SANS Report "The Top Cyber Security Risks " (http://www.sans.org/top-cyber-security-risks/)¿¡ ÀÇÇÏ¸é ¾îÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡ÀÌ OS Ãë¾àÁ¡À» »óȸÇÏ¿´´Ù°í ÇÕ´Ï´Ù.
°ø°ÝÀº ¹°¸®Àû, ½Ã½ºÅÛ ¹× ³×Æ®¿öÅ©¸¦ ³ë¸®´Â Syntax ±â¹ÝÀÇ ±â¼úÀû, »ç¶÷ÀÇ ½É¸®¸¦ ³ë¸®´Â Semantic(Cognitive) °ø°ÝÀÌ ÀÖ´Ù°í ÇÑ ¹Ù ÀÖ½À´Ï´Ù.
- ¾Ç¼ºÄÚµå ¹× Á»ºñ, Malicious Codes Attacks & Zombies
- À¥ ¾îÇø®ÄÉÀÌ¼Ç °ø°Ý, Web SQL and X-Site Script Attacks
- DOS/DDOS, Distributed Denial of Service Attacks
- »çȸ°øÇÐ ¹× ¼¼¸¸Æ½ °ø°Ý , Social Engineering & Semantic Attacks
- È¥ÇÕ°ø°Ý, Blended Attacks, ½É¸®Àû ±â¼úÀû È¥ÇÕ, ¾Ç¼ºÄÚµå È¥ÇÕ, ÀÚµ¿È..
Áö±Ý±îÁö ¾Ë°í ÀÖ¾ú´ø OS³ª ³×Æ®¿öÅ©°¡ ¾Æ´Ñ À¥ ÀÌ»óÀÇ ¾îÇø®ÄÉÀÌ¼Ç °ø°ÝÀÌ ¸¹¾Æ
Á³À½À» ¾Ë ¼öÀÖ½À´Ï´Ù. Áö³ ȸ Verizon º¸°í¼¿¡ ÀÇÇÑ ¿ÜºÎÀÎÀÇ µ¥ÀÌÅÍ ¹× ±â¹ÐÀÚ·á, °³ÀÎÁ¤º¸ À¯Ãâ µîÀº °ÅÀÇ °ü¸®ÀÚÀÇ Å¸¸À̳ª ½Ç¼ö·Î ÀÌ·ç¾î Áý´Ï´Ù. ÀÌ ÀÚ·á¿¡¼ ¾îÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡Àº (1)À¥ ¾îÇø®ÄÉÀÌ¼Ç °ø°Ý, (2) À©µµ¿ì Conficker/Downadup ¿ú, (3)¾ÖÇà Ãë¾àÁ¡ 6°³ µîÀÔ´Ï´Ù.
OWASP(Open Web Application Security Project) ÀÇ 2010³â "The Ten Most Critical Web Application Security Risk"¸¦ º¸¸é À¥ ¾îÇø®ÄÉÀ̼ÇÀÇ ¹®Á¦Á¡ÀÌ »ó¼¼ÇÏ°Ô ±â¼úµÇ¾î ÀÖ½À´Ï´Ù.
(http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf)
°ø°ÝÀÚ´Â ´©±¸ÀÎÁö ¾Ë ¼ö°¡ ¾ø°í, ºñÁî´Ï½º ¼ºñ½ºÀÇ ¿µÇâµµ °¢ Á¶Á÷¸¶´Ù Ʋ¸®Áö¸¸ °ø°Ý ¹æ¹ý(Attack Vector)´Â ¸Å¿ì ½±°í, Ãë¾àÁ¡°ú ÀüÆÄ(Weakness Prevalence)´Â ±¤¹üÀ§Çϸç, ŽÁö ¹æ¹ý(Weakness Detectable) Àº ½±Áö¸¸ ±â¼úÀû ¹®Á¦Á¡Àº ½É°¢ÇÑ °ÍÀ¸·Î º¸°í ÀÖ½À´Ï´Ù. ½ÇÁ¦ ¸¹Àº À¥ °³¹ßÀڵ鿡°Ô¼ ³ªÅ¸³ª´Â ¹®Á¦Á¡¿¡ ÀÇÇÏ¿© ¾îÇø®ÄÉÀÌ¼Ç Áï Á¶Á÷ÀÇ ºñÁî´Ï½º, ¼ºñ½ºÀÇ ¹®Á¦°¡ ³ªÅ¸³³´Ï´Ù.
2009³â ³ªÅ¸³ ¿ÜºÎ¿¡¼ÀÇ ´ëºÎºÐÀÇ °³ÀÎÁ¤º¸ À¯Ãâ »ç°ÇÀº Web °ø°Ý¿¡ ÀÇÇÑ °ÍÀ̾ú´Ù°í º¸¾Æµµ ¹«¹æÇÒ µí ÇÕ´Ï´Ù.
ƯÈ÷ A1-"Injection"°ú A2-"XSS" ¿¡ ÀÇÇÑ °ø°Ý¿¡ Ãë¾àÇÑ Web ¼¹öÀÇ ¼ö´Â ±¹³» ÃÖ¼ÒÇÑ 50% ÀÌ»óÀÌ µÈ´Ù°í º¾´Ï´Ù. °³ÀÎÁ¤º¸ ¹× ±â¹Ð Á¤º¸°¡ À¯ÃâµÇ°Å³ª º¯Á¶µÇ°Å³ª, ±â·ÏÀ» ³²±âÁö ¾Ê°Ô Çϰųª ¼ºñ½º¸¦ ¹æÇØÇÏ¿© ¼¹ö ÀüüÀÇ ±ÇÇÑÀÌ Ä§ÇصDZ⵵ Çϸç, »ç¿ëÀÚ ¼¼¼ÇÀ» °¡·Îä°í, Web ³»¿ëÀ» ¹Ù²Ù°Å³ª ¾Ç¼ºÄڵ带 ³²±â°Å³ª À̸¦ ¹èÆ÷ÇÏ´Â ¼÷Áַμ È°¿ëÇÏ´Â ½ÇÇà ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇϱ⵵ ÇÕ´Ï´Ù.
ÇöÀç »ó´ç ¼öÀÇ °³ÀÎÁ¤º¸ À¯ÃâÀº À¥ Ãë¾àÁ¡¿¡ ÀÇÇÑ °³ÀÎÁ¤º¸ DB ¿¡¼ÀÇ Á¤º¸ À¯ÃâÀÌ ´ëºÎºÐÀÏ °ÍÀÔ´Ï´Ù.
ÀÌÁ¦ ¸ðµç ºñÁî´Ï½º´Â ¼ºñ½º¸ç, ¼ºñ½º´Â QA(Quality Assurance)°¡ »¡¶óÁ®¾ß
"OWASP Top 10, 2010"Àº ´ÙÀ½ 10°¡ÁöÀÇ À§ÇùÀ¸·Î¼ A1 "Injection", A2, "Cross Site Script (XSS), A3, "Broken Authentication and Session Management", A4, "Insecure Direct Object References", A5-"Cross Site Request Forgery (CSRF), A6- "Security Mis-configuration", A7-"Failure to Restrict URL Access", A8-"Un-validated Redirects and Forwards, A9-"Insecure Cryptographic Storage":, A10-"Insufficient Transport Layer Protection" µîÀÔ´Ï´Ù.
¹®Á¦´Â °³¹ßÀÚ¿Í °ËÁõÇÏ´Â »ç¶÷µéÀÌ ¾ó¸¶³ª Á¶Á÷ÀÇ QA¿¡ Àß ¸ÂÃß¾î À¥ ¼ºñ½ºÀÇ ¾ÈÀü¼ºÀ» À¯ÁöÇϸç Á¶Á÷ÀÇ ´ë¿Ü ¼ºñ½º¸¦ Çϴ°¡°¡ Á¶Á÷ÀÇ »ýÁ¸ÀÌ ´Þ·Á ÀÖ´Ù°í º¸°Ú½À´Ï´Ù.
°³¹ßÀÚ°¡ ¸¸µç Äڵ带 ºÐ¼®ÇÏ°í, ¾îÇø®ÄÉÀ̼ÇÀ» ½ÃÇèÇÏ°í, ħÅõ½ÃÇè ºÐ¼®À» ÇÏ´Â °ÍÀÌ °ËÁõÇÏ´Â »ç¶÷ÀÇ Àǹ«ÀÔ´Ï´Ù.
»ç½Ç QA´Â ´ë¿Ü ¼ºñ½º¸¦ ÇÏ´Â ¸ðµç ±â¾÷À̳ª Á¶Á÷¿¡¼ °¡Àå Áß¿äÇÑ ¾÷¹«ÀÔ´Ï´Ù, QA Áß¿¡ º¸¾ÈÀÌ Áß¿äÇÑ ±¸¼º¿ä¼Ò·Î ÀÚ¸®ÀâÁö ¾Ê´Â´Ù¸é ±× ±â¾÷ÀÇ ¼ºñ½ºÀÇ ´ë¿Ü Ç°ÁúÀÌ º¸ÀåµÇÁö ¾Ê¾Æ °á±¹ ±â¾÷ÀÇ »ýÁ¸¿¡±îÁö ¹®Á¦¸¦ ÀÏÀ¸Å³ °ÍÀÔ´Ï´Ù. SDLC¿¡¼´Â ¿¹¸¦ µé¾î ´ÙÀ½ Ç¥¿Í °°Àº È°µ¿ÀÌ ¿¹ÃøµÈ´Ù. ÀÌ´Â ¿ä¾àÇÑ´Ù¸é ´ÙÀ½°ú °°´Ù.
- Á¤º¸º¸¾ÈÀÇ °áÁ¡ÀÌ °³¹ß ÁÖ±âÀÇ Ãʱ⿡ ºñ¿ëÈ¿°úÀûÀ¸·Î ¼öÁ¤µÊÀ» °áÁ¤
- ÀáÀçÀû Ãë¾à¼ºÀÇ È®Àΰú Á¦°Å·Î º¸´Ù ³ªÀº º¸¾È ¼³°è ½Çõ°æÇè Á¦°ø
- ±³Á¤ È°µ¿, ƯÈ÷ À߸øµÈ ÀÛ¾÷°ú È¥¶õ½º·¯¿î ÀýÂ÷¿¡ ´ëÇÑ ÈÆ·Ã ¹× ±³Á¤
- Á¤º¸½Ã½ºÅÛÀÌ ¿ä±¸µÇ´Â º¸¾È ÅëÁ¦¿¡ µû¸£´ÂÁö ÀûÇÕ¼º È®ÀÎ
- SDLC¸¦ ÅëÇÑ Á¤º¸º¸¾È À§ÇèÀÇ Ãß¼¼ È®ÀÎ
Á¶Á÷ÀÇ ´ë¿Ü ¼ºñ½º, ƯÈ÷ À¥ ¼ºñ½º´Â °³¹ßÀÚÀÇ º¸¾ÈÄÚµùÀÇ ¹®Á¦Á¡À̳ª ¿î¿µ ¼ºñ½ºÀÇ ¹®Á¦·Î ÀÎÇÑ °ÍÀÌ ´ëºÎºÐÀ̶ó¸é "°³¹ß ¹× ÄÚµù"°ú "°ËÁõ(QA) ¹× º¸¾ÈÁ¡°Ë", "¼ºñ½º ¿î¿µ°ü¸®" »ó¿¡¼ Feedback ÀÌ °¡Àå ¸¹À» °ÍÀÔ´Ï´Ù. ƯÈ÷ ÀÌ¹Ì ¼ºñ½º ÁßÀÎ À¥Àº °³ÀÎÁ¤º¸ À¯ÃâÀ̳ª ±â¹ÐÁ¤º¸ À¯Ãâ Àü, Áï »çÀü¿¡ ÀÌ ¹®Á¦Á¡À» ºü¸£°Ô ÇØ°áÇÏ¿©¾ß ÇÕ´Ï´Ù. "»¡¸® »¡¸®" ¹®È°¡ Àû±ØÀûÀ¸·Î ÇÊ¿äÇÕ´Ï´Ù. ¸¹Àº ¼ÒÇÁÆ®¿þ¾î ¿£Áö´Ï¾îµéÀº ÀûÀº ÀΰǺñ¿Í °úÁßÇÑ ¾÷¹«·Î ÀÎÇÏ¿©, ƯÈ÷ À¥ ¼ºñ½º °³¹ßÀÚµéÀº À¥ ¼ºñ½º¿¡ ÇÊ¿äÇÑ ÇÁ·Î±×·¥À» Copy & Paste ·Î ÇØ°áÇÏ´Â °æ¿ì°¡ ¸¹½À´Ï´Ù. ÀÌ·¯ÇÑ Á¢±ÙÀÌ ¾î¿ ¼ö ¾ø´Ù¸é ºü¸¥ Á¡°Ë¿¡ µû¸£´Â °³¹ß ¿À·ù¸¦ ºÐ¼®Çس»°í °¡´ÉÇÑ ºü¸¥ ÀçÄÚµù(Recoding)ÀÌ ÇÊ¿äÇÕ´Ï´Ù.
£¢³×À̹ö º¸¾È ·Î±×ÀΣ¢À» º¸¸é
"NHN Story, "¾È½ÉÇÏ°í ·Î±×ÀÎÇϼ¼¿ä" - µçµçÇÑ ³×À̹ö º¸¾È·Î±×ÀÎ, 2008³â 04¿ù 28ÀÏ ¿ù¿äÀÏ | °øÅ뼺ñ½º°ü¸®ÆÀ ÇÏűâ"
"naver"´Â ±¹³» ÃÖ°íÀÇ Æ÷ÅÐÀ̹ǷΠ¸ÅÀÏ ¸¹Àº ÀÌ¿ëÀÚµéÀÌ ·Î±×ÀÎÇÏ°í ÀÖÀ¸¸ç, ºÎÁ¤ÀÌ ÀÖÀ» ¼ö ÀÖ¾î¼ Á¤´çÇÑ »ç¿ëÀÚÀÇ Á¤»óÀûÀÎ ·Î±×ÀÎÀ» º¸ÀåÇϱâ À§ÇÑ ³ë·ÂÀ» ¸¹ÀÌ ÇÏ°í ÀÖ½À´Ï´Ù.
»ç¿ëÀÚµéÀÌ ³×À̹ö¿¡ ·Î±×ÀÎÇÒ ¶§ ½º´ÏÇÎ ¹æÁö¸¦ À§ÇÑ ³×Æ®¿öÅ© º¸¾È¿ë ÀÏ´Ü°è(º¸Åë)À» »ç¿ëÇÏ´Â °æ¿ì¿Í BHO¿¡ ÀÇÇÑ ºê¶ó¿ìÀú º¸¾ÈÀ» À§ÇÑ ºê¶ó¿ìÀú º¸¾È(³ôÀ½) ´Ü°è, ÀÌÈÄ Å° º¸µå º¸¾ÈÀ» Ãß°¡ÇÑ Å°º¸µå º¸¾È(¾È½É) ´Ü°è±îÁö 3´Ü°èÀÇ º¸¾ÈÀ» ¼ºñ½ºÇÏ°í ÀÖ½À´Ï´Ù.
À̻Ӹ¸ ¾Æ´Ï¶ó ¾ÈÀüÇÑ °èÁ¤°ü¸®¸¦ À§ÇÑ °¡À̵å¶óÀÎÀ» »ç¿ëÀڵ鿡°Ô Á¦°ø ÁßÀÔ´Ï´Ù.
<¿¬Àç ¼ø¼>
1. ´ëÇѹα¹ º¸¾È, ¹«¾ùÀ» ¹Ù²Ù¾î¾ß ÇÒ±î¿ä?,
2. º¸¾È´º½º TSRCÀÇ º¸¾È °³³ä°ú 10°³ÀÇ À̽´
3. º¸¾ÈÀº ÇÑ »ç¶÷ÀÌ ¾Æ´Ñ ´ëÁßÀÌ ¸¸µé¾î °¡¾ß ÇÑ´Ù.
4. º¸¾È Àü¹®°¡´Â ±¹°¡ÀÇ ¼ÒÁßÇÑ ÀÚ»êÀÌ µÇ¾î¾ß ÇÑ´Ù.
5. ±â¼úº¸´Ù ½Çõ °æÇèÀÌ ´õ Áß¿äÇÏ°Ô ¿©°ÜÁ®¾ß ÇÑ´Ù.
6. ÇÑ »ç¶÷ÀÇ Áö½ÄÀÌ ¾Æ´Ñ Áý´ÜÀûÀÎ Áö½ÄÀÌ ÇÊ¿äÇÏ´Ù.
7. Áö½ÄÀÇ ¹®¼È, Àü·«Á¤º¸È°¡ Áß¿äÇÔÀ» ¾Ë¾Æ¾ß ÇÑ´Ù.
8. »ç¿ëÀڵ鿡°Ô ´Ü¼ø ¸í·áÇϸ鼵µ dzºÎÇÑ º¸¾ÈÀ» Á¦°øÇÏ¿©¾ß ÇÑ´Ù.
9. Àý´ëÀû º¸¾È ¾Æ´Ñ °´°ü»ó´ëÀû º¸¾ÈÀ» ÀÌ·ç¾î¾ß ÇÑ´Ù.
10. º¸¾È ±â¼ú¸¸ÀÌ º¸¾ÈÀÇ Çʼö ¿ä¼Ò¶ó°í ¹ÏÁö ¸»¾Æ¾ß ÇÑ´Ù.
11. °³¹æÀûÀÌ¸ç ºñ¿ë È¿À²Àû º¸¾ÈÀÌ Áß¿äÇÔÀ» ¾Ë¾Æ¾ß ÇÑ´Ù
12. ¼±Áø±¹ º¸¾ÈÀ» À§ÇÏ¿© °úÇÐÀû, ¹ÎÁÖÀûÀÎ º¸¾ÈÁ¢±ÙÀÌ ÇÊ¿äÇÏ´Ù.
[±Û ¡¤ ÀÓäȣ º¸¾È´º½º TSRC ¼¾ÅÍÀå(chlim@boannews.com)]
*TSRC: Trusted Security Research Center
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>