변경된 소프트웨어 개발 보안 가이드

원래 2021년으로 변경되었으나 가이드에 적용되지 않고 2022년부터 반영됩니다. 영향 #정보보안기사 #보안약점진단원 #정보시스템감리사 등의 시험에 영향을 미칩니다. 첨부파일 소프트웨어 개발 보안 가이드_202110.pdf 파일 다운로드첨부파일 소프트웨어 개발 보안 가이드 개정(요약).hwp 파일 다운로드첨부파일 소프트웨어 보안 취약점 기준(제52조 관련).hwp파일 다운로드□ 주요 개정내용 o S/W 보안 취약점 진단 대상 및 절차 등이 유사한 보안 취약점 기준 통합(8건→4건)에 따른 개정 사항 반영(개정 전) 보안 취약점(개정 후) 보안 취약점 가이드 XPath 삽입 XML 삽입 p.174XQuery삽입중요정보평문저장암호화되지않은중요정보p.226증요정보평문전송 하드코드된비밀번호하드코드된중요정보p.235 하드코드된 암호화 키 오류 메시지로 인한 정보 노출 오류 메시지 정보 노출 p.285 시스템 데이터 정보 노출o 중요도나 발생 빈도 등을 고려하여 추가된 신규 보안 취약점(6건)에 대한 보안 취약점 개요, 보안 대책, 코드 예제를 상세하게 기술신규 보안 약점 설명 가이드코드 삽입 과정이 외부 입력 값을 코드(명령)·실행 가능하며, 프로세스로 검증되지 않은 외부 입력 값을 허가할 경우 악성 코드가 실행 가능한 보안 약점 p.143부적절한 XML외부 객체 참조 적절한 검증 없이 XML외부 객체를 참조하고 공격자의 공격 수단으로 사용되는 보안 약점 p.170서버 측 요구 가짜 서버 간에서 처리되는 요구에 검증되지 않은 외부 입력 값을 허용하고 공격자가 의도한 서버에 전송 또는 변조하는 보안 약점 p.191부적절한 전자 서명 확인 프로그램 라이브러리의 유효성 검증 증명서에 대한 유효성 검증이 적절하지 않기 때문에 발생하는 보안 약점 p.255신뢰할 수 없는 데이터의 역 직렬화 악의적인 코드가 삽입, 수정된 직렬화 데이터를 적절한 검증 없이 역 직렬화하고 발생하는 보안 약점*직렬화:객체를 전송 가능한 데이터 형식으로 변환*역 직렬화:일련화된 데이터를 원래의 객체에 복원 p.309신규 보안 취약점 설명 가이드 코드삽입 프로세스가 외부입력값을 코드(명령어)로 해석 실행할 수 있고 프로세스에 검증되지 않은 외부입력값을 허용한 경우 악의적 코드가 실행 가능한 보안취약점 p.143 부적절한 XML 외부객체 참조 적절한 검증 없이 XML 외부객체를 참조하여 공격자의 공격수단으로 사용되는 보안취약점 p.170 서버사이드요구위조서버간 처리되는 요구에 검증되지 않은 외부입력값을 허용하여 공격자가 의도한 서버로 전송 또는 변조하는 보안취약점 p.191 부적절한 전자서명확인 프로그램, 라이브러리의 유효성검증증명서에 대한 유효성검증이 적절하지 않으므로 발생한다.255 신뢰할 수 없는 데이터의 역직렬화 악의적 코드가 삽입 수정된 직렬화 데이터를 적절한 검증 없이 역직렬화하여 발생하는 보안 취약점 *직렬화 : 객체를 전송 가능한 데이터 형식으로 변환 * 역직렬화 : 시리얼화된 데이터를 원래 객체로 복원 p.309#정보보안기사 필기 #정보보안기사 실기