■ 코드오류 타입 변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩 오류로 인해 유발되는 보안약점이다. 부적절한 자원 해제 ■ 개요 프로그램의 자원, 예를 들면 열린 파일디스크립터(Open File Descriptor), 힙 메모리(Heap Memory), 소켓(Socket) 등은 유한한 자원이다. 이러한 자원을 할당 받아 사용한 후, 더 이상 사용하지 않는 경우 에는 적절히 반환하여야 하는데, 프로그램 오류 또는 에러로 사용이 끝난 자원을 반환하지 못하는 경우이다. ■ 안전한 코딩 기법 자원을 획득하여 사용한 다음에는 반드시 자원을 해제하여 반환한다. 코드예제 try구문 내 처리 중 오류가 발생할 경우, close() 메소드가 실행되지 않아 사용한 자원이 반환되..
■ 보안기능 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 부적절하게 구현 시 발생할 수 있는 보안약점으로 적절한 인증 없는 중요기능 허용, 부적절한 인가 등이 포함된다. 적절하지 않은 난수 값 사용 ■ 개요 예측 가능한 난수를 사용하는 것은 시스템에 보안약점을 유발한다. 예측 불가능한 숫자가 필요한 상황에서 예측 가능한 난수를 사용한다면, 공격자는 SW에서 생성되는 다음 숫자를 예상하여 시스템을 공격하는 것이 가능하다. ■ 안전한 코딩 기법 난수 발생기에서 시드(Seed)를 사용하는 경우에는 고정된 값을 사용하지 않고 예측하기 어려운 방법으로 생성된 값을 사용한다. python에서 random 모듈은 주로 보안목적이 아닌 게임, 퀴즈 및 시뮬레이션을 위해 설계되었다. 세션 ID, 암호..
■ 시간 및 상태 동시 또는 거의 동시 수행을 지원하는 병렬 시스템이나 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점이다. 경쟁조건: 검사시점과 사용시점(TOCTOU) ■ 개요 병렬시스템(멀티프로세스로 구현한 응용프로그램)에서는 자원(파일, 소켓 등)을 사용하기에 앞서 자원의 상태를 검사한다. 하지만, 자원을 사용하는 시점과 검사하는 시점이 다르기 때문에, 검사하는 시점(Time Of Check)에 존재하던 자원이 사용하던 시점(Time Of Use)에 사라지는 등 자원의 상태가 변하는 경우가 발생한다.예를 들어, 프로세스 A와 B가 존재하는 병렬시스템 환경에서 프로세스 A는 자원사용(파일 읽기)에 앞서 해당 자원(파일)의 존재 여부를 검사(TOC)..
■ 보안기능 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 부적절하게 구현 시 발생할 수 있는 보안약점으로 적절한 인증 없는 중요기능 허용, 부적절한 인가 등이 포함된다. 충분하지 않은 키 길이 사용 ■ 개요 길이가 짧은 키를 사용하는 것은 암호화 알고리즘을 취약하게 만들 수 있다. 키는 암호화 및 복호화에 사용되는데, 검증된 암호화 알고리즘을 사용하더라도 키 길이가 충분히 길지 않으면 짧은 시간 안에 키를 찾아낼 수 있고 이를 이용해 공격자가 암호화된 데이터나 패스워드를 복호화 할 수 있게 된다.암호 알고리즘 및 키 길이 선택 시, 암호 알고리즘의 안전성 유지기간과 보안강도별 암호 알고리즘 키 길이 비교표를 기반으로 암호 알고리즘 및 키 길이를 선택하여야 한다. ■ 안전한 코딩 기법 ..
■ 코드오류 타입 변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩 오류로 인해 유발되는 보안약점이다. Null Pointer 역참조 ■ 개요 널 포인터(Null Pointer) 역참조는 '일반적으로 그 객체가 널(Null)이 될 수 없다'라고 하는 가정을 위반했을 때 발생한다.공격자가 의도적으로 널 포인터 역참조를 발생시키는 경우, 그 결과 발생하는 예외 상황을 이용하여 추후의 공격을 계획하는 데 사용될 수 있다.Python에서는 Null pointer dereference가 발생하지 않는다. Python에서는 Null 객체가 사용되지 않으며 대신 None 키워드를 사용하여 null 개체와 변수를 정의 한다. None은 다른 언어의 null과 동일한 기능을 수행하지..
■ 보안기능 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 부적절하게 구현 시 발생할 수 있는 보안약점으로 적절한 인증 없는 중요기능 허용, 부적절한 인가 등이 포함된다. 암호화되지 않은 중요정보(시큐어코딩 가이드) ■ 개요 많은 응용프로그램은 메모리나 디스크에서 중요한 정보(개인정보, 인증정보, 금융정보 등)를 처리한다. 이러한 중요정보가 제대로 보호되지 않을 경우, 보안이나 데이터의 무결성을 잃을 수 있다. 특히 사용자 또는 시스템의 중요정보가 포함된 데이터를 평문으로 송·수신 또는 저장할 때 인가되지 않은 사용자에게 민감한 정보가 노출될 수 있다. ■ 안전한 코딩 기법 개인정보(주민등록번호, 여권번호 등), 금융정보(카드번호, 계좌번호 등), 패스워드 등 중요정보를 저장하거나 통신..
시큐어코딩 관련 용어 정리 ● Developer Economics State of the Developer Nation, 20th Edition developernation.net에서 매년 165개국 30,000명 이상의 개발자들을 대상으로 설문조사를 하여 제공하고 있다. 웹, 모바일, 데스크톱, 클라우드, 산업용 IoT, 소비자 전자 제품, 임베디디소프트웨어, AR 및 VR등 다양한 분야의 설문을 실시하고 있다.● Developer AES(Advanced Encryption Standard) 미국 정부 표준으로 지정된 블록 암호 형식으로 이전의 DES를 대체하며, 미국 표준 기술 연구소 (NIST)가 5년의 표준화 과정을 거쳐 2001년 11월 26일에 연방 정보처리표준(FIPS 197)으로 발표하였다..
■ 에러처리 에러를 처리하지 않거나, 불충분하게 처리하여 에러 정보에 중요정보(시스템 내부정보 등)가 포함될 때, 발생할 수 있는 취약점으로 에러를 부적절하게 처리하여 발생하는 보안약점이다. 부적절한 예외 처리 ■ 개요 프로그램 수행 중에 함수의 결과 값에 대한 적절한 처리 또는 예외 상황에 대한 조건을 적절하게 검사 하지 않을 경우, 예기치 않은 문제를 야기할 수 있다. ■ 안전한 코딩 기법 값을 반환하는 모든 함수의 결과값을 검사하여, 그 값이 의도했던 값인지 검사하고, 예외 처리를 사용 하는 경우에 광범위한 예외 처리 대신 구체적인 예외 처리를 수행한다. 코드예제 다음 예제는 다양한 예외가 발생할 수 있음에도 불구하고 광범위한 예외 처리로 예외상황에 따른 적절한 조치를 처리 할 수 없다. 안전..
닌텐도 스위치는 인기 있는 휴대용 콘솔이지만, 사용 중 예상치 못한 오류가 발생할 수 있습니다. 특히 네트워크 연결 문제나 특정 오류 코드가 뜨는 경우 당황할 수도 있는데요. 이번 포스팅에서는 2025년 기준 최신 오류 코드와 해결 방법을 정리해 보았습니다. 네트워크 문제부터 대표적인 오류 코드까지 완벽 해결법을 소개하니 참고해 주세요! 닌텐도 스위치 네트워크 연결 문제 해결법 닌텐도 스위치에서 가장 흔한 문제 중 하나는 인터넷 연결 불안정 또는 접속 불가 현상입니다. 아래 해결 방법을 순서대로 따라 해보세요.1.1 와이파이 연결 안될 때 체크해야 할 사항인터넷 상태 확인: 다른 기기(스마트폰, PC)에서 와이파이 사용이 가능한지 확인합니다.닌텐도 서버 상태 확인: 닌텐도 온라인 서비스 상태 페이..
현대 IT 환경에서 데이터베이스 보안은 필수입니다. SQL Injection과 NoSQL Injection은 데이터베이스를 겨냥한 대표적인 공격 기법으로, 입력 값 검증 부족으로 발생합니다. 이 글에서는 두 공격 방식의 차이점과 주요 특징을 살펴보고, 이를 방어하기 위한 효과적인 보안 방법을 소개합니다. SQL과 NoSQL 환경을 제대로 이해해봅시다. 데이터를 유연하게 다루는 비관계형 데이터베이스(NoSQL)의 이해 NoSQL은 전통적인 관계형 데이터베이스 관리 시스템(RDBMS)와 달리, 고정된 스키마 없이 데이터 저장과 관리를 수행하는 비관계형 데이터베이스입니다. 다음은 NoSQL의 주요 특징과 장점을 설명합니다.1. NoSQL의 정의NoSQL은 "Not Only SQL"의 약자로, SQL ..
‘나는 솔로’ 24기에서 세련된 이미지로 주목받은 옥순은 방송 이후 과거 사진 공개와 외모 변화, 직업 논란 등 다양한 이슈로 화제를 모으고 있습니다. 성형수술과 난자 냉동 사실을 솔직히 털어놓으며 진정성을 드러낸 그녀는 여성으로서의 주체적인 삶의 선택과 꾸준한 자기 관리를 통해 건강미와 세련미를 겸비한 모습으로 많은 공감을 얻고 있습니다. 솔직함과 노력으로 팬들의 응원을 받고 있는 옥순의 이야기를 만나보세요. 옥순의 외모 변화, 직업 논란으로 주목받는 이유 ‘나는 솔로’ 24기 출연자인 옥순의 과거 사진이 공개되며 온라인이 뜨겁게 달아오르고 있습니다. 수수하고 풋풋한 매력이 돋보였던 과거의 모습과 현재의 세련되고 당당한 이미지가 비교되며 많은 이들의 관심을 끌고 있는데요. 특히, 온라인 커뮤니..
최민환과 율희의 이혼과 관련된 진실 공방이 여전히 뜨거운 화제를 모으고 있습니다. 결혼 생활 중 발생한 갈등과 서로의 입장을 둘러싼 주장이 이어지는 가운데, 대중은 양측의 책임을 두고 다양한 의견을 내놓고 있습니다. 이번 포스팅에서는 두 사람의 주요 주장과 논란을 정리하며 사건의 흐름을 살펴봅니다. 최민환, 율희와의 이혼 배경 공개: 반복된 갈등과 어려움 FT아일랜드 멤버 최민환이 율희와의 이혼에 대해 솔직한 입장을 밝혀 화제가 되고 있습니다. 매체 보도에 따르면, 2022년 하반기 최민환이 특정 장소에 출입한 사실이 알려지면서 위기가 있었지만, 이혼의 근본 원인은 율희의 자주 반복된 가출과 불규칙한 수면 습관이었다고 전해졌습니다. 최민환은 율희가 하루 18~20시간씩 잠을 자는 일이 있었고,..
'1박2일'에서 결혼 소식을 전한 김종민은 예비 신부와의 결혼 날짜와 사회자 라인업까지 공개하며 많은 이들의 관심과 축하를 받았습니다. 코요태 멤버로서 오랜 활동을 이어온 그는 다양한 예능에서도 활약하며 대중의 사랑을 받아왔으며, 이번 결혼 소식으로 새로운 출발을 예고했습니다. 김종민, '1박2일'에서 깜짝 결혼 발표로 주목받다 2025년 1월 12일 방송된 KBS 2TV '1박2일 시즌4'에서는 김종민이 결혼 소식을 전하며 화제를 모았습니다. 여섯 멤버가 새해 첫 여행을 떠나는 가운데, 김종민은 KBS 앞에서 중요한 발표를 하겠다고 예고했습니다. 그는 "오늘이 그날일 줄 몰랐다"며 2025년 새해 인사를 전한 후, "저 김종민, 장가 갑니다"라는 깜짝 선언으로 모두를 놀라게 했습니다. 이어 결..
뉴진스와 소속사 어도어 간의 갈등이 법적 공방으로 이어지고 있습니다. 어도어는 전속계약의 유효성을 주장하며 뉴진스의 독자 활동에 제동을 걸었고, 뉴진스는 소속사의 귀책 사유를 지적하며 민희진 전 대표와 함께하겠다는 입장을 고수하고 있습니다. 이와 더불어 민 전 대표의 '템퍼링' 의혹까지 불거지며, 사건의 전개는 더욱 주목받고 있습니다. 소속사의 제동, 독자 활동에 나선 뉴진스 뉴진스가 매니저를 통해 독립적으로 광고 계약을 시도하자, 소속사 어도어가 이를 제지하기 위해 법적 조치를 취했습니다. 어도어는 지난주 서울중앙지방법원에 "기획사 지위보전 및 광고계약 체결 등 금지 가처분"을 신청했다고 밝혔습니다. 이는 뉴진스 멤버들이 일방적으로 전속계약 해지를 선언하고, 광고주와의 독자적인 접촉을 이어가며..
