Web Security Solution All Guide
Chapter 1. À¥ º¸¾ÈÀÇ °³³ä°ú ÀÌÇØ
Frost&SullivanÀÇ º¸°í¼´Â ÀÌ¹Ì 2004³â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ½ÃÀåÀÌ Àü³â´ëºñ ¼ºÀå·ü 66.5%¸¦ ½ÃÀÛÀ¸·Î ¸Å³â Àü³â´ëºñ 50% ÀÌ»ó ±Þ¼Óµµ·Î ¼ºÀåÇÒ °ÍÀ¸·Î Àü¸ÁÇß´Ù. ¶ÇÇÑ À¥¿¡ ´ëÇÑ ½ÃÀå¿ä±¸ »çÇ×ÀÌ º¯ÈµÊ¿¡ µû¶ó À̸¦ ¹Ý¿µÇÏ¿© º¸¾È ¿µ¿ªÀ» ±¸ºÐÇß´Ù.
¿¹¸¦ µé¾î ¹Ì±¹ÀÇ Ã¼Å©Æ÷ÀÎÆ®»çÀÇ °æ¿ì ³×Æ®¿öÅ© º¸¾È°ú À¥ º¸¾È, ³»ºÎ º¸¾ÈÀ¸·Î ¿µ¿ªÀ» ±¸ºÐÇÏ°í ÀÌ °¡¿îµ¥ À¥ º¸¾ÈÀÌ °¡Àå ±Þ¼Óµµ·Î ¼ºÀåÇÒ °ÍÀ¸·Î ¿¹ÃøÇßÀ¸¸ç °ü·Ã Á¦Ç°ÀÇ ¶óÀξ÷À» °®Ãß·Á°í ³ë·ÂÇÏ°í ÀÖ´Ù. ÀÌ ¿Í´Â º°µµ·Î À¥À» Æ÷ÇÔÇÑ ¸Þ½ÅÀú, ¸ÞÀÏ µîÀ» Æ÷ÇÔÇÏ´Â ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ºÐ¾ß¿¡ ÁßÁ¡À» µÎ°í ÇâÈÄ ÀÌ ½ÃÀåÀÌ ±Þ¼ÓÈ÷ ¼ºÀåÇÒ °ÍÀ¸·Î ¿¹ÃøÇÏ°í ÀÖ´Ù.
¾çÅ°±×·ì(Yankee Group)Àº ¡®Application Gateways Secure Business Communications¡¯¶ó´Â º¸°í¼¿¡¼ ÀÌµé ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ» Àü´ãÇÏ´Â °ÔÀÌÆ®¿þÀÌ ½ÃÀåÀ» ºÐ¼®ÇÏ°í ÇâÈÄ 20¾ï ´Þ·¯ ÀÌ»óÀÇ ½ÃÀåÀ» Çü¼ºÇÒ °ÍÀ¸·Î ¿¹»óÇß´Ù. °¢°¢ÀÇ ±â°üÀÌ Á¶»çÇÑ ÀÚ·á¿¡ µû¶ó ¼öÄ¡°¡ Â÷ÀÌ°¡ ³ª±ä ÇÏÁö¸¸ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ´ëÇÑ ¼ö¿äÀÇ Æø¹ßÀû Áõ°¡¿Í °ü·Ã ½ÃÀåÀÇ ¼ºÀåÀ» µ¿ÀÏÇÏ°Ô ³ªÅ¸³»°í ÀÖ´Ù.
ƯÈ÷ ±â¾÷À̳ª °ø°ø±â°ü ¾ÖÇø®ÄÉÀÌ¼Ç Àü»ê ȯ°æÀÌ ÇÏ·ç°¡ ´Ù¸£°Ô À¥ ±â¹ÝÀ¸·Î ¹Ù²î°í ÀÖ´Ù. ¾ðÁ¦ ¾îµð¼³ª ³»ºÎ¸Á¿¡ Á¢¼ÓÇÒ ¼ö ÀÖÀ¸¸ç ´ë ±¹¹ÎÀ̳ª °í°´´ëÀÀ¿¡ ´ëÇÑ ´Ù¾çÇÑ Á¤º¸¸¦ ¼Õ½±°Ô °øÀ¯ÇÒ ¼ö ÀÖ´Ù´Â Æí¸®ÇÔÀÌ ±× ÀÌÀ¯À̱⠶§¹®ÀÌ´Ù. ±×·¯³ª ÀÌ·¯ÇÑ È¯°æÀº À¥ Ư¼º»ó ¼ºñ½º¸¦ À§ÇØ 80Æ÷Æ®(HTTP)³ª 443Æ÷Æ® °°Àº(HTTPS)°°Àº Åë·Î¸¦ ¿¾î³ö¾ß ÇÏ´Â ±¸Á¶»ó ±Ùº»ÀûÀÎ Ãë¾àÁ¡À» ¾È°í ÀÖ´Ù. ÀÌ¿¡ µû¶ó ÀÌ°÷À» ÅëÇØ À¥ ÇÁ·Î±×·¥ÀÇ ¼³Á¤ ¿À·ù³ª °³¹ß ¿À·ù·Î ÀÎÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ÀÚüÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ È¨ ÆäÀÌÁö¿Í À¥ ¼¹ö ÇØÅ·ÀÌ ½ÃµµµÉ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ¼ºñ½º Æ÷Æ®¸¦ ÅëÇÑ Ä§ÀÔ °ø°ÝÀÇ À¯ÇüÀÇ 85% ÀÌ»óÀÌ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¼ºñ½º Æ÷Æ®¸¦ ÅëÇÑ °ø°ÝÀÌ´Ù.
½ÇÁ¦·Î À¥ °í°´ Á¤º¸¸¦ »©µ¹¸®°Å³ª ÄÜÅÙÃ÷ º¯Á¶, ¼ºñ½º°ÅºÎ°ø°Ý(DoS), ȨÆäÀÌÁö À§¡¤º¯Á¶, ³»ºÎ Áß¿ä ½Ã½ºÅÛÀÇ Ä§ÀÔ µî ÇØÅ· »ç°í°¡ ÃÖ±Ù µé¾î ´«¿¡ ¶ç°Ô ´Ã°í ÀÖ´Ù. ¾÷°è ÀÚ·á¿¡ µû¸£¸é ±¹³»¿¡¼ ¹ß»ýµÈ ÇØÅ· ½ÃµµÀÇ 70% °¡·®ÀÌ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ÍÀ¸·Î ÃßÁ¤µÇ°í ÀÖ´Ù.
À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÅëÇÑ º¸¾È »ç°í´Â PHP Ãë¾àÁ¡ ¹× Á¦·Îº¸µå¡¤±×´©º¸µå¡¤ÄÚÀ¥·Î±× µî À¥ °Ô½ÃÆÇ ÇÁ·Î±×·¥ÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ÇØÄ¿±×·ìÀÌ È¨ÆäÀÌÁö¸¦ ¹«Â÷º° º¯Á¶ÇÏ¸é¼ ¹ß»ýÇÑ Çö»óÀ¸·Î Àü ¼¼°èÀûÀ¸·Î ¡®ÁÖÀǰ溸¡¯ ¹ß·É°ú ´õºÒ¾î Áï°¢ÀûÀÎ ¼öÁ¤ ¹× ÆÐÄ¡ ¾÷±×·¹À̵带 ±ÇÀåÇÏ°í ÀÖ´Ù.
´ç½Ã ±¸±Û µî ÀÎÅÍ³Ý °Ë»ö¿£ÁøÀ» ÀÌ¿ëÇØ °ü·Ã Ãë¾àÁ¡ÀÌ ÆÐÄ¡µÇÁö ¾ÊÀº À¥ ¼¹öµéÀ» ã¾Æ ÇØÅ· ÇÑ °ÍÀ¸·Î ÆÇ´ÜµÇ¸ç ´Ü½ÃÀÏ ³»¿¡ 700¿©°³ ȨÆäÀÌÁö°¡ º¯Á¶µÇ¾ú°í ÀÌÁß 450°³´Â ÇÑ ÇØÄ¿±×·ì¿¡ ÀÇÇØ ÀÌ·ïÁö±âµµ Çß´Ù. ÀÌ´Â ÇϳªÀÇ Ãë¾à¼ºÀ¸·Î ÀÎÇØ ¾ó¸¶³ª ¸¹Àº ½Ã½ºÅÛÀÌ ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖ´ÂÁö¸¦ º¸¿©ÁØ »ç°ÇÀ̾ú´Ù.
ÀÌ¿Í °°Àº »ç°Ç¿¡ ´ëÇÑ À¥ º¸¾È °È ¹æ¹ýÀ¸·Î Á¦ÀÏ ¸ÕÀú °í·ÁÇÒ ¼ö ÀÖ´Â °ÍÀº °³¹ßÀÚÀÇ À¥ ÇÁ·Î±×·¡¹Ö ½Ã ÄÚµå»óÀÇ ¿À·ù¸¦ ±Ùº»ÀûÀ¸·Î °íÄ¡´Â °ÍÀÌ´Ù. ÇÏÁö¸¸ ´ëºÎºÐÀÇ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ÇÁ·ÎÁ§Æ®¿¡¼´Â ¼ºñ½ºÀÇ ÆíÀǼº ¹× ±â´É ±¸ÇöÀ» Áß¿ä½ÃÇϴ dzÁ¶, ÇÁ·ÎÁ§Æ® ¿ÀÇ ¿Ï·á ÀÏÁ¤¿¡ µû¸¥ ¼Ò½º º¸¾È°ËÁõÀÇ ºÎ½ÇÇÔÀ¸·Î ÀÎÇØ, °³¹ßÀÚ ½º½º·Îµµ Ãë¾à¼ºÀ» ÀÎÁöÇϸ鼵µ º¸¾È¼º °È£¸¦ ¹«½ÃÇÏ¿© ¸¹Àº Ãë¾à¼ºÀ» °¡Áø À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÌ ±¸ÃàµÇ´Â °æ¿ì°¡ ¸¹´Ù.
±×·¯³ª ½Ã½ºÅÛ ¿ÀÇ ÈÄ Ãë¾à¼ºÀÌ Á¸ÀçÇÏ´Â ¼Ò½º¸¦ ÀÏÀÏÀÌ Ã£¾Æ³»¾î °íÄ£´Ù´Â °ÍÀº ¸¹Àº ½Ã°£°ú ºñ¿ëÀ» ÇÊ¿ä·Î ÇÏ¸ç º¸¾È¼º °È¸¦ ÅëÇÑ ÇÁ·Î¼¼½ºÀÇ º¯°æ ¹× Àç°³¹ß, ¼º´É ÀúÇÏ¿¡ ´ëÇÑ ¿ì·Á¸¦ ÀÌÀ¯·Î ´ëºÎºÐÀÇ À¥ »çÀÌÆ®°¡ »ç°í ¹ß»ý Àü±îÁö ¹«¹æºñ »óÅ·Π³õÀÌ°Ô µÇ¸ç Å« »ç°í·Î ¿¬°áµÇ±âµµ ÇÑ´Ù. Ãʱ⠺¸¾È½Ã½ºÅÛÀÇ À̽´´Â ¹æȺ®À¸·ÎºÎÅÍ ½ÃÀÛÇØ Ä§ÀÔŽÁö½Ã½ºÅÛ(IDS) ¶Ç´Â ħÀÔ¹æÁö½Ã½ºÅÛ(IPS)À» À¥ ¼¹öÀÇ ¾Õ ´Ü¿¡ ±¸ÃàÇØ ºÒ¹ýÀûÀΠħÀÔÀ» ¸·´Â ¿ªÇÒÀ» Çß´Ù.
ÀÌ·¯ÇÑ º¸¾È ½Ã½ºÅÛÀº 1¼¼´ë ¶Ç´Â 2¼¼´ë º¸¾È½Ã½ºÅÛÀ¸·Î¼ ºÒƯÁ¤ÇÑ Ä§ÀÔÀÚ¿¡ ´ëÇÑ º¸¾ÈÀ» Çϱâ À§ÇÑ °ÍÀ¸·Î ³×Æ®¿öÅ© ·¹º§¿¡¼ »ç¿ëÇÏÁö ¾Ê°Å³ª ÀÎÁõµÇÁö ¾ÊÀº Æ÷Æ®¸¦ Â÷´ÜÇÏ°í ÆÐŶ¿¡ ´ëÇÑ ÇÊÅ͸µÀ» ÅëÇؼ ºñÁ¤»óÀûÀΠħÀÔÀÚ¸¦ Â÷´ÜÇϱâ À§ÇÑ ±â´ÉÀÌ ÁÖ¿´´Ù.
±×·¯³ª ¿©±â¿¡´Â Ä¿´Ù¶õ ¹®Á¦°¡ Á¸ÀçÇÑ´Ù. À¥ÀÇ Æ¯¼º»ó ¹æȺ®À» ¼³Ä¡ÇÏ´õ¶óµµ »ç¿ëµÇ´Â ¼ºñ½º Æ÷Æ®´Â Ç×»ó °³¹æÇØ¾ß Çϱ⠶§¹®¿¡ À¥ ¼ºñ½º Æ÷Æ®¸¦ ÅëÇÑ °ø°Ý¿¡ ´ëÇؼ´Â ¹«¹æºñ »óÅ·Π³ëÃâµÈ´Ù´Â °ÍÀÌ´Ù. ÃÖ±Ù Áö¿ø¿µ¿ªÀ» ¾ÖÇø®ÄÉÀÌ¼Ç ´Ü±îÁö È®ÀåÇÑ DPI(Deep Packet Inspection) ¹æȺ®À̳ª IPS°¡ Ãâ½ÃµÇ°í ÀÖÀ¸³ª ³×Æ®¿öÅ© ·¹º§ ±â¹ÝÀÇ º¸¾È ½Ã½ºÅÛ¿¡¼ ¾ÖÇø®ÄÉÀÌ¼Ç ·¹º§ÀÇ ¹æ¾î¸¦ ÇÏ´Â µ¥´Â ÇѰ踦 °®°í ÀÖÀ» ¼ö ¹Û¿¡ ¾ø´Ù. À̵éÀº ÁÖ·Î ½Ã±×´Ïó¿¡ ÀÇÁ¸ÇÑ ÆÐÅÏ ¸ÅĪ±â¼úÀ» ±â¹ÝÀ¸·Î ¾ÖÇø®ÄÉÀÌ¼Ç ¿µ¿ªÀÇ ¡®ÀÌ¹Ì ¾Ë·ÁÁø¡¯ °ø°Ý¸¸À» Â÷´ÜÇϱ⠶§¹®¿¡ ÆÐÅϵ¥ÀÌÅÍ¿¡ ÀúÀåµÇÁö ¾ÊÀº À¥ ¾ÖÇø®ÄÉÀÌ¼Ç °ø°ÝÀ» ŽÁöÇϰųª ±â¾÷¿¡¼ ÀÚüÀûÀ¸·Î °³¹ßÇÑ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ½Ã±×´Ïó¸¦ Á¦°øÇÏÁö ¸øÇÏ´Â ÇÑ°è°¡ ÀÖ´Ù.
CCÀÎÁõ ȹµæÀÌ ½ÃÀå ¼±Á¡ÀÇ ¿¼è
ÇöÀç À¥ ¹æȺ®Àº Á¦Ç°ÀÇ ±â´ÉÀ̳ª ¼º´É¿¡ ´ëÇÑ °ËÁõÀÌ ¾î·Á¿ö CCÀÎÁõ ¿©ºÎ°¡ Á¦Ç° ±¸¸ÅÀÇ ÁÖ¿ä ±âÁØÀÌ µÇ°í ÀÖ´Ù. µû¶ó¼ CCÀÎÁõÀÇ Á߿伺ÀÌ ³ô°í ±â¼úÀû °æÀï·ÂÀÌ ¹ÙÅÁÀÌ µÈ Á¦Ç°ÀÇ CCÀÎÁõ ȹµæÀÌ ½ÃÀåÀÇ Æǵµ¸¦ Àâ´Â ¿¼è°¡ µÉ °ÍÀ¸·Î ¾÷°è °ü°èÀÚµéÀº ³»´Ùº¸°í ÀÖ´Ù. ¾Æ¿ï·¯ ÃÖ±ÙÀÇ À¥ ÇØÅ·¿¡ µû¸¥ À¥ ¹æȺ®ÀÇ Çʿ伺°ú °ü½ÉÀÌ Áõ°¡ÇÔ¿¡ µû¶ó ¿ÃÇØ À¥ ¹æȺ® ½ÃÀåÀº Å« »ó½Â¼¼°¡ ¿¹»óµÇ°í ÀÖ´Ù. ƯÈ÷ ±âÁ¸ ¸¹Àº º¸¾È ¾÷üµéÀÌ ¿þ ¹æȺ®À» °³¹ßÇÏ°í CC ÀÎÁõÀ» ȹµæÇÏ°í À̸¦ ÁغñÇÏ°í ÀÖ¾î °ø°ø±â°üÀ» Áß½ÉÀ¸·Î ¸¹ÀÌ µµÀ﵃ °ÍÀ¸·Î Àü¸ÁµÇ°í ÀÖ´Ù. ƯÈ÷ CC ÀÎÁõÀÌ °ø°ø±â°ü ³³Ç°¿¡ ÀÖ¾î Áß¿äÇÑ ¿ä¼ÒÀ̱⠶§¹®¿¡ °¢ ¾÷üµéÀº CCÀÎÁõ¿¡ ´ëÇØ ÃË°¢À» °ïµÎ¼¼¿ì°í ÀÖ´Ù.
¿ÃÇØ Ãß°¡ ÀÎÁõÁ¦Ç°ÀÌ µîÀåÇÔ¿¡ µû¶ó °¢ º¸¾È´ã´çÀÚµéÀº Á¦Ç°ÀÇ ¼±ÅÃÆøÀÌ ³Ð¾îÁ³´Ù. ƯÈ÷ Á¦Ç°ÀÇ ±â´É ¹× ¾ÈÁ¤¼º µî ±â¼úÀûÀÎ ¸é¿¡¼ Ä¡¿ÇÑ °æÀïÀÌ Àü°³µÉ Àü¸ÁÀÌ´Ù. ±×·¯³ª ¾÷ü°£ Áö³ªÄ£ °ú¿°æÀïÀ¸·Î ÀÎÇÑ °¡°ÝÀûÀÎ ÃâÇ÷°æÀïÀÌ À־ ¾È µÉ °ÍÀÌ´Ù. ÇÑÆí Áö³ ÇغÎÅÍ °ø°ø±â°üÀ» Áß½ÉÀ¸·Î À¥ ¹æȺ®ÀÇ µµÀÔÀÌ À̾îÁö°í ÀÖ¾î ÇâÈÄ À¥ ¹æȺ® ½ÃÀåÀº °ø°ø±â°üÀ» Áß½ÉÀ¸·Î È®´ëµÉ Àü¸ÁÀÌ´Ù.
À¥ ¹æȺ® µµÀԽà °í·Á»çÇ×
1. ±âÁ¸ ±¸¼ºµÈ ³×Æ®¿öÅ© ȯ°æ º¯°æ ¾øÀÌ ¼³Ä¡°¡ Æí¸®ÇÑ°¡?
2. OWASP 10´ë Ãë¾à¼º ¹× ±¹°¡Á¤º¸¿ø 8´ë À¥ º¸¾È Ãë¾àÁ¡¿¡ ´ëÇÑ º¸¾È ±â´É ¼öÇàÀ» Çϴ°¡?
3. ÇÇ½Ì °°Àº ȨÆäÀÌÁö À§¡¤º¯Á¶ ÇØÅ· °ø°ÝÀÌ µé¾î¿Íµµ ¼ºñ½º´Â ÀÚµ¿ º¹±¸µÇ¾î ¿¬¼ÓÀûÀÎ ¼ºñ½º°¡ Áö¿øµÇ´Â°¡?
4. À¥ ÆäÀÌÁö ¶Ç´Â À¥ ¸ÞÀÏ ³»¿ë¿¡¼ °³ÀÎÁ¤º¸(Áֹεî·Ï¹øÈ£, Ä«µå¹øÈ£, °èÁ¹øÈ£ µîµî)¿¡ ÇØ´çÇÏ´Â ³»¿ë±îÁö ŽÁö ¹× Â÷´ÜÀÌ °¡´ÉÇÑ°¡?
5. °Ô½ÃÆÇÀ̳ª À¥¸ÞÀÏ¿¡¼ ¾÷·Îµå ¶Ç´Â ´Ù¿î·ÎµåµÇ´Â ÷ºÎÆÄÀÏ¿¡ ´ëÇÑ °³ÀÎÁ¤º¸ ŽÁö ¹× Â÷´ÜÀÌ °¡´ÉÇÑ°¡?
6. º¸¾ÈÁ¤Ã¥ ¹× °ü¸®ºÎ¹®¿¡¼ ¿î¿µÀÚÀÇ ÆíÀǼºÀ» Á¦°øÇϴ°¡?
7. °ü¸®ÀÚ ±ÇÇÑ Á¦¾î ¹× °¨»ç³»¿ªÀ» Á¦°øÇϴ°¡?
8. ·Î±× Á¤º¸¸¦ ÅëÇØ °ü¸®ÀÚ°¡ Á÷°üÇÏ¿© »óȲÀ» ÆÇ´ÜÇÒ ¼ö ÀÖ´Â À¯¿ëÇÑ Á¤º¸¸¦ Á¦°øÇϴ°¡?
9. ¹®Á¦ ¹ß»ý½Ã ¿î¿µÀÚ°¡ ¾Ë ¼ö ÀÖµµ·Ï ¾Ë¶÷ ±â´ÉÀÌ Á¦°øµÇ´Â°¡?
10. ´Ù¾çÇÏ°í °íµµÈµµ¾î °¡´Â ÇØÅ·¿¡ ´ëÇØ ´ëÀÀÇÒ ¼ö ÀÖ´Â ¹æ¾ÈÀÌ Àִ°¡?
11. ½Ç½Ã°£ ¼ºñ½º¸¦ Áö¿øÇϱâ À§ÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹æȺ®ÀÇ À¯Áöº¸¼ö Áö¿øÀÌ ¿øÈ°ÇÑ°¡?
[±èÅÂÇü ±âÀÚ(boan2@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>