Web Security Solution All Guide
Chapter 3. À¥ º¸¾È Àü¹®°¡ ³ëÇÏ¿ì ÈÉÃ帱â
½Å·ÚÇÒ ¼ö ÀÖ´Â ÀÎÅÍ³Ý È¯°æ Á¶¼ºÇؾß
Áö±Ý Àü ¼¼°è´Â ÃÊ°í¼Ó Åë½Å¸ÁÀ» ±â¹ÝÀ¸·Î ÄÄÇ»ÅÍ, Åë½Å, °¡Àü, ¹æ¼Û µîÀÌ ÇϳªÀÇ µðÁöÅÐ ¹Ìµð¾î·Î ÅëÇյǾ°í ÀÖ´Ù. ÀÌ·¯ÇÑ ±â¼úÀÇ ¹ßÀüÀº µ¶Æ¯ÇÏ°í »õ·Î¿î »çȸÀû Æз¯´ÙÀÓÀ¸·Î º¯È¸¦ °¡¼Ó½ÃÅ°°í ÀÖ´Ù.
»ç¿ëÀÚ´Â À¥ ±â¹ÝÀÇ ´Ù¾çÇÑ ¼ºñ½º¸¦ ÀÌ¿ëÇÒ ¼ö ÀÖÀ¸¸ç ÀÎÅͳÝÀ» ÀÌ¿ëÇÏ¿© ±â¾÷ È°µ¿À» Çϰųª »ó°Å·¡¸¦ ÇÏ°íÀÚ ÇÏ´Â ¼ö¿ä ¶ÇÇÑ ´Ã¾î³ª°í ÀÖ´Ù. ÀÌ´Â Àΰ£ÀÇ »î¿¡ Å« º¯È¸¦ °¡Á®¿Ã °ÍÀÌ¸ç ¿ì¸®ÀÇ »îÀ» Æí¸®ÇÏ°í dz¿ä·Ó°Ô ¸¸µé °ÍÀÌ¶ó ¿¹ÃøµÈ´Ù. À¯ºñÄõÅͽº ÄÄÇ»Æà ȯ°æ Ãø¸é¿¡¼µµ Á¤º¸±â¼úÀÇ ¹ßÀü°ú À̸¦ È°¿ëÇÑ ºñÁî´Ï½º ȯ°æÀÇ º¯È´Â °³Àΰú ±â¾÷ ¸ðµÎ¿¡°Ô ÆíÀǼº°ú ½Å¼Ó¼º, °¡¿ë¼º°ú È¿À²¼º µî ´Ù¾çÇÑ ÀÌÀÍÀ» Á¦°øÇÏÁö¸¸, Á¤º¸º¸È£ÀÇ Ãø¸é¿¡¼ °³ÀÎ Á¤º¸ÀÇ ³ëÃâ ¹× Áß¿ä ½Ã½ºÅÛÀÇ ÇØÅ·, À¯ÇØ Á¤º¸ ¹× ¹ÙÀÌ·¯½ºÀÇ À¯Æ÷ µî °£°úÇÒ ¼ö ¾ø´Â ¡®Á¤º¸½Ã½ºÅÛÀÇ ¿ª±â´É¡¯À» ÇÔ²² ³»Æ÷ÇÏ°í ÀÖ´Ù. [Ç¥ 1]Àº OWASP°¡ ºÐ¼®ÇÑ À¥ ¾îÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» 10°¡Áö·Î ºÐ·ùÇÏ¿© ³ªÅ¸³½ °Í ÀÌ´Ù.
°³ÀÎ Á¤º¸ º¸È£
´Ù¾çÇÑ À¥ ±â¹ÝÀÇ Ãë¾àÁ¡ µé Áß¿¡¼µµ ù °·Î ¿äÁò °¡Àå ÈµÎ°í µÇ°í ÀÖ´Â ¹®Á¦ÀÎ °³ÀÎ Á¤º¸ÀÇ À¯Ãâ ¹× ¿À¡¤³²¿ë µîÀÇ ¹®Á¦¿¡ ´ëÇÏ¿© ¾Ë¾Æº¸°íÀÚ ÇÑ´Ù. Á¤º¸Åë½ÅºÎ¿Í Çѱ¹Á¤º¸º¸È£ÁøÈï¿øÀÇ 2006³â Á¶»ç °á°ú¿¡ µû¸£¸é ÀÎÅÍ³Ý ÀÌ¿ëÀÚµéÀÌ °¡Àå ¿ì·ÁÇÏ´Â Á¤º¸È ¿ª±â´ÉÀº ¡®°³ÀÎÁ¤º¸¿Í ÇÁ¶óÀ̹ö½Ã ħÇØ¡¯ÀÎ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. °³ÀÎÁ¤º¸ ¹× ÇÁ¶óÀ̹ö½Ã ħÇØ¿¡ ´ëÇÑ ¿ì·Á ¶ÇÇÑ 44.4%¿¡¼ 55.7%·Î »ó½ÂÇÏ¿´°í °³ÀÎÁ¤º¸ÀÇ À¯Ãâ ¹× µµ¿ë µî¿¡ ´ëÇÑ »ç°ÇÀÌ ºó¹øÈ÷ ¹ß»ýÇÏ°í Á¡Â÷ ÇÇÇØ Á¤µµ°¡ ½É°¢ÇØÁö¸é¼ À¥ ȯ°æ ³»¿¡¼ÀÇ °³ÀÎ Á¤º¸¿¡ ´ëÇÑ Áß¿äµµ°¡ Á¡Á¡ Áõ°¡ÇÏ°í ÀÖ´Ù. [Ç¥ 2]´Â ´Ù¾çÇÑ °³ÀÎÁ¤º¸ ħÇØ À¯Çüº° ÇöȲÀ» Ç¥·Î ³ªÅ¸³½ °ÍÀÌ´Ù.
±¹³»ÀÇ »çÀÌÆ®µéÀº ȸ¿ø °¡ÀÔ ½Ã Áֹεî·Ï¹øÈ£ µîÀÇ ¹Î°¨ÇÑ Á¤º¸¸¦ ´ëºÎºÐ ¿ä±¸ÇÏ°í ÀÖÀ¸¸ç ÀÌ·¯ÇÑ °³ÀÎÁ¤º¸ÀÇ ¿À¡¤³²¿ëÀ¸·Î ¿©·¯ °¡Áö ±ÝÀüÀûÀÎ À̵æÀ» ÃëÇÒ ¼ö ÀÖ´Â Çö½ÇÀÌ´Ù. ³×Æ®¿öÅ©°¡ ¹ß´ÞÇϱâ ÀÌÀü±îÁö ¡°ÇÁ¶óÀ̹ö½Ã¡±´Â ¡®È¥ÀÚ ÀÖÀ» ±Ç¸®(the right to be left alone)¡¯¸¦ ³ªÅ¸³»´Â ¸»À̾ú´Ù. ÄÄÇ»ÅÍ¿Í ³×Æ®¿öÅ©ÀÇ ¹ß´Þ·Î Á¤º¸È »çȸ¿¡ µé¾î¼¸é¼ °³ÀÎÀÇ ½Å»ó Á¤º¸¿¡ °üÇÑ ¼öÁý¡¤ºÐ¼®¡¤°Ë»ö¡¤º¹Á¦¡¤À¯ÅëÀÌ ÈξÀ ¿ëÀÌÇØÁ³°í °³ÀÎ Á¤º¸ ¶Ç´Â ÇÁ¶óÀ̹ö½ÃÀÇ °³³äÀº ¡®Àڽſ¡ °üÇÑ Á¤º¸¸¦ ÅëÁ¦ÇÒ ¼ö ÀÖ´Â ±Ç¸®¡¯·Î È®ÀåµÆ´Ù.
Áï, ÇÑ °³ÀÎÀÌ Àڱ⿡ °üÇÑ Á¤º¸¸¦ ¾ðÁ¦, ¾î¶»°Ô, ¾î´À Á¤µµ ŸÀο¡°Ô À¯Åë½ÃÅ°´À³Ä¸¦ ½º½º·Î °áÁ¤ÇÏ´Â ±Ç¸®·Î¼ ÀÌÇصDZ⠽ÃÀ۵Ǿú´Ù´Â °ÍÀÌ´Ù. ±×·¯³ª ÀÌ·¯ÇÑ °³ÀÎÁ¤º¸ÀÇ ºÎÀûÀýÇÑ »ç¿ëÀ¸·Î ÀÎÇÑ °³ÀÎÁ¤º¸ ħÇØ ¹®Á¦´Â Á¤º¸ Åë½Å ±â¼úÀÇ ¹ßÀüÀÌ °¡Á®´Ù ÁÙ ±àÁ¤ÀûÀÎ È¿°ú¸¦ ¹Ý°¨½ÃÅ°´Â µ¥ °áÁ¤ÀûÀÎ ¿äÀÎÀÌ µÉ ¼ö Àֱ⿡ °³ÀÎÁ¤º¸ÀÇ º¸È£´Â Áß¿äÇÏ´Ù.
À¥ ÆäÀÌÁö °ø°ÝÀ¸·Î ÀÎÇÑ ÇÇÇØ
´ÙÀ½À¸·Î ȨÆäÀÌÁö º¯Á¶ ¹× ÇØÅ·, ¾Ç¼º ÄÚµå »ðÀÔÀ¸·Î ÀÎÇÑ °³ÀÎÁ¤º¸ À¯Ãâ, ½ºÆÔ ¹ß¼Û¿¡ ÀÌ¿ë µîÀÇ À¥ ÆäÀÌÁö °ø°ÝÀ» µé ¼ö ÀÖ°Ú´Ù. ÀÌ·¯ÇÑ °ø°ÝÀ¸·Î »ç¿ëÀÚ°¡ ÇÇÇظ¦ º¸°Ô µÇ´Â °æ¿ì ±â¾÷Àº À̹ÌÁö ½ÇÃß, »ç¿ëÀÚµéÀÇ ¼ÕÇØ ¹è»ó û±¸, »ç¿ëÀÚÀÇ ÇÇÇØ µî ¸¹Àº ºÎÀÛ¿ëÀÌ ¹ß»ýÇÏ°Ô µÈ´Ù.
ƯÈ÷ ÃÖ±Ù¿¡´Â À¥ÆäÀÌÁö ÇØÅ·ÀÌ ÃÖÁ¾ ¸ñÀûÀÌ ¾Æ´Ñ ¾Ç¼ºÄÚµå »ðÀÔ, À¥¿¡¼ º¸À¯ÇÏ´Â °³ÀÎÁ¤º¸ Å»Ãë µîÀ» À§ÇÑ Áß°£ °ø°ÝÀÇ ÇüÅ·Π¹ßÀüÇÏ¿© ÀÌ·¯ÇÑ °ø°ÝÀÌ °á±¹¿¡´Â ±ÝÀüÀûÀÎ ÀÌÀÍÀ» ÃëÇϱâ À§ÇÑ ¾ÇÀÇÀûÀÎ ÇØÅ·À¸·Î ¹ßÀüµÇ°í ÀÖ´Ù. ƯÈ÷ ¸ÞÀÏÀ» ÅëÇØ ÀºÇà°èÁÂÁ¤º¸³ª ½Å¿ëÄ«µå¹øÈ£ µî °³ÀÎÀÇ ±ÝÀ¶Á¤º¸¸¦ »©³»´Â ¡®ÇǽÌ(Phishing)¡¯°ú ÇãÀ§»çÀÌÆ®·ÎÀÇ Á¢¼ÓÀ» À¯µµÇØ Á¤º¸¸¦ ÀýÃëÇÏ´Â ¡®ÆĹÖ(Pharming)¡¯µî ´Ù¾çÇÑ À§ÇùµéÀÌ µîÀåÇÏ°í ÀÖ¾î ÀüÀÚ ±ÝÀ¶ °Å·¡¿¡ ´ëÇÑ ÀÌ¿ëÀÚµéÀÇ ºÒ¾È°¨°ú À§ÇèÀÌ Áõ´ë µÇ°í ÀÖ´Ù.
À̵éÀº ÃÖ±Ù º¸¾È ¹üÁË ºÐ¾ß¿¡¼ °¡Àå Å« À̽´·Î ºÎ»óµÇ°í ÀÖ´Â °ÍÀ¸·Î ÀÌÀüÀÇ ¹ÙÀÌ·¯½º³ª ¿ú°ú °°ÀÌ ½Ã½ºÅÛÀ» Á÷Á¢ °ø°ÝÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó ½Ã½ºÅÛ¿¡ Á¢±ÙÇϱâ Àü¿¡ °í°´ÀÇ Á¤º¸¸¦ °¡·Îä±â ¶§¹®¿¡ öÀúÇÑ º¸¾ÈÀ» ÀÚ¶ûÇÏ´Â ±ÝÀ¶½Ã½ºÅÛµµ ¼Ó¼ö¹«Ã¥ÀÏ ¼ö¹Û¿¡ ¾ø´Ù. ¶ÇÇÑ »ç¿ëÀÚ¿¡°Ô´Â ´Ã ÀÌ¿ëÇÏ´Â »çÀÌÆ®·Î Âø°¢ÇÏ°Ô ÇÏ¿© ÀǽÉÇÏÁö ¾Ê°í ÀÚ¹ßÀûÀ¸·Î ¹Î°¨ÇÑ Á¤º¸¸¦ Á¦°øÇϵµ·Ï ÇÏ¿© ±ÝÀüÀûÀÎ ÇÇÇظ¦ ÀÔÈ÷±â ¶§¹®¿¡ À̸¦ ¸·À» ¼ö ÀÖ´Â ½Ã±ÞÇÑ ´ëÀÀ ¹æ¾ÈÀÌ ÇÊ¿äÇÏ´Ù.
ÄÜÅÙÃ÷ º¸¾È
¸¶Áö¸·À¸·Î À¥ »ó¿¡¼ÀÇ °³ÀÎÁ¤º¸ º¸È£ ¸øÁö¾Ê°Ô Áß¿äÇÑ °ÍÀÌ ÄÜÅÙÃ÷ º¸¾ÈÀÌ´Ù. ÀÎÅͳÝÀÇ ´ëÁßÈ, °¡ÀüÁ¦Ç°ÀÇ Áö´ÉÈ ¹× ³×Æ®¿öÅ©È, ¹«¼± ³×Æ®¿öÅ©ÀÇ È°¼ºÈ, ±×¸®°í ¸ð¹ÙÀÏ ±â±âÀÇ È°¿ë Áõ´ë¿Í ÇÔ²² ´Ù¾çÇÑ ¼ºñ½º¿Í µðÁöÅÐ ÄÜÅÙÃ÷ÀÇ À¶ÇÕ¿¡ µû¸¥ µðÁöÅÐ ÄÜÅÙÃ÷ ¼ºñ½º ±â¼úÀÌ ÇÏ·ç°¡ ´Ù¸£°Ô ¹ßÀüÇÏ°í ÀÖ´Ù. ±¹³» µðÁöÅÐ ÄÜÅÙÃ÷ »ê¾÷ÀÇ ¸ÅÃâ ±Ô¸ð´Â Á¶»ç¸¦ óÀ½ ½ÃÀÛÇÑ 2001³â 2Á¶ 8,722¾ï¿øÀ» ±â·ÏÇÑ ÀÌ·¡ ¿¬Æò±Õ 25.8%ÀÇ ³ôÀº ¼ºÀå·üÀ» ±â·ÏÇϸç 2006³â¿¡´Â 9Á¶ 597¾ï¿ø¿¡ À̸¥ °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
±×·¯³ª µðÁöÅÐ Á¤º¸´Â ¹«ÇÑ´ëÀÇ º¹»ç¿¡µµ ¿øº»°ú µ¿ÀÏÇÑ Ç°Áú »óŸ¦ À¯ÁöÇÒ »Ó¸¸ ¾Æ´Ï¶ó ÃÊ°í¼Ó¸ÁÀ» ÅëÇØ ±¤¹üÀ§ÇÑ Áö¿ªÀ¸·Î ½Å¼ÓÇÏ°Ô ¹èÆ÷°¡ °¡´ÉÇÏ°í Á¤º¸ÀÇ º¯°æÀÌ ¿ëÀÌÇϴٴ Ư¼ºÀ¸·Î ÀÎÇØ ºÒ¹ýº¹Á¦ ¹× À§/º¯Á¶ µî°ú °°Àº °¢Á¾ º¸¾È À§Çù¿¡ ½±°Ô ³ëÃâµÇ¾î ÀÖ´Ù. ¶ÇÇÑ Åë¹æÀ¶ÇÕ, µðÁöÅРȨ, µðÁöÅбâ±âÀÇ ´Ù±â´ÉÈ µî µðÁöÅÐ ±â¼úÀÇ ÄÁ¹öÀü½º °¡¼ÓÈ°¡ ÀÌ·ç¾îÁö°í ÀÖ´Â »óȲ¿¡¼ µðÁöÅÐ ÄÜÅÙÃ÷ »ê¾÷À» º¸´Ù È°¼ºÈÇϱâ À§Çؼ´Â ´Ù¾çÇÑ ÄÜÅÙÃ÷ ¼ºñ½º ¸ðµ¨°ú »ç¿ëÀÚ È¯°æÀ» Áö¿øÇÒ ¼ö ÀÖ´Â ÄÜÅÙÃ÷ º¸È£ ±â¼úÀÌ ÇÊ¿äÇÏ´Ù.
ÀÌ ¹ÛÀÇ ´Ù¾çÇÑ À¥ ȯ°æ ³»¿¡¼ÀÇ Ãë¾àÁ¡ µéÀº ¼ºñ½º ÀÌ¿ëÀÚ°¡ À¯¡¤¹«¼± ÄÄÇ»Æà ȯ°æÀÇ ¼ºñ½º ÀÌ¿ëÀ» ±âÇÇÇÏ´Â ÁÖ¿äÇÑ ¿øÀÎÀÌ µÉ ¼ö ÀÖÀ¸¸ç ¼ºÀåÀÇ °É¸²µ¹·Î ÀÛ¿ë ÇÒ ¼ö ÀÖ´Ù. ±×·¯¹Ç·Î Áö¼ÓÀûÀ¸·Î ¹ßÀüµÇ°í ¿¬±¸µÇ°í ÀÖ´Â ÄÄÇ»Æà ±â¼úÀÌ ´ÜÁö °³ÀÎ »ýÈ°ÀÇ À±Åðú Á¦°ø °¡´ÉÇÑ ¼ºñ½ºÀÇ Ã¢Ãâ¿¡ Æ÷Ä¿½º¸¦ ¸ÂÃß¾î °³¹ßµÇ´Â °ÍÀÌ ¾Æ´Ï¶ó, °³ÀÎÁ¤º¸¸¦ º¸È£ÇÏ°í ½Å·ÚÇÒ ¼ö ÀÖ´Â ÀÎÅÍ³Ý È¯°æÀ» Á¶¼ºÇÒ ¼ö ÀÖ´Â ¹æÇâÀ¸·Î °³¹ßµÇ¾î¾ß ÇÑ´Ù.
À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾à ³»¿ë
XSSÃë¾àÁ¡Àº ÄÜÅÙÃ÷¸¦ ¾Ïȣȳª °ËÁõÇÏ´Â ÀýÂ÷ ¾øÀÌ »ç¿ëÀÚ°¡ Á¦°øÇÏ´Â µ¥ÀÌÅ͸¦ ¾ÖÇø®ÄÉÀ̼ǿ¡¼ ¹Þ¾ÆµéÀ̰ųª, À¥ ºê¶ó¿ìÀú·Î º¸³¾ ¶§¸¶´Ù ¹ß»ýÇÑ´Ù. XSS´Â °ø°ÝÀÚ°¡ Èñ»ýÀÚÀÇ ºê¶ó¿ìÀú ³»¿¡¼ ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÏ°Ô Çã¿ëÇÔÀ¸·Î½á »ç¿ëÀÚ ¼¼¼ÇÀ» °¡·Îä°Å³ª, À¥ »çÀÌÆ®¸¦ ¼Õ»óÇϰųª ¿úÀ» ½É´Â °Í µîÀ» °¡´ÉÇÏ°Ô ÇÒ ¼ö ÀÖ´Ù.
ÀÎÁ§¼Ç Ãë¾àÁ¡, ƯÈ÷ SQL ÀÎÁ§¼Ç Ãë¾àÁ¡Àº À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡¼ ¸Å¿ì ÈçÇÏ´Ù. ÀÎÁ§¼ÇÀº »ç¿ëÀÚ°¡ ÀÔ·ÂÇÑ µ¥ÀÌÅÍ°¡ ¸í·É¾î³ª ÁúÀǹ®ÀÇ ÀϺκÐÀ¸·Î ÀÎÅÍÇÁ¸®ÅÍ¿¡ º¸³»Áú ¶§ ¹ß»ýÇÑ´Ù. ¾ÇÀÇÀûÀÎ °ø°ÝÀÚ°¡ »ðÀÔÇÑ µ¥ÀÌÅÍ¿¡ ´ëÇØ ÀÎÅÍÇÁ¸®ÅÍ´Â ÀǵµÇÏÁö ¾ÊÀº ¸í·É¾î¸¦ ½ÇÇàÇϰųª µ¥ÀÌÅ͸¦ º¯°æÇÒ ¼ö ÀÖ´Ù.
<±Û¡¤È«½ÂÇÊ ¼º½Å¿©´ë ±³¼ö(philhong@sungshin.ac.kr)>
[±èÅÂÇü ±âÀÚ(boan2@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>