Web Security Solution All Guide
Chapter 3. À¥ º¸¾È Àü¹®°¡ ³ëÇÏ¿ì ÈÉÃ帱â
Ç×»ó »õ·Î¿î ±â¼ú ½ÀµæÀ§ÇØ ³ë·ÂÇؾß
ÇÊÀÚ´Â º¸¾ÈÀü¹® ±â¾÷ NSHCÀÇ º¸¾ÈÄÁ¼³Æà ÆÀ¿¡¼ ¸ðÀÇÇØÅ·°ú Ãë¾à¼ººÐ¼® ¾÷¹«¸¦ ¸Ã°í ÀÖ´Â ÀϹÝÀο¡°Ô´Â ÇØÄ¿·Î ´õ¿í Àß ¾Ë·ÁÁø º¸¾È ÄÁ¼³ÅÏÆ®ÀÌ´Ù. ÇÏ·ç°¡ ´Ù¸£°Ô ¹Ù²î¾î °¡´Â ITºÐ¾ß Áß¿¡¼µµ ´õ¿í À̽´°¡ µÇ°í ÀÖ´Â Á¤º¸º¸¾ÈÀ̶ó´Â ºÐ¾ß¿¡¼ °¡Àå Áß¿äÇÑ °ÍÀÌ Ãֽűâ¼ú(±â¹ý)ÀÌ ¾Æ´Ò±î »ý°¢ÇÑ´Ù. Ç×»ó Ãֽűâ¼ú ½Àµæ¿¡ ±Í¸¦ ¿°í ´«¿¡ ºÒÀ» ÄÑ°í °øºÎ¸¦ ÇØ¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù.
ºÐ¸í Á¤º¸º¸¾ÈÀÇ ÀÔ¹®ÀÚ³ª Ãë¾÷ Áغñ»ýµéÀº ¡°½Ã½ºÅÛ, ³×Æ®¿öÅ©, À¥, ´õ ÀÚ¼¼È÷ ÆÄ°íµé¸é ³¡µµ ¾ø´Â °Í µéÀ» ¾î¶»°Ô ¸ÅÀϸÅÀÏ °øºÎ¸¦ ÇÑ´Ü ¸»ÀÌ¿¡¿ä? ³Ê¹« Èûµç °Å ¾Æ´Ñ°¡¿ä?¡±¶ó´Â Àǹ®À» °¡Áú °ÍÀÌ´Ù. ÀÌ Áú¹®¿¡ ³ª´Â ÀÌ·¸°Ô ´ë´äÀ» ÇØÁÖ°í ½Í´Ù. ¡°È¥ÀÚ¼ µéÁö ¸øÇÏ´Â °ÍÀ» ¾ðÁ¦µçÁö °°ÀÌ µé¾îÁÙ »ç¶÷ÀÌ ÀÖ´Ù¸é, ±×°Ç ³ªÀÇ ÈûÀÌ´Ù.¡±
ÀÌ Á¤º¸º¸¾ÈÀ̶ó´Â ±í°í ³ÐÀº ºÐ¾ß¿¡¼ È¥ÀÚÀÇ ÈûÀ¸·Î ¸ðµç °ÍÀ» ÇìÃijª°¡´Ù´Â °ÍÀº ¾î·Æ´Ù´Â ¸»°ú µ¿ÀÏÇÏ´Ù. ¶Ç ¹æ±Ý Áú¹®À» ´øÁ³´ø ÀÌ´Â ÀÌ·¸°Ô ¸»ÇÒ °ÍÀÌ´Ù. ¡°Àú´Â ¾Æ´Â »ç¶÷µµ ¾ø°í È¥ÀÚ ÇØ¾ß ÇÒ °Í °°Àºµ¥¿ä?¡± ÀθƵµ Áß¿äÇÏÁö¸¸ ¾î¶°ÇÑ Ä¿¹Â´ÏƼ ¼Ó¿¡¼ ÇϷ縦 º¸³»´À³Ä°¡ ³»ÀÏ À̽´ÈµÉ Ãë¾àÁ¡À» ¸·´À³Ä ¸ø ¸·´À³Ä¿Í Èí»çÇÏ´Ù°í ´ë´äÇØÁÖ°í ½Í´Ù. ÀÚ! Áö±ÝºÎÅÍ º¸¾È ÄÁ¼³ÅÏÆ®ÀÇ ÇϷ縦 ÅëÇØ ÃֽŠÇØÅ·±â¹ý°ú ´ëÀÀ¹ý¿¡ Á» ´õ ¹ß ºü¸£°Ô ¿òÁ÷ÀÏ ¼ö ÀÖµµ·Ï ³ëÇϿ츦 ½ÀµæÇßÀ¸¸é ÇÑ´Ù.
¾Æħ¿¡ Ãâ±ÙÇÏÀÚ¸¶ÀÚ ³ëÆ®ºÏ¿¡ Àü¿øÀ» Å°°í Â÷ ÇÑ ÀÜÀ» ÁغñÇÑ´Ù. ºÎÆÃÀÌ ¿Ï·áµÈ °ÍÀ» È®ÀÎÇÏ°í ÇÑ ½Ã°£ µ¿¾È Ä¿¹Â´ÏƼ »çÀÌÆ®¸¦ ¼øȸÇÏµí ¹æ¹®ÇÏ¿© ÃֽŠ°Ô½Ã¹°À» Àаí ÇнÀÀ» ÇÑ´Ù. ¾Æ·¡¿¡ ¼Ò°³ÇÏ´Â Ä¿¹Â´ÏƼ´Â °¡Àå ¾Æ³¢´Â Á¤º¸º¸¾È Ä¿¹Â´ÏƼ »çÀÌÆ®ÀÌ´Ù.
¡Ü ³×À̹ö - SecurityPlus
Á¤º¸º¸¾È¾÷°è¿¡¼ ¿©±â ¸ð¸£¸é °£Ã¸ÀÏ Á¤µµ·Î À¯¸íÇÏ´Ù.
¡Ü ³×À̹ö - ÁýÁßÀº õÀ縦 ³Ñ¾î¼±´Ù!
¾Æ´Â »ç¶÷Àº ±Ø¼Ò¼öÁö¸¸ ±â¼úÀûÀ¸·Î´Â ¶Ù¾î³ª´Ù.
Çѱ¹ÀÇ ÇØÅ·´çÇÑ »çÀÌÆ®µéÀÌ ½Ç½Ã°£À¸·Î Áý°èµÇ´Â °÷ÀÌ´Ù.
ÀÌ°÷Àº ¼ö·áÇÑ È¸¿øµé¸¸ Á¢±ÙÀÌ °¡´ÉÇÏ°í Á¤º¸°øÀ¯ Ä¿¹Â´ÏƼ°¡ Àß Çü¼ºµÇ¾î ÀÖ´Ù.
¸ðÀÇ ÇØÅ·°ú Ãë¾à¼º Áø´Ü ¼öÇà, º¸°í¼ ÀÛ¾÷ Çʼö
±×¸®°í ³ª¼´Â Á¡½É½Ä»ç Àü±îÁö ¸ðÀÇÇØÅ·°ú Ãë¾à¼ºÁø´ÜÀ» ¼öÇàÇϰųª º¸°í¼ ÀÛ¾÷À» ÁÖ·Î ÇÑ´Ù. ÀÌ ¶§¿¡µµ ³ëÇÏ¿ì´Â ÀÖ´Ù. Áø´Ü ½Ã¿¡ ¿¹Àü¿¡ º¸ÀÌÁö ¾Ê¾Ò´ø ±Ã±ÝÇÑ Á¡À̳ª, Àǹ®Á¡Àº ¸Þ¸ð¸¦ ÇÏ¿© ²À ¤°í ³Ñ¾î°¡µµ·Ï ÇØ¾ß ÇÑ´Ù. °æÇè»óÀ¸·Îµµ Áö±Ý ¸ô¶ú´ø °ÍÀº ³ªÁß¿¡µµ ¸ð¸£´ø °ÍÀÌ ´Ù¹Ý»ç°í ±âÃÊ °ø»ç°¡ źźÇØ¾ß Ãֽűâ¼ú ¶ÇÇÑ µû¶ó¿À±â ¶§¹®ÀÌ´Ù. ¸Þ¸ð¸¦ ÇÑ °ÍµéÀº Á¡½É½Ã°£À» ÀÌ¿ëÇØ ½º½º·Î ÇнÀÀ» ÅëÇØ ÀÌÇظ¦ ÇÏ°í ½Ã°£ÀÌ °É¸®´Â °ÍµéÀº ¸Þ½ÅÀú¿¡ Á¢¼ÓÁßÀÎ ÇØ´ç ºÐ¾ß Àü¹®°¡µé¿¡°Ô ÀڷḦ ¿äûÇϰųª ªÀº °ÀǸ¦ µè´Â´Ù. ¹°·Ð ÇØ´ç ºÐ¾ß Àü¹®°¡µéÀº ÀθÆÀÌ ÇÊ¿äÇÑ °æ¿ìÀ̱ä ÇÏÁö¸¸ ¿Á¤¸¸ ÀÖ´Ù¸é ÀθÆÀº Â÷°îÂ÷°î ½×ÀÏ °Å¶ó ¹Ï´Â´Ù.
Á¡½É ½Ä»ç ÈÄ ¿ÀÈÄ ½Ã°£´ë¿¡´Â Á¹À½ÀÌ ¿À´Â ½Ã°£´ëÀÌ´Ù. 30ºÐ °¡·®Àº ±¹³» ÇØÅ· ±×·ì ȨÆäÀÌÁö¸¦ ¹æ¹®Çؼ ¾÷µ¥ÀÌÆ®µÈ ±â¼ú¹®¼°¡ ÀÖ´ÂÁö, ÇØÅ·´ëȸ°¡ ÀÖ´ÂÁö Á¤º¸¸¦ Ž»öÇÑ´Ù. ƯÈ÷ ÀÚÁÖ °¡º¸´Â ÇØÅ·±×·ì ȨÆäÀÌÁö µéÀº ¾Æ·¡¿Í °°´Ù.
¨Ñ http://www.securityproof.org
¿äÁò¿¡´Â Mass SQL InjectionÀ¸·Î ¶°µé½âÇÏ´Ù. °í°´»çÃøÀº ¹Ì¸® ´ëÀÀÀ» ÇÑ Å¿¿¡ ÇÇÇØ°¡ ¾øÁö¸¸ ´Ù¸¥ °÷¿¡¼ ºÎ½ ÀüÈ°¡ ¸¹ÀÌ ¿Â´Ù. ÀÌ·¸°Ô À̽´È°¡ µÇ´Â Ãֽűâ¼úµéÀº °øºÎµµ ÇÏ°í °øÀ¯µµ ÇÒ ¼ö ÀÖµµ·Ï ¹®¼ÈÇÏ´Â ½À°üµµ Áß¿äÇÏ´Ù. ¹°·Ð À̹ø Mass SQL injectionµµ ¹Ì¸® ±â¼ú¹®¼·Î ȸ»ç¿¡¼ ¹®¼¸¦ ¸¸µé¾ú±â¿¡ °í°´»çÀÇ ÇÇÇØ°¡ ¹ß»ýÇÏÁö ¾Ê¾Ò°í ȸ»ç ȨÆäÀÌÁöÀÇ ¹æ¹®ÀÚµµ ´Ã¾î³µ´Ù. [ÀÚ·á°¡ ÇÊ¿äÇÑ »ç¶÷Àº ȸ»ç ȨÆäÀÌÁö¿¡¼ ¡°Mass sql injection °ø°Ý±â¹ý°ú ´ëÀÀ¹ý¡± ±â¼ú¹®¼¸¦ Âü°íÇÏ¸é µÈ´Ù.
¿ÀÈÄ 2½Ã¿¡´Â ¿ÀÈÄ Áø´Ü ½Ã°£ÀÌ´Ù. Áø´Ü ½Ã°£À¸·Î Á¤ÇØÁø 17:30±îÁö ÁýÁßÇØ ÀÓÇÏ´Â ½Ã°£ÀÌ´Ù. ¹°·Ð ¸Þ¸ð´Â ÇʼöÀÌ´Ù. ±×¸®°í ÀÌ ½Ã°£ÀÌ Áö³ª¸é ÇÏ·ç ÀÏ°ú¸¦ ¸¶¹«¸® ÇÏ°í ¿À´Ã Àú³á¿¡ ÀÖÀ» ¼¼¹Ì³ªÀÇ À§Ä¡¸¦ ÆľÇÇÑ´Ù. ¹Ù»Û »ýÈ° ¼Ó¿¡¼ ¼¼¹Ì³ª¸¦ Âü¼®ÇÑ´Ù´Â °ÍÀº ½¬¿î ÀÏÀÌ ¾Æ´Ï´Ù. ±×·¸Áö¸¸ Ãֽűâ¼ú°ú ¹ß¸ÂÃç ³ª°¡±â À§Çؼ´Â ¼¼¹Ì³ª´Â ¹°·Ð ½ºÅ͵ð ±×·ìÀ» ÅëÇؼ ¿Á¤À» ½Ï Æ·¿ö¾ß Ãֽűâ¼ú°ú µ¿ÇàÇÏ´Â º¸¾È°ü¸®ÀÚ°¡ µÉ ¼ö ÀÖÀ» °Å¶ó »ý°¢µÈ´Ù.
¾î´À»õ ³Ê¹«³ª Àͼ÷ÇØÁ® ¹ö¸° ³ªÀÇ ÀÏ°ú¸¦ µÇ¤¾îº¸´Ï ±×¸® Æò¹üÇÏÁö´Â ¾ÊÀº °Í °°´Ù. ÀÚ³ª ±ú³ª º¸¾ÈÀÌ´Ù. ¹°·Ð ÁÁ¾ÆÇÏÁö ¾Ê´Â ÀÏÀ̶ó¸é ºÒ°¡´ÉÇÑ ÀÏ»óÀÌ´Ù. Ãֽűâ¼úÀ» µû¶ó°¡´Â °Í ¶ÇÇÑ ½±Áö ¾ÊÀº ÀÏÀÌÁö¸¸ ²ÙÁØÈ÷ À̾ ¼ö ÀÖ´Â ¡®¿Á¤¡¯À̶ó´Â ¿£ÁøÀÌ Ç×»ó ²ú¾î ³ÑÄ¡´Â °ÍÀÌ ±Þ¼±¹« ÀÎ °Í °°´Ù.
Tip
1. Á¤º¸º¸¾È Ä¿¹Â´ÏƼ »çÀÌÆ®¸¦ ´º½º ±â»ç º¸µíÀÌ ¸ÅÀÏ ¾Æħ ¹æ¹®Ç϶ó.
2. ÇÏ·ç ÀÏ°ú Áß¿¡ »ý±ä ±Ã±ÝÁõÀ̳ª Àǹ®Á¡Àº ²À ¸Þ¸ðÇ϶ó. ¸ð¸£°í Áö³ª°£ °ÍÀº ²À ´ÙÀ½¿¡ ´ç½ÅÀÇ ¹ß¸ñÀ» ºÙÀâ´Â´Ù.
3. Ãֽűâ¼úÀ» °øºÎÇÒ ¶§ °¡Àå ÁÁÀº ¹æ¹ýÀº ¹®¼ÈÇÏ¿© °øÀ¯&¹èÆ÷¸¦ ¸ñÀûÀ¸·Î ÀÛ¼ºÇ϶ó. ´Ù¸¥ À̵éÀÌ º»´Ù°í »ý°¢ÇÏ¸é ¾ó··¶×¶¥ °øºÎ ÇÒ ¼ö Àְڴ°¡?
4. ¼¼¹Ì³ª´Â ÇÑ ´Þ¿¡ ÇÑ µÎ ¹ø¾¿Àº Àֱ⠸¶·ÃÀÌ´Ù. ÃÖ´ëÇÑ ½Ã°£À» ³»¾î Âü¼®ÇÑ´Ù. ½ºÅ͵ð ±×·ì È°µ¿µµ ¿¹¿ÜÀÏ ¼ö ¾ø´Ù.
5. À§ÀÇ °ÍµéÀÌ Àͼ÷ÇØÁú ¶§±îÁö ÁöÅ°°í ¶Ç ÁöÄѳª°£´Ù.
[±Û¡¤¹Ú¿ë¿î NSHC º¸¾ÈÄÁ¼³ÆÃÆÀ ÄÁ¼³ÅÏÆ®(ywpark@nshc.net)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>