인터페이스설계확인
- 개발하고자 하는 응요소프트웨어와 연계 대상 모듈 간의 세부 설계서를 확인하여
- 일관되고 정형화된 인터페이스 기능 구현을 정의
- 공통적인 인터페이스 구현
- 실패 시 예외 처리 방안을 정의
- 인터페이스 보안 기능 적용
Sniffing 스니핑
- 데이터 통신 내역을 중간에서 감청하여 기밀성을 훼손할 수 있는 방법
- 주로 패킷 분석기 같은 툴을 통해서 진행
Secure Coding 시큐어 코딩
- 대표적인 엡 애플리케이션의 보안 취약점 발표 사례인 OWASP; Open Web Application Security Project 참고 KISA에서 SW보안 약점 가이드 발표
- 항목
- 입력 데이터 검증 및 표현
- API 이용
- 보안 특성
- 시간 및 상태
- 에러 처리
- 코드 품질
- 캡슐화
네트워크 구간 보안 기능 적용
- 인터페이스 송수신 간 중간자에 의한 데이터 탈취 위/변조를 막기 위해서는 네트워크 트래픽에 대한 암호화 필요
- 아키텍처에 따라 다양한 방식으로 보안 기능 적용
애플리케이션 보안 기능 적용
- 애플리케이션 구현 코드상에 보안 취약점을 보안하는 방향으로 애플리케이션 보안 기능을 적용
- 고려사항
- 비인가자 접근 권한 관리
- 악의적 코드 삽입 금지
- 악의적 시도 시 에러 처리
데이터베이스에 보안 기능 적용
- 접근 권한 및 동작 개체의 보안 취약점을 보안하기 위해 보안 기능을 적용
- 민감 데이터는 데이터 자체의 보안 방안도 고려
- 고려사항
- 데이터베이스 접근 권한
- 악의적 코드 삽입 금지
- 민감 데이터 관리
- 악의적 시도시 에러 처리
데이터베이스 암호화 알고리즘
- 대칭 키
- 해시
- 비대칭 키 알고리즘
데이터베이스 암호화 기법
- 애플리케이션에서 암호화를 수행하는 API방식과 데이터베이스에서 아ㅁ호활르 수행하는 Plug-in방식, 이 둘을 혼합한 Hybrid방식
