Web Security Solution All Guide
Chapter 3. À¥ º¸¾È Àü¹®°¡ ³ëÇÏ¿ì ÈÉÃ帱â
´Ü ÇÑ °³ÀÇ À¥ Ãë¾àÁ¡µµ Å« ÇÇÇØ ÃÊ·¡
°ú°Å¿¡´Â À¥ ±â¹ÝÀÇ Ä§ÇØ»ç°í°¡ ¹ß»ýÇÏ´Â ÀÌÀ¯°¡ À¥ ÀÀ¿ëÇÁ·Î±×·¥ÀÇ ¼³°è ½Ã¿¡ µ¥ÀÌÅͺ£À̽º Á¢±Ù, °ü¸®ÀÚ ÀÎÁõ ¹× »ç¿ëÀÚ ÀÎÁõ, À¥ ÀÀ¿ëÇÁ·Î±×·¥ÀÇ ¼³°è ¹æ½Ä¿¡ ´ëÇÑ º¸¾È¼º °ËÅä°¡ ÀÌ·ç¾îÁöÁö ¾Ê±â ¶§¹®¿¡ ÁÖ·Î ¹ß»ýÇß´Ù. ÀÌ¿Í ÇÔ²² ±âÁ¸ º¸¾È ¼Ö·ç¼ÇÀΠħÀÔŽÁö¡¤Â÷´Ü½Ã½ºÅÛÀÎ IDS(Intrusion Detection System), IPS(Intrusion Prevention System)¿¡¼ ¹æ¾î°¡ ºÒ°¡´ÉÇß´ø °Íµµ Å« ÀÌÀ¯ Áß¿¡ Çϳª¿´´Ù.
ÃÖ±Ù µé¾î¼ ½Ã½ºÅÛÀ» »õ·Î ±¸ÃàÇÏ´Â ½ÃÁ¡¿¡¼ º¸¾È ¿ä¼Ò¸¦ ¼³°è¿¡ ¹Ý¿µÇÏ°í ÇÁ·¹ÀÓ¿öÅ©¿¡¼ ÀÌ¹Ì ±âº»ÀûÀÎ ÇÊÅÍ ±â´ÉÀ» žÀçÇÏ´Â µî °³¹ß ¿µ¿ª¿¡¼ÀÇ À¥ º¸¾ÈÀ» À§ÇÑ ³ë·ÂÀº ´Ù¾çÇÑ ÇüÅ·ΠÁö¼ÓµÇ°í ÀÖ´Ù. ÇÏÁö¸¸ ÀϹÝÀûÀ¸·Î ¸ðµç »óȲ¿¡¼ 100% ¾ÈÀüÇÑ ÄÚµå´Â Á¸ÀçÇÏÁö ¾Ê´Â´Ù. ¼÷·ÃµÈ Àü¹® °³¹ßÀÚ°¡ º¸¾È ¿ä¼Ò¸¦ °í·ÁÇÏ¿© ¾ÈÀüÇÑ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÀÛ¼ºÇß´õ¶óµµ À¥ ¼¹öÀÇ ¼³Á¤ ¿À·ù³ª ¾ÖÇø®ÄÉÀ̼ÇÀÌ »ç¿ëÇÏ´Â ¿ÜºÎ ÄÚµå(¶óÀ̺귯¸®)°¡ ÇÔ²² µ¿ÀÛÇÏ¸é¼ °³¹ßÀÚ°¡ ¿¹»óÇÏÁö ¸øÇÑ Ãë¾àÁ¡ÀÌ ¹ß»ýÇϱ⵵ ÇÑ´Ù.
ÀϹÝÀûÀ¸·Î °³¹ßÀÚÀÇ ¿ªÇÒÀº °Ë¼ö ¸ñ·Ï¿¡ ÀÖ´Â ¡®±â´É¡¯À» ÀÛ¼ºÇÏ´Â °ÍÀÌ°í º¸¾È¿¡ ¿µÇâÀ» ¹ÌÄ¥ ¼ö Àִ ȯ°æ ¿ä¼Ò¸¦ ÃæºÐÈ÷ ÆľÇÇÒ ¼ö ¾ø´Â °æ¿ì°¡ ¸¹´Ù. ±×·± º¸¾È ¿ä¼Ò´Â ¡®³»ºÎ °³¹ßÀÚ¡¯¶ó°í ÇÏ´õ¶óµµ ÇØ´ç ½Ã½ºÅÛÀÇ ´ã´çÀÚ°¡ ¾Æ´Ï¸é ¿ÜºÎ¿¡ ³ëÃâÇÒ ¼ö ¾ø´Â Á¤º¸ÀÎ °æ¿ìµµ Àֱ⠶§¹®ÀÌ´Ù.
À¥ ¹æȺ®°ú À¥½ºÄ³³Ê ÇÔ²² µµÀÔÇؾß
À¥ ¼¹ö Ãø¿¡ Àû¿ëÇÒ ¼ö ÀÖ´Â º¸¾È ´ëÃ¥Àº À¥ ¹æȺ®ÀÇ µµÀÔ, À¥ ½ºÄ³³ÊÀÇ µµÀÔÀ» °í·ÁÇÒ ¼ö ÀÖ´Ù. ÀÌ µÎ °¡Áö ¹æ¹ýÀ» ÅëÇØ ÇØÅ· µî ħÇØ»ç°íÀÇ °¡´É¼ºÀ» ÁÙÀÏ ¼ö ÀÖÁö¸¸ Á¡Â÷ ¹ßÀüÇÏ´Â ÇØÅ·±â¹ý¿¡ ´ëÀÀÇϱ⿡´Â ¾î´À ÇÑ °¡Áö¸¸À¸·Î´Â ¿ªºÎÁ·À̶ó´Â °ÍÀÌ ¾Ë·ÁÁö°í ÀÖ´Ù. µû¶ó¼ À¥ ¹æȺ®°ú À¥ ½ºÄ³³Ê¸¦ °°ÀÌ µµÀÔÇϰųª, ȤÀº À¥ ¹æȺ®ÀÌ µµÀÔµÈ °÷¿¡¼µµ À¥ ½ºÄ³³Ê¸¦ ÀÌ¿ëÇÏ¿© ÁÖ±âÀûÀ¸·Î Ãë¾àÁ¡ Á¡°ËÀ» ÇÏ´Â »ç·Ê°¡ ´Ã¾î³ª´Â Ãß¼¼ÀÌ´Ù. ƯÈ÷ »õ·Ó°Ô ȨÆäÀÌÁö¸¦ ±¸ÃàÇÏ´Â °æ¿ì¿¡´Â °³¹ß ´Ü°è¿¡¼ ±Ùº»ÀûÀÎ Ãë¾àÁ¡À» ¾ø¾Ö±â À§Çؼ À¥ ½ºÄ³³ÊÀÇ ¿ªÇÒÀÌ Á¡Â÷ Ä¿Áö°í ÀÖ´Ù°í ÇÒ ¼ö ÀÖ´Ù.
À¥ ½ºÄ³³Ê´Â ÀÚµ¿ÈµÈ À¥ ºê¶ó¿ìÀúÀÇ ÇüÅ·Π±¸µ¿µÇ´Âµ¥ ÀÌ·± ÀÚµ¿ Á¡°ËÀ» ÅëÇؼ °³¹ßÀÚ´Â ÇØÅ· °ø°ÝÀÌ µé¾î¿À´Â °æ¿ì¿¡ ´ëÇÑ ¿¹¿Ü »çÇ×À» »çÀü¿¡ È®ÀÎÇÏ¿© Á¶Ä¡ÇÒ ¼ö ÀÖ´Ù. ÀÌ°ÍÀº Áß¿ä Á¤º¸ÀÇ ³ëÃâÀ» ¸·´Â °Í¿¡µµ µµ¿òÀÌ µÇÁö¸¸ µ¥ÀÌÅͺ£À̽º Ä¿³Ø¼Ç ¶Ç´Â ¸Þ¸ð¸®¿Í °ü·ÃÇÑ ¿À·ù¸¦ ¹Ì¸® ¼öÁ¤ÇÏ¿© À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» º¸´Ù °ß°íÇÏ°Ô ÇÑ´Ù. ´Ù½Ã ¸»Çؼ À¥ ½ºÄ³³Ê´Â Ãë¾àÇÑ À¥ ¼Ò½º¸¦ ÀÚµ¿À¸·Î ã¾ÆÁÖ¾î °³¹ßÀÚ·Î ÇÏ¿©±Ý ¹Ìó °í·ÁÇÏÁö ¸øÇß´ø ºÎºÐÀ» ¼öÁ¤Çϵµ·Ï ÇÑ´Ù. À¥ ¹æȺ®Àº À¥ ¼Ò½º°¡ Æ÷ÇÔÇÏ´Â Ãë¾àÁ¡À» ¼Ò½ºÀÇ ¼öÁ¤ÀÌ ¾ø´Â »óÅ¿¡¼µµ ¾î´À Á¤µµ´Â º¸È£ÇÒ ¼ö ÀÖ´Ù. À¥ ¹æȺ®Àº Àåºñ ÇüÅ·Π¼³Ä¡Çϰųª À¥ ¼¹ö¿¡ ÇÊÅÍ ÇüÅ·Π¼³Ä¡ÇÏ¿© ±¸¼ºµÇ´Â °æ¿ì°¡ ´ëºÎºÐÀÌ´Ù. ¹æȺ®Àº À¥ ¼¹öÀÇ ¾Õ¿¡¼ ÇÔ²² ¿î¿µµÇ¾î¾ß Çϴµ¥ ¹æȺ®Àº ±× ¼º°Ý»ó À¥ ¼¹ö¿¡ µé¾î¿À°Å³ª ³ª°¡´Â ¸ðµç µ¥ÀÌÅÍ¿¡ °³ÀÔÇÏ¿© ½Ç½Ã°£À¸·Î ŽÁöÇϱ⠶§¹®¿¡ µ¥ÀÌÅÍ Ã³¸® ¼Óµµ¿Í ¼ºñ½ºÀÇ ¾ÈÁ¤¼ºÀÌ ¹«¾ùº¸´Ùµµ Áß¿äÇÏ´Ù.
À¥ ¹æȺ®Àº ÃÖ½ÅÀÇ °ø°Ý ÆÐÅÏÀ» À¯ÁöÇÏ°í ³ôÀº º¸¾È Á¤Ã¥À» Àû¿ëÇ쵂 ±âÁ¸ À¥ ¼ºñ½º¿¡ ¹®Á¦°¡ ¾øµµ·Ï ÇÏ´Â °ÍÀÌ Çö½ÇÀûÀÎ ¹®Á¦Á¡À¸·Î ÁöÀûµÈ´Ù. ¶ÇÇÑ À¥ ½ºÄ³³Ê´Â ºü¸¥ ½Ã°£ ³»¿¡ ¸¹Àº ¼öÀÇ URLÀ» ¼öÁýÇÏ°í °ø°Ý ÆÐÅÏÀ» À¥ ¼¹ö¿¡ Àü¼ÛÇÏ¿© ±× ÀÀ´äÀ» ºÐ¼®ÇÏ´Â ¹æ½ÄÀ¸·Î Ãë¾àÁ¡À» ã¾Æ³»Áö¸¸ ¹ß°ßµÈ Ãë¾àÇÑ ¼Ò½ºÄڵ带 °³¹ßÀÚ°¡ Á÷Á¢ ¼öÁ¤ÇØ¾ß ÇÑ´Ù. ±×¸®°í º¸¾È Àü¹®°¡¿¡ ÀÇÇÑ ¸ðÀÇÇØÅ· µîÀÇ º¸¾È ÄÁ¼³ÆÃÀº ÇÑÁ¤µÈ ½Ã°£°ú ÀÚ¿ø¿¡¼ ÀÌ·ç¾îÁö±â ¶§¹®¿¡ Á¡°Ë ´ë»óÀÇ °³¼ö³ª Á¾·ù°¡ ÇÑÁ¤µÇ¾î ´ëÇ¥ÀûÀÎ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ Ãë¾àÁ¡ Á¡°Ë¸¸ Á¦ÇÑÀûÀ¸·Î ¼öÇàÇÒ ¼ö¹Û¿¡ ¾ø´Ù.
¸ðÀÇÇØÅ· µî º¸¾È ÄÁ¼³Æõµ °í·ÁÇؾß
¾ó¸¶ Àü±îÁö¸¸ Çصµ ¹æȺ®À̳ª ½ºÄ³³Ê Áß¿¡ Çϳª¸¸ ¼±ÅÃÇÏ´Â °æ¿ì°¡ ¸¹¾Ò´Ù. ÇÏÁö¸¸, À¥À» ÅëÇÑ °ø°ÝÀÌ ÁøÈÇÏ°í °³ÀÎ Á¤º¸ ³ëÃâ ¹× À¥ ÇØÅ·ÀÇ »ç·Ê°¡ Áõ°¡ÇÏ¸é¼ À§¿¡¼ ¾ð±ÞÇÑ µÎ °¡Áö¸¦ ¸ðµÎ µµÀÔÇÏ´Â °æ¿ì°¡ ´Ã°í ÀÖ´Ù. ÀÌ¿Í ÇÔ²² ¸ðÀÇÇØÅ· µîÀÇ º¸¾È ÄÁ¼³ÆÃÀ» ÁÖ±âÀûÀ¸·Î ¹Þ´Â °æ¿ìµµ ¸¹´Ù. º¸¾È Àü¹®°¡¿¡ ÀÇÇÑ ¼öµ¿ Á¡°ËÀº À¥ ¹æȺ®À̳ª À¥ ½ºÄ³³Ê°¡ È®ÀÎÇÏÁö ¾Ê´Â ºÎºÐ±îÁö Á÷Á¢ È®ÀÎÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù.
¶Ç ´Ù¸¥ ƯÀÌÇÑ À¥ º¸¾ÈÀÇ ÇüÅ´ À¥ ¼¹ö¿¡ Á÷Á¢ÀûÀÎ °ø°ÝÀº ¾øÁö¸¸ À¥ ¼¹ö¿¡ Á¢¼ÓÇϴ Ŭ¶óÀ̾ðÆ® »ç¿ëÀÚ PC¸¦ °ø°ÝÇÏ´Â °æ¿ìÀÌ´Ù. ¸¹Àº À¥ ºê¶ó¿ìÀú¿¡ ±âº»ÀûÀ¸·Î ¼³Ä¡µÈ ActiveXÀÇ Ãë¾àÁ¡À» ÅëÇÏ¿© À¥ ÆäÀÌÁö¿¡¼ ¾Ç¼º Äڵ尡 ´ë·® À¯Æ÷µÇ¾ú´Âµ¥ À¥ ÆäÀÌÁö¿¡ ¾Ç¼º Äڵ尡 ÃÖÃÊ·Î »ðÀÔµÈ °æ·Î´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡À̾ú´Ù´Â Á¡¿¡ À¯ÀÇÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.
ÀÌ°ÍÀº À¥ ¼¹ö·ÎºÎÅÍ ±â¾÷ÀÇ Áß¿ä Á¤º¸¸¦ »©³»°Å³ª ¼ºñ½º Àå¾Ö¸¦ ÃÊ·¡ÇÏÁö ¾Ê¾ÒÁö¸¸ ±× ±â¾÷(¶Ç´Â ±â°ü)ÀÇ È¨ÆäÀÌÁö¿¡ ¹æ¹®ÇÑ °³ÀÎÀÇ PC¸¦ ÇØÅ·ÇÒ ¸ñÀûÀ¸·Î ¾Ç¿ëµÈ °æ¿ì¿´´Ù. °ü¸®µÇÁö ¸øÇÑ 1°³ÀÇ À¥ Ãë¾àÁ¡ÀÌ ±â¾÷ÀÇ ÀÚ»ê»Ó¸¸ ¾Æ´Ï¶ó ºÒƯÁ¤ ´Ù¼öÀÇ °³Àε鿡°Ôµµ Ä¿´Ù¶õ ÇÇÇظ¦ ÁÙ ¼ö ÀÖ´Â °ÍÀÌ´Ù. ÀÌ·¯ÇÑ ActiveX Ãë¾àÁ¡Àº Á¡°Ë ¹æ¹ýÀÌ ¸Å¿ì ¾î·Æ±â ¶§¹®¿¡ ¾ÆÁ÷Àº Çö½ÇÀûÀÎ ´ëÃ¥ÀÌ °ÅÀÇ Àü¹«ÇÑ ½ÇÁ¤ÀÌÁö¸¸ Á¡ÁøÀûÀ¸·Î ÀÌ¿¡ ´ëÇÑ ÀÚµ¿È Á¡°Ë ¼Ö·ç¼ÇÀÌ °³¹ßµÇ°í ÀÖ´Ù.
<±Û¡¤Á¶Àϼ® ÆднÃÅ¥¸®Æ¼ °³¹ßÆÀÀå(cho@panicsecurity.com)>
[Á¤º¸º¸È£21c (info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>