반응형
가. 취약점 개요
사례1 : 하드코드된 암호키 코드
내부에 암호화 키를 하드코딩하여 사용하여 암호화를 수행하면 암호화된 정보가 유출될 가능성이 높아진다.
사례2 : 주석문 안에 포함된 암호키
주석문 안에 암호키에 대한 설명이 포함된 경우 공격자가 소스코드에 접근할 수 있다면 아주 쉽게 암호키가 노출될 수 있다.
나. 설계시 고려사항
① DB데이터 암호화에 사용되는 암호키는 한국인터넷진흥원의 「암호 키 관리 안내서」에서 정의하고 있는 관리 방법을 적용해야 한다.
암호키 사용 유효기간 암ㆍ복호화 키의 사용이 일정 기간을 넘은 경우 사용자 인터페이스로 키 사용 기간이 경과했음을 알리고 새로운 키 생성을 권장하도록 설계한다
② 설정파일(xml, Properties)내의 중요정보 암호화에 사용되는 암호키는 암호화해서 별도의 디렉터리에 보관해야 한다.
설정파일 내의 중요정보 암호화에 사용된 암호키는 마스터키를 이용하여 암호화하여 별도의 디렉터리에 보관한다.
[테스트 문제]
문제: 보안대책 서술하시오.
1. DB 데이터 암호화에 사용되는 암호키는 한국인터넷진흥원의 암호이용안내서에서 정의하고 있는 방법을 적용해야 한다.
2. 설정파일 내의 중요정보 암호화에 사용되는 암호키는 암호화해서 별도의 디렉토리에 보관해야 한다.
반응형
