[특별기고-7]사용자들에게 단순 명료하고 풍부한 보안 제공해야

웹 이상의 어플리케이션 취약점이 OS 취약점보다 증가

SANS Report "The Top Cyber Security Risks " (http://www.sans.org/top-cyber-security-risks/)에 의하면 어플리케이션 취약점이 OS 취약점을 상회하였다고 합니다.

공격은 물리적, 시스템 및 네트워크를 노리는 Syntax 기반의 기술적, 사람의 심리를 노리는 Semantic(Cognitive) 공격이 있다고 한 바 있습니다.

- 악성코드 및 좀비, Malicious Codes Attacks & Zombies

- 웹 어플리케이션 공격, Web SQL and X-Site Script Attacks

- DOS/DDOS, Distributed Denial of Service Attacks

- 사회공학 및 세만틱 공격 , Social Engineering & Semantic Attacks

- 혼합공격, Blended Attacks, 심리적 기술적 혼합, 악성코드 혼합, 자동화..

지금까지 알고 있었던 OS나 네트워크가 아닌 웹 이상의 어플리케이션 공격이 많아

졌음을 알 수있습니다. 지난 회 Verizon 보고서에 의한 외부인의 데이터 및 기밀자료, 개인정보 유출 등은 거의 관리자의 태만이나 실수로 이루어 집니다. 이 자료에서 어플리케이션 취약점은 (1)웹 어플리케이션 공격, (2) 윈도우 Conficker/Downadup 웜, (3)애플 취약점 6개 등입니다.

OWASP(Open Web Application Security Project) 의 2010년 "The Ten Most Critical Web Application Security Risk"를 보면 웹 어플리케이션의 문제점이 상세하게 기술되어 있습니다.

(http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf)

공격자는 누구인지 알 수가 없고, 비즈니스 서비스의 영향도 각 조직마다 틀리지만 공격 방법(Attack Vector)는 매우 쉽고, 취약점과 전파(Weakness Prevalence)는 광범위하며, 탐지 방법(Weakness Detectable) 은 쉽지만 기술적 문제점은 심각한 것으로 보고 있습니다. 실제 많은 웹 개발자들에게서 나타나는 문제점에 의하여 어플리케이션 즉 조직의 비즈니스, 서비스의 문제가 나타납니다.

2009년 나타난 외부에서의 대부분의 개인정보 유출 사건은 Web 공격에 의한 것이었다고 보아도 무방할 듯 합니다.

특히 A1-"Injection"과 A2-"XSS" 에 의한 공격에 취약한 Web 서버의 수는 국내 최소한 50% 이상이 된다고 봅니다. 개인정보 및 기밀 정보가 유출되거나 변조되거나, 기록을 남기지 않게 하거나 서비스를 방해하여 서버 전체의 권한이 침해되기도 하며, 사용자 세션을 가로채고, Web 내용을 바꾸거나 악성코드를 남기거나 이를 배포하는 숙주로서 활용하는 실행 스크립트를 실행하기도 합니다.

현재 상당 수의 개인정보 유출은 웹 취약점에 의한 개인정보 DB 에서의 정보 유출이 대부분일 것입니다.

이제 모든 비즈니스는 서비스며, 서비스는 QA(Quality Assurance)가 빨라져야

"OWASP Top 10, 2010"은 다음 10가지의 위협으로서 A1 "Injection", A2, "Cross Site Script (XSS), A3, "Broken Authentication and Session Management", A4, "Insecure Direct Object References", A5-"Cross Site Request Forgery (CSRF), A6- "Security Mis-configuration", A7-"Failure to Restrict URL Access", A8-"Un-validated Redirects and Forwards, A9-"Insecure Cryptographic Storage":, A10-"Insufficient Transport Layer Protection" 등입니다.

문제는 개발자와 검증하는 사람들이 얼마나 조직의 QA에 잘 맞추어 웹 서비스의 안전성을 유지하며 조직의 대외 서비스를 하는가가 조직의 생존이 달려 있다고 보겠습니다.

개발자가 만든 코드를 분석하고, 어플리케이션을 시험하고, 침투시험 분석을 하는 것이 검증하는 사람의 의무입니다.

사실 QA는 대외 서비스를 하는 모든 기업이나 조직에서 가장 중요한 업무입니다, QA 중에 보안이 중요한 구성요소로 자리잡지 않는다면 그 기업의 서비스의 대외 품질이 보장되지 않아 결국 기업의 생존에까지 문제를 일으킬 것입니다. SDLC에서는 예를 들어 다음 표와 같은 활동이 예측된다. 이는 요약한다면 다음과 같다.

- 정보보안의 결점이 개발 주기의 초기에 비용효과적으로 수정됨을 결정

- 잠재적 취약성의 확인과 제거로 보다 나은 보안 설계 실천경험 제공

- 교정 활동, 특히 잘못된 작업과 혼란스러운 절차에 대한 훈련 및 교정

- 정보시스템이 요구되는 보안 통제에 따르는지 적합성 확인

- SDLC를 통한 정보보안 위험의 추세 확인

조직의 대외 서비스, 특히 웹 서비스는 개발자의 보안코딩의 문제점이나 운영 서비스의 문제로 인한 것이 대부분이라면 "개발 및 코딩"과 "검증(QA) 및 보안점검", "서비스 운영관리" 상에서 Feedback 이 가장 많을 것입니다. 특히 이미 서비스 중인 웹은 개인정보 유출이나 기밀정보 유출 전, 즉 사전에 이 문제점을 빠르게 해결하여야 합니다. "빨리 빨리" 문화가 적극적으로 필요합니다. 많은 소프트웨어 엔지니어들은 적은 인건비와 과중한 업무로 인하여, 특히 웹 서비스 개발자들은 웹 서비스에 필요한 프로그램을 Copy & Paste 로 해결하는 경우가 많습니다. 이러한 접근이 어쩔 수 없다면 빠른 점검에 따르는 개발 오류를 분석해내고 가능한 빠른 재코딩(Recoding)이 필요합니다.

＂네이버 보안 로그인＂을 보면

"NHN Story, "안심하고 로그인하세요" - 든든한 네이버 보안로그인, 2008년 04월 28일 월요일 | 공통서비스관리팀 하태기"

"naver"는 국내 최고의 포털이므로 매일 많은 이용자들이 로그인하고 있으며, 부정이 있을 수 있어서 정당한 사용자의 정상적인 로그인을 보장하기 위한 노력을 많이 하고 있습니다.

사용자들이 네이버에 로그인할 때 스니핑 방지를 위한 네트워크 보안용 일단계(보통)을 사용하는 경우와 BHO에 의한 브라우저 보안을 위한 브라우저 보안(높음) 단계, 이후 키 보드 보안을 추가한 키보드 보안(안심) 단계까지 3단계의 보안을 서비스하고 있습니다.

이뿐만 아니라 안전한 계정관리를 위한 가이드라인을 사용자들에게 제공 중입니다.

<연재 순서>

1. 대한민국 보안, 무엇을 바꾸어야 할까요?,

2. 보안뉴스 TSRC의 보안 개념과 10개의 이슈

3. 보안은 한 사람이 아닌 대중이 만들어 가야 한다.

4. 보안 전문가는 국가의 소중한 자산이 되어야 한다.

5. 기술보다 실천 경험이 더 중요하게 여겨져야 한다.

6. 한 사람의 지식이 아닌 집단적인 지식이 필요하다.

7. 지식의 문서화, 전략정보화가 중요함을 알아야 한다.

8. 사용자들에게 단순 명료하면서도 풍부한 보안을 제공하여야 한다.

9. 절대적 보안 아닌 객관상대적 보안을 이루어야 한다.

10. 보안 기술만이 보안의 필수 요소라고 믿지 말아야 한다.

11. 개방적이며 비용 효율적 보안이 중요함을 알아야 한다

12. 선진국 보안을 위하여 과학적, 민주적인 보안접근이 필요하다.

[글 · 임채호 보안뉴스 TSRC 센터장(chlim@boannews.com)]

*TSRC: Trusted Security Research Center

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)