[º¸¾È´º½º ±èÅÂÇü] ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¼Ö·ç¼Ç±â¾÷ Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ(´ëÇ¥ÀÌ»ç À̼®¿ì, ÀÌÇÏ Æ柽ÃÅ¥¸®Æ¼)Àº ¡®2010³â ÇϹݱâ À¥ °ø°Ýµ¿Çâ º¸°í¼¡¯(Penta Security Systems Web Application Threat Report, Trends for the second half of 2010)¸¦ Áö³ 14ÀÏ ¹ßÇ¥Çß´Ù.
OWASP 2010 ±âÁØ À¥ °ø°Ý À¯Çü »óÀ§ 10
À̹ø 2010³â ÇϹݱ⠸®Æ÷Æ®´Â Áö³ 7¿ù¿¡ ¹ßÇ¥ ÀÌÈÄ µÎ ¹ø°·Î ¹ßÇ¥µÈ °ÍÀ¸·Î 2010³â 7¿ù 1ÀϺÎÅÍ 12¿ù 31ÀϱîÁöÀÇ Åë°è ³»¿ëÀ» ´ã°í ÀÖ´Ù. 2010³â ÇϹݱâ À¥ °ø°ÝÀÇ ÁÖ¿ä ³»¿ëÀ» »ìÆ캸¸é ¡ã¿ÍÇÃ(WAPPLES)·ê ŽÁö ±âÁØÀ¸·Î ÀͽºÅÙ¼Ç ÇÊÅ͸µ(Extension Filtering)ÀÌ 25.85%·Î °¡Àå ¸¹¾Ò´Ù. ÀÌ´Â Á¤»óÀûÀÎ À¥»çÀÌÆ®ÀÇ ÆÄÀϵ鿡 ´ëÇÑ Á¢¼Ó½Ãµµ¸¦ ÀǹÌÇϸç ÀÚµ¿ÈµÈ °ø°Ýµµ±¸ÀÇ Á¢¼Ó»Ó ¾Æ´Ï¶ó À¥»çÀÌÆ® °ü¸®ÀÚ¿Í °³¹ßÀÚÀÇ ºÎÁÖÀÇ·Î ÀÎÇÑ Ãë¾à¼ºÀÇ ³ëÃâÀÌ ¸¹¾ÒÀ½À» ÀǹÌÇÑ´Ù.
¡ãOWASP(Open Web Application Security Project) °ø°ÝÀ¯ÇüÀ¸·Î URL Á¢±Ù Á¦ÇÑ ½ÇÆÐ(Failure to Restrict URL Access)°¡ 29.55%·Î °¡Àå ¸¹¾ÒÀ¸¸ç ÀÌ´Â À¥»çÀÌÆ® ¿î¿µ¿¡ Áß¿äÇÑ Á¤º¸°¡ ³ëÃâµÉ ¼ö ÀÖ´Â URLÀÇ Á¢¼Ó½Ãµµ°¡ ¸¹¾ÒÀ½À» ÀǹÌÇÑ´Ù. ¡ãÀ¥ °ø°ÝÀÇ ¸ñÀûÀ¸·Î´Â ¡®Ãë¾à¼º Æľǡ¯ °ø°ÝÀÌ 48.53%·Î °¡Àå ¸¹¾ÒÀ¸¸ç ±× ´ÙÀ½À¸·Î À¥»çÀÌÆ® º¯Á¶(16.46%) ¹× Á¤º¸À¯Ãâ(14.26%) ¼øÀ¸·Î ³ªÅ¸³µ´Ù. ¡ãÀ§Çèµµ°¡ ³ôÀº °ø°ÝµéÀÇ À¯Çü Áß¿¡¼ PHP¼¹ö ȯ°æ¿¡¼ À¥ ¼¹ö¿¡ ¾Ç¼ºÄڵ带 ½ÇÇà½Ãų ¼ö ÀÖ´Â ÀÎŬ·¯µå ÀÎÁ§¼Ç(Include Injection) °ø°ÝÀÌ °¡Àå ¸¹¾Ò°í ±× ´ÙÀ½À¸·Î °³ÀÎÁ¤º¸ À¯Ã⠽õµ°¡ ¸¹¾Ò´Ù.
Æ柽ÃÅ¥¸®Æ¼ ±è´ö¼ö ¿¬±¸¼ÒÀåÀº ¡°½º¸¶Æ®¿öÅ©¸¦ À§ÇÑ ¾÷¹«È¯°æÀÇ º¯È¿Í Á¤º¸³ëÃâÀÌ ½¬¿î ¼Ò¼È³×Æ®¿öÅ© ȯ°æÀ» Áö¿øÇÏ´Â °¢Á¾ ¸ð¹ÙÀÏ µð¹ÙÀ̽ºÀÇ Áõ°¡·Î À¥ °ø°ÝÀÌ ´Ù¾çÇÏ°í ½¬¿öÁö°í ÀÖ´Ù. ÀÌ·¯ÇÑ À§Çù°ú ÇÔ²² À¥ °ø°Ý »çÀü´Ü°èÀÎ Ãë¾à¼º ÆÄ¾Ç ½Ãµµ¿Í °³ÀÎÁ¤º¸À¯Ã⠽õµ°¡ 2010³â »ó¹Ý±â¿¡ ºñÇØ 2¹è ÀÌ»ó Áõ°¡ÇÏ¿© ÀÌ¿¡ ´ëÇÑ Àû±ØÀûÀÎ º¸¾È´ëÃ¥À» °ÈÇØ¾ß ÇÒ °Í¡±À̶ó°í ¸»ÇÏ¸ç ¡°Æ柽ÃÅ¥¸®Æ¼¿¡¼ ¹ßÇ¥ÇÏ´Â À¥ °ø°Ýµ¿Çâ »ó¼¼ º¸°í¼¸¦ ÅëÇØ ±¹³»¿Ü ¿ÍÇà °í°´µéÀÌ ¿Ïº®ÇÑ º¸¾ÈÁ¤Ã¥À» ¼¼¿ì´Â µî Áö¼ÓÀûÀÎ ÇýÅÃÀ» ¹ÞÀ» ¼ö ÀÖµµ·Ï ³ë·ÂÇÏ°Ú´Ù¡±°í ¹àÇû´Ù.
ÀÚ¼¼ÇÑ ¡®2010³â ÇϹݱâ À¥ °ø°Ýµ¿Çâ º¸°í¼¡¯´Â Æ柽ÃÅ¥¸®Æ¼ ȨÆäÀÌÁö(www.pentasecurity.com) ´Ù¿î·Îµå ¼¾ÅÍ¿¡¼ ³»·Á ¹ÞÀ» ¼ö ÀÖ´Ù.
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>