반응형
https://www.kisa.or.kr/public/laws/laws3.jsp
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥
www.kisa.or.kr
분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - 중요정보 전송
설명
- 중요정보(비밀번호, 개인정보 등) 전송 시 안전한 전송방법을 설계해야 한다.
설계항목내용
- 인증정보와 같은 민감한 정보 전송 시 안전하게 암호화해서 전송해야 한다.
- 쿠키에 포함되는 중요정보는 암호화해서 전송해야 한다.
가. 취약점 개요
- 프로그램이 보안과 관련된 민감한 데이터를 평문으로 송·수신할 경우, 통신채널 스니핑을 통해 인가되지 않은 사용자에게 민감한 데이터가 노출될 수 있다.
나. 설계 시 고려사항
1. 인증정보와 같은 민감한 정보 전송 시 안전하게 암호화해서 전송해야 한다.
- 분석 단계에서 정의된 중요정보를 네트워크를 통해 전송해야 하는 경우 안전한 암호모듈로 암호화 한 뒤 전송하거나 안전한 통신 채널을 사용하도록 설계한다. 안전한 암호화는 “암호연산” 요구 항목을 충족시키는 암호화 알고리즘이나 암호키를 사용한다.
- 웹 애플리케이션 설계 시 클라이언트에서 서버로 전달되는 데이터(hidden필드, Ajax변수, 쿠키, 헤더 값) 또는 서버에서 클라이언트로 전달되는 데이터(HTTP 응답 헤더 포함) 중 불필요하게 많은 데이터가 포함되어 전송되지 않도록 설계한다.
2. 쿠키에 포함되는 중요정보는 암호화해서 전송해야 한다.
- 쿠키에는 중요정보가 포함되지 않도록 설계해야 하지만 부득이 쿠키에 중요정보가 포함되어야 하는 경우에는 반드시 세션 쿠키로 설정되어야 하며, 전달되는 중요정보는 반드시 암호화해서 전송해야 한다.
참고자료
- CWE‐319, Cleartext Transmission of Sensitive Information, MITRE,
http://cwe.mitre.org/data/definitions/312.html - Transport Layer Protection Cheat Sheet, OWASP,
http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet - 2016 OWASP Application Security Verification Standard, OWASP, Communications security Verification Requirements,
http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verificatio n_Standard_Project - The Transport Layer Security (TLS) Protocol Version 1.2, RFC5246,
http://tools.ietf.org/html/rfc5246 - User Privacy Protection Cheat Sheet, OWASP,
http://www.owasp.org/index.php/User_Privacy_Protection_Cheat_Sheet#Strong_Cryptography
반응형
'공부 > KISA' 카테고리의 다른 글
| 세션통제 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.17 |
|---|---|
| 예외처리 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.17 |
| 중요정보 저장 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.17 |
| 암호연산 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.16 |
| 암호키 관리 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.14 |
댓글