 수 없는 데이터의 역 직렬화 악의적인 코드가 삽입, 수정된 직렬화 데이터를 적절한 검증 없이 역 직렬화하고 발생하는 보안 약점*직렬화:객체를 전송 가능한 데이터 형식으로 변환*역 직렬화:직렬화된 데이터를 원래의 객체에 복원 p.309신규 보안 취약점 설명 가이드 코드 삽입 프로세스가 외부 입력값을 코드(명령어)로 해석 및 실행할 수 있고 프로세스에 검증되지 않은 외부 입력값을 허용한 경우 악의적 코드가 실행 가능한 보안 취약점 p.143 부적절한 XML 외부 객체 참조 적절한 검증 없이 XML 외부 객체를 참조하여 공격자의 공격수단으로 사용되는 보안 취약점 p.170 서버 사이드 요구 위조 서버 간 처리되는 요구에 검증되지 않은 외부 입력값을 허용하여 공격자가 의도한 서버로 전송 또는 변조하는 보안 취약점 p.191 부적절한 전자서명 확인 프로그램, 라이브러리의 유효성, 공격자 검증 프로그램에 대한 공격자의 검증.253 부적절한 인증서 유효성 검증 인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안 취약점 p.255 신뢰할 수 없는 데이터의 역직렬화 악의적 코드가 삽입 수정된 직렬화 데이터를 적절한 검증 없이 역직렬화하여 발생하는 보안 취약점 *직렬화 : 객체를 전송 가능한 데이터 형식으로 변환 * 역직렬화 : 직렬화된 데이터를 원래 객체로 복원 p.309#정보보안기사 필기 #정보보안기사 실기