ITPE * JackerLab

개요Information Flow Control(IFC)은 시스템 내에서 데이터가 어떻게 흐르고, 누가 어떤 정보를 접근하고 전달할 수 있는지를 제어하여 정보 유출과 오용을 방지하는 보안 기술이다. 단순한 접근 제어를 넘어서, 민감 정보가 부적절하게 전파되는 경로 자체를 차단함으로써 보다 정교한 보안 정책을 구현할 수 있다.1. 개념 및 정의 항목 내용 정의시스템 내 데이터 흐름을 추적하고 제한하여 정보 유출을 방지하는 기술목적정보 유출, 무단 전파, 권한 없는 사용자 접근 방지분류정적 IFC(Static), 동적 IFC(Dynamic) 또는 하이브리드 방식으로 구현됨IFC는 코드, 운영체제, 애플리케이션 등 다양한 수준에서 구현되며 정보의 흐름 경로에 집중한다.2. 특징특징설명전통적 보안 방식과 차이..

개요DAST(Dynamic Application Security Testing)는 실행 중인 애플리케이션을 외부에서 테스트하여 보안 취약점을 탐지하는 블랙박스 방식의 보안 진단 기법입니다. 코드 분석이 아닌, 실제 런타임 환경에서 웹 애플리케이션의 동작을 분석하여 입력 검증, 세션 관리, 인증/인가 등 다양한 공격 벡터를 탐지할 수 있습니다. SAST와 함께 DevSecOps 체계에서 중요한 역할을 하며, 배포 전/후 보안 검증을 담당합니다.1. 개념 및 정의 항목 설명 정의DAST는 애플리케이션 실행 중 외부에서 공격 시나리오를 모의 적용하여 보안 결함을 탐지하는 기술입니다.목적배포된 애플리케이션에서 실제 사용자가 접속하는 환경에서의 취약점 검출필요성사용자 입력 기반의 동적 취약점을 탐지할 수 있는 ..

개요개발보안가이드는 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안을 고려한 안전한 코드 작성 기준을 제시하는 가이드라인이다. 이는 보안 취약점을 사전에 예방하고, 해킹·침해 사고를 최소화하며, 정보 보호법 등 법적 요구사항을 충족시키는 데 목적이 있다. 특히 금융, 공공, 의료 등 보안이 중시되는 산업에서 필수적으로 준수되어야 하며, 개발자, 기획자, 보안 담당자 모두에게 필요한 지침이다.1. 개념 및 정의개발보안은 소프트웨어 개발 과정에서 보안을 내재화(Shift Left)하는 개념으로, 보안 결함이 제품 출시 전에 제거되도록 한다. 한국에서는 행정안전부, 금융보안원, KISA 등이 개발보안가이드를 제정하여 권고하고 있으며, 주요 기준으로 CWE, OWASP Top 10 등이 사용된다.2. 특징..

개요코드 난독화(Code Obfuscation)는 소스 코드 또는 바이너리의 구조와 가독성을 인위적으로 복잡하게 만들어 리버스 엔지니어링, 악성 코드 분석, 무단 복제 및 공격을 방지하는 소프트웨어 보호 기술입니다. 특히 악성코드 은폐, 정적 분석 회피, DRM 보호 등 다양한 보안 목적에서 활용되며, 동시에 분석가 입장에서는 위협 탐지의 난이도를 높이는 주요 장애 요소입니다.1. 코드 난독화의 개념 및 목적코드 난독화는 실행에는 영향을 미치지 않으면서 코드의 의미나 구조를 왜곡하여 해석을 어렵게 만드는 기법입니다. 주로 다음과 같은 목적으로 사용됩니다. 목적 설명 보안 강화내부 알고리즘, 키, 인증 로직 보호역공학 방지리버싱 도구(Ghidra, IDA 등) 분석 차단지적재산권 보호코드 도용·재사용 방..

개요퍼징(Fuzzing)은 프로그램의 입력값에 예상치 못한, 무작위 또는 비정상적인 데이터를 자동으로 생성하여 주입함으로써 취약점이나 오류를 탐지하는 보안 중심의 동적 테스팅 기법입니다. 입력 검증이 미흡한 프로그램은 퍼징을 통해 충돌(crash), 무한 루프, 메모리 오류, DoS 등의 문제를 유발할 수 있으며, 최근에는 AI 기반의 지능형 퍼저와 함께 DevSecOps 파이프라인에서도 활발히 활용되고 있습니다. 이 글에서는 퍼징의 개념, 종류, 핵심 기술, 도구, 적용 사례를 정리합니다.1. 개념 및 정의퍼징은 테스트 대상 소프트웨어 또는 시스템에 대하여 의도적으로 잘못된 또는 예외적인 입력값을 대량으로 자동 생성하고 투입하여, 프로그램의 이상 동작을 관찰하는 테스트 방법입니다.주요 목표는 다음과 같..