[소프트웨어 보안] 3주차: Quiz

1. 다음은 결재 어플리케이션에서 발생할 수 있는 위협 상황이다. 이 상황이 위협 모델링 기법인 STRIDE의 6가지 위협 중에 무엇에 해당하는지 완전한 단어를 한글 또는 영문으로 적으시오.

 

공격자는 손상된 장치 네트워크를 사용하여 결제 플랫폼의 API에 DDoS(Distributed Denial of Service) 공격을 가합니다. 대량의 악성 트래픽으로 API를 범람시켜, 과부하가 발생하게 합니다.

 

 

답:Denial of Service / 서비스 거부

 

DDoS 공격을 통한 서비스 거부 상황으로

STRIDE 중 'D'에 해당한다.

 

 

2. 위협 모델링 절차에서 3단계는 위협(공격)에 대한 대처 방법을 찾아내는 단계이다. 이 때, 우선 순위 지정 프레임워크 또는     a    에 따라 각 위협의 우선순위를 측정한다.     a    는 보안 버그를 중요도에 따라 분류한 것이다.     a    는 무엇인가요?

 

 

답: 보안 버그 바 (security bug bar)

중요도에 따라 보안 버그를 분류함. 

 

 

 

3. 위협 모델링 절차 3단계에서 보안 제어 기능과 관련된 것으로 잘못 연결된 것을 고르시오.

a. 예방 -  방화벽

b. 탐지 - 시스템 패치

c. 복구 - 백업

d. 억제 - 최소 권한 부여

 

답: b

시스템 패치는 시스템이 지속적인 공격에 대응하는 방식을 제어하는 보안 기능인  "수정" 에 해당한다.