Home > Àüü±â»ç

[±ä±Þ] ±¹³» ¼îÇθô 20~30% °³ÀÎÁ¤º¸ À¯Ãâ ºñ»ó!

ÀÔ·Â : 2010-08-16 11:28
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

À§Áî¸ô »ç¿ëÇÏ´Â ¼îÇθô Á¦·Îµ¥ÀÌ µî 4°¡Áö Ãë¾àÁ¡¿¡ ³ëÃâ!


[º¸¾È´º½º ±æ¹Î±Ç] ±¹³» ¼îÇθô 20~30%°¡ »ç¿ëÇÏ°í ÀÖ´Â ¼îÇθô ¼Ö·ç¼Ç ¡®À§Áî¸ô¡¯ ÃֽŹöÀü¿¡ ´ëÇÑ Á¦·Îµ¥ÀÌ(0-day)  Ãë¾àÁ¡ÀÌ ¹ßÇ¥µÅ ¼îÇθôÀ» ÀÌ¿ëÇÏ´Â »ç¿ëÀÚµéÀÇ °³ÀÎÁ¤º¸°¡ À§ÇèÇÑ »óȲÀÌ´Ù. ÀÌ¿¡ ´ëÇÑ ½Å¼ÓÇÑ ´ëó°¡ ÇÊ¿äÇÏ´Ù. 


±¹Á¦Á¤º¸º¸¾È¼¾ÅÍ(ÀÌÇÏ i2Sec. ºÎ»ê)Àº 16ÀÏ ±¹³» ¹«·á ¼îÇθô ¡®À§Áî¸ô¡¯ ÃֽŠ¹öÀü¿¡ ´ëÇÑ Ãë¾àÁ¡(0-day Exploit)À» ¹ßÇ¥Çß´Ù. À§Áî¸ôÀº ±¹³» ¹«·á ¼îÇθô·Î ¿©·¯ ¹æ¸é¿¡¼­ ³Î¸® º¸±ÞµÇ¾î »ç¿ë Áß ÀΠȨÆäÀÌÁö´Ù.


À§Áî¸ô¿¡¼­ ¹ß°ßµÈ ´ëÇ¥ÀûÀÎ Ãë¾àÁ¡À¸·Î´Â XSS, CSRF, ¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢°´Ã¼ ÂüÁ¶, º¸¾È»ó À߸øµÈ ±¸¼º µî 4°¡Áö·Î µå·¯³µ´Ù. ±¸Ã¼ÀûÀÎ Ãë¾à ÇöȲÀº ¾Æ·¡¿Í °°´Ù.


¡ÞXSS Ãë¾àÁ¡ = XSS(Cross Site Scripting)´Â µ¿Àû »ý¼º À¥ ÆäÀÌÁö¿¡ ¾ÇÀÇÀûÀÎ ½ºÅ©¸³Æ®¸¦ ³Ö¾î, »ç¿ëÀÚ°¡ ÇØ´ç ÆäÀÌÁö¸¦ ¿­¶÷ÇßÀ» °æ¿ì »ðÀÔÇÑ ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇϵµ·Ï ÇÔÀ¸·Î½á »ç¿ëÀÚÀÇ Á¤º¸¸¦ Å»ÃëÇÏ´Â À¥ ÇØÅ· ±â¹ýÀÌ´Ù.

 

¡ÞCSRF Ãë¾àÁ¡ = CSRF(Cross Site Response Forgery)´Â Å©·Î½º-»çÀÌÆ® ½ºÅ©¸³ÆÃ(XSS)°ú À¯»çÇÑ Á¡ÀÌ ÀÖÁö¸¸, XSSÀÇ °æ¿ì¿¡´Â ¾Ç¼º ½ºÅ©¸³Æ®¸¦ À¥»çÀÌÆ®¿¡ »ðÀÔÇÒ ÇÊ¿ä°¡ ÀÖ´Â ¹Ý¸é, CSRF °ø°ÝÀÇ °æ¿ì »çÀÌÆ®°¡ ½Å·ÚÇÏ´Â »ç¿ëÀÚ¸¦ ÅëÇØ °ø°ÝÀÚ°¡ ¿øÇÏ´Â ¸í·ÉÀ» »çÀÌÆ®·Î Àü¼ÛÇϵµ·Ï ÇÏ´Â ±â¹ýÀÌ´Ù.

 

¡Þ¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢°´Ã¼ ÂüÁ¶ Ãë¾àÁ¡ = ¾îÇø®ÄÉÀ̼ÇÀº À¥ÆäÀÌÁö¸¦ »ý¼ºÇÒ ¶§ Á¾Á¾ ½ÇÁ¦ À̸§À̳ª Å°°ªÀ» »ç¿ëÇÑ´Ù. ¾îÇø®ÄÉÀ̼ÇÀº »ç¿ëÀÚ°¡ ´ë»ó°´Ã¼¿¡ ´ëÇÑ ±ÇÇÑÀ» °®°í ÀÖ´ÂÁö Ç×»ó °ËÁõÇÏÁö ¾Ê´Â´Ù. À̸¦ ÀÌ¿ëÇÏ¿© Ÿ»ç¿ëÀÚ Á¤º¸¸¦ Á¶È¸ÇÒ ¼ö ÀÖ´Ù.

¡Þº¸¾È»ó À߸øµÈ ±¸¼º¿¡ ´ëÇÑ Ãë¾àÁ¡ = Çã°¡µÇÁö ¾ÊÀº Á¢±ÙÀ̳ª, ½Ã½ºÅÛ Á¤º¸ ȹµæÀ» À§ÇØ °ø°ÝÀÚ´Â µðÆúÆ® °èÁ¤, »ç¿ëµÇÁö ¾Ê´Â ÆäÀÌÁö, ÆÐÄ¡ µÇÁö ¾ÊÀº °áÇÔ°ú º¸È£µÇÁö ¾ÊÀº ÆÄÀÏ°ú µð·ºÅ丮 µîÀ» ÅëÇØ Á¢±ÙÇÑ´Ù.

ÀÌ»ó°ú °°Àº Ãë¾àÁ¡¿¡ ´ëÇÑ ´ëÀÀÀº ¾î¶»°Ô ÇØ¾ß ÇÒ±î.


¿ì¼± XSS¸¦ ¹æÁöÇÏ·Á¸é È°¼ººê¶ó¿ìÀú ÄÜÅÙÃ÷¿Í ½Å·Ú ÇÒ ¼ö ¾ø´Â µ¥ÀÌÅ͸¦ Ç×»ó ºÐ¸®ÇØ¾ß ÇÑ´Ù.


1. ¼±È£µÇ´Â ¹æ¹ýÀº ½Å·ÚÇÒ ¼ö ¾ø´Â µ¥ÀÌÅÍ°¡ Æ÷ÇÔ µÉ ¼ö ÀÖ´Â HTML(body, attribute, ÀÚ¹Ù½ºÅ©¸³Æ®, CSS, URL) ±â¹Ýµ¥ÀÌÅÍ Àüü¸¦ ¿Ã¹Ù¸£°Ô Á¦ÇÑÇÏ´Â °ÍÀÌ´Ù. UI ÇÁ·¹ÀÓ¿öÅ© ¿¡¼­ Á¦ÇÑ󸮸¦ ¼öÇàÇÏÁö ¾Ê´Â´Ù¸é °³¹ßÀÚµéÀº ¾îÇø®ÄÉÀÌ¼Ç ³» ¿¡¼­ Á¦ÇÑ Ã³¸®¸¦ Æ÷ÇÔ½ÃÄÑ¾ß ÇÑ´Ù.


2 .ÀûÀýÇÑ Á¤±ÔÈ­¿Í µðÄÚµù À¸·Î ±àÁ¤Àû ȤÀº È­ÀÌÆ® ¸®½ºÆ® ÀԷ°ËÁõÀ» ¼öÇàÇÏ´Â °Íµµ XSS·ÎºÎÅÍ º¸È£ Çϴµ¥ µµ¿òÀÌ µÇÁö¸¸ ÀԷ¿¡ Ư¼ö ¹®ÀÚ°¡ ÇÊ¿äÇÑ ¾îÇø®ÄÉÀ̼ÇÀÌ ¸¹±â ¶§¹®¿¡ ¿Ïº®ÇÑ ¹æ¾îÃ¥Àº µÉ ¼ö ¾ø´Ù. ÀÌ °æ¿ì ÀÔ·ÂÀ» Çã¿ë Çϱâ Àü¿¡ °¡´ÉÇÑ ÀÎÄÚµù µÈ ¸ðµç ÀÔ·ÂÀ» µðÄÚµù ÇØ ±æÀÌ, ¹®ÀÚ, Æ÷¸Ë, µ¥ÀÌÅÍ °ü·Ã ¾÷¹« ¿ªÇÒÀ» °ËÁõÇϵµ·Ï ÇÑ´Ù.


´ÙÀ½Àº CSRF ¿¹¹æÇÏ´Â ¹æ¹ýÀÌ´Ù. °¢°¢ÀÇ HTTP ¿äû URLÀ̳ª Body³»¿¡ ¿¹Ãø ÇÒ ¼ö ¾ø´Â ÅäÅ«À» Æ÷ÇÔÇÏ´Â °ÍÀÌ´Ù.


»ý¼ºµÈ ÅäÅ«Àº ÃÖ¼ÒÇÑ »ç¿ëÀÚ ¼¼¼Çº°·Î ¹Ýµå½Ã °íÀ¯ÇÑ °ªÀ» »ç¿ëÇ쵂 °¢°¢ÀÇ ¿äû¸¶´Ù °íÀ¯ÇÒ ¼öµµ ÀÖ´Ù


¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢ °´Ã¼ ÂüÁ¶¸¦ ¹æÁöÇÏ·Á¸é ¸ðµç ÀúÀå µ¥ÀÌÅÍ °ªÀ» ¾ÏȣȭÇϸç HASH µÇ¾ú´ÂÁö È®ÀÎÇØ¾ß ÇÑ´Ù.


¸¶Áö¸·À¸·Î, º¸¾È»ó À߸øµÈ ±¸¼º¿¡ ´ëÇÑ ¹æ¾ÈÀº ¸ðµç »õ·Î¿î ¼ÒÇÁÆ®¿þ¾î ¾÷µ¥ÀÌÆ®¿Í ÆÐÄ¡¸¦ °¢°¢ÀÇ ¹èġȯ°æ¿¡¼­ ½Ã±â ÀûÀýÇÏ°Ô ¹èÆ÷¿Í ÃֽŠ¼öÁØÀ» À¯ÁöÇϱâ À§ÇÑ ÇÁ·Î¼¼½º. ÀÌ ÇÁ·Î¼¼½º´Â Á¾Á¾ °£°ú µÉ ¼ö ÀÖ´Â ¸ðµç ÄÚµå ¶óÀ̺귯¸® ¶ÇÇÑ Æ÷ÇÔÀÌ ÇÊ¿äÇÏ´Ù.


ÇöÀç À§Áî¸ô »ç¿ëÀڴ ȨÆäÀÌÁö º¸¾ÈÆÐÄ¡ ±Ç°í¾È´ë·Î ¼öÁ¤ÇØ¾ß ÇÏ¸ç °í°´ Á¤º¸ÀÇ ¾ÈÀüÇÑ °ü¸®¸¦ À§ÇØ º¸¾ÈÁ¡°ËÀ» öÀúÈ÷ ÇØ¾ß ÇÑ´Ù.

À̹ø Ãë¾àÁ¡À» ¹ßÇ¥ÇÑ i2Sec(http://www.i2sec.co.kr/)Àº 2010 OWASP TOP 10(À¥ ¾îÇø®ÄÉÀÌ¼Ç 10´ë Ãë¾àÁ¡)¿¡ ´ëÇÑ ÀÚüÁ¦ÀÛ ¿µ»óÀ» ¹èÆ÷Çß´Ù. ¿µ»óÀº http://www.i2sec.co.kr/°øÁö»çÇ׶õÀ» ÅëÇØ ½Ãû °¡´ÉÇÏ´Ù.

[±æ¹Î±Ç ±âÀÚ(reporter21@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)