[º¸¾È´º½º ±è°æ¾Ö] Ä«µå»ç °³ÀÎÁ¤º¸ À¯ÃâÀ» ºñ·ÔÇØ Åë½Å»ç °³ÀÎÁ¤º¸°¡ ¿¬À̾î À¯ÃâµÇ¸é¼ Á¤º¸º¸¾È À̽´°¡ ¶ß°Ì´Ù. ƯÈ÷ Áö³ÇØ¿¡´Â 3.20»çÀ̹öÅ×·¯ µî ´ë±Ô¸ð »çÀ̹ö »ç°í°¡ ÀÕµû¶ó ¹ß»ýÇÔ¿¡ µû¶ó Á¤ºÎ°¡ À¥ ¼Ò½ºÄÚµåÀÇ º¸¾È¼º °ËÁõ °È¿¡ ³ª¼°í ÀÖ´Ù.
¡ã12ÀϺÎÅÍ 14ÀϱîÁö ¿¸®°í ÀÖ´Â ÀÏ»ê ŲÅؽº ¡®ÀüÀÚÁ¤ºÎ Á¤º¸º¸È£ ¼Ö·ç¼ÇÆä¾î ÄÁÆÛ·±½º¡¯¿¡¼ ¼ÒÇÁÆ®Æ÷·³ÀÇ À±¿µÁø Â÷ÀåÀÌ ½ÃÅ¥¾îÄÚµù Àǹ«È¿¡ ´ëÇØ ¼³¸íÇÏ°í ÀÖ´Ù.
ÀÌ¿¡ µû¶ó Áö³ 1¿ù ÀÌÈĺÎÅÍ´Â °³¹ßºñ 20¾ï ÀÌ»óÀÇ ¸ðµç °ø°ø±â°üÀÇ Á¤º¸È »ç¾÷¿¡ ½ÃÅ¥¾îÄÚµùÀÌ Àǹ«ÀûÀ¸·Î Àû¿ëµÇ°í ÀÖ´Ù. ´ë»óÀº Àüü 65%ÀÌ°í, 2015³â 1¿ù ÀÌÈĺÎÅÍ´Â °¨¸®´ë»ó Àü »ç¾÷¿¡ ´ëÇØ ½ÃÅ¥¾îÄÚµù Àǹ«È°¡ Àû¿ëµÈ´Ù. ¶ÇÇÑ ¾ÈÇàºÎ´Â ¸ð¹ÙÀÏ ¾Û ¼Ò½ºÄڵ忡 ´ëÇÑ º¸¾È¼º °ËÁõÀ» Àǹ«ÈÇÒ °èȹÀ̶ó°í ¹àÇû´Ù.
½ÃÅ¥¾îÄÚµùÀº SW °³¹ß°úÁ¤¿¡¼ °³¹ßÀÚ ½Ç¼ö, ³í¸®Àû ¿À·ù µîÀ¸·Î ÀÎÇØ SW¿¡ ³»Á¦µÈ º¸¾ÈÃë¾àÁ¡À» ÃÖ¼ÒÈÇÏ´Â ÇÑÆí, ÇØÅ· µî º¸¾ÈÀ§Çù¿¡ ´ëÀÀÇÒ ¼ö ÀÖ´Â ¾ÈÀüÇÑ SW¸¦ °³¹ßÇϱâ À§ÇÑ ÀÏ·ÃÀÇ °úÁ¤À» ÀǹÌÇÑ´Ù.
ÀÌ¿¡ °ø°ø±â°ü ¹× ±â¾÷Àº ¾ÈÀüÇÑ Á¤º¸º¸È£ °ü¸®¸¦ À§ÇØ ½ÃÅ¥¾îÄÚµù¿¡ °ü½ÉÀ» º¸ÀÌ°í ÀÖ´Ù.
ÀÌ¿Í °ü·Ã 12ÀϺÎÅÍ 14ÀϱîÁö ¿¸®´Â ¡®ÀüÀÚÁ¤ºÎ Á¤º¸º¸È£ ¼Ö·ç¼ÇÆä¾î ÄÁÆÛ·±½º¡¯¿¡¼ ¼ÒÇÁÆ®Æ÷·³ÀÇ À±¿µÁø Â÷ÀåÀº ¡°½ÃÅ¥¾îÄÚµù ±¸Ãà ¹æ¾È ½Ã Á¡°ËÇ׸ñÀº ¾ÈÇàºÎ SWº¸¾ÈÃë¾àÁ¡ 47°³ Ç׸ñ, CWE/SANS Top25, OWASP Top 10, CERT ½ÃÅ¥¾îÄÚµù Çʼö º¸¾È Ãë¾àÁ¡À» Á¦°ÅÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù.
±× °¡¿îµ¥ ¹ýÀûÀǹ«È ½ÃÅ¥¾îÄÚµù ¾ð¾î´Â ÀÚ¹Ù(JABA) C, ¾Èµå·ÎÀ̵åÀ̸ç, Àǹ«È À¯ÇüÀº ¡âÀԷµ¥ÀÌÅÍ °ËÁõ ¹× Ç¥Çö ¡âº¸¾È±â´É ¡â½Ã°£ ¹× »óÅ ¡â¿¡·¯Ã³¸® ¡âÄÚµå¿À·ù ¡âĸ½¶È ¡âAPI ¿À¿ëÀÌ´Ù.
ÀԷµ¥ÀÌÅÍ °ËÁõ ¹× Ç¥ÇöÀÇ °æ¿ì´Â SQL »ðÀÔÀ̳ª Å©·Î½º »çÀÌÆ® ½ºÅ©¸³Æ®(XSS) µî 15°³, º¸¾È±â´ÉÀº ºÎÀûÀýÇÑ Àΰ¡, Áß¿äÇÑ ÀÚ¿ø¿¡ ´ëÇÑ À߸øµÈ ±ÇÇÑ Çã¿ë µî 16°³, ½Ã°£ ¹× »óÅ´ °æÀïÁ¶°Ç, Á¾·áµÇÁö ¾Ê´Â ¹Ýº¹¹®, Àç±ÍÇÔ¼ö µî 2°Ç, ¿¡·¯Ã³¸®´Â ¿À·ù¸Þ½ÃÁö¸¦ ÅëÇÑ Á¤º¸³ëÃâ, ¿À·ù»óȲ ´ëÀÀ ºÎÀç µî 3°³, ÄÚµå¿À·ù´Â ºÎÀûÀýÇÑ ÀÚ¿øÇØÁ¦ µî 4°³, Á¦°ÅµÇÁö ¾Ê°í ³²Àº µð¹ö±× ÄÚµå, ½Ã½ºÅÛ µ¥ÀÌÅÍ Á¤º¸ ³ëÃâ µî ĸ½¶È Ç׸ñ 5°³, Ãë¾àÇÑ API »ç¿ë µî API ¿À¿ë 2°ÇÀÌ´Ù.
°ø°Ý ¿¹½Ã¸¦ »ìÆ캸¸é XSS(Cross Site Scripting)ÀÇ °æ¿ì À¥ ÆäÀÌÁö¿¡ ¾ÇÀÇÀûÀÎ ½ºÅ©¸³Æ®¸¦ Æ÷ÇÔ½ÃÄÑ »ç¿ëÀÚ Ãø¿¡¼ ½ÇÇàµÇ°Ô À¯µµÇÒ ¼ö ÀÖ´Ù.
À̸¦ À§ÇÑ ¾ÈÀüÇÑ ÄÚµùÀº ÀϹÝÀûÀÎ °æ¿ì¿¡´Â »ç¿ëÀÚ°¡ ¹®ÀÚ¿¿¡ ½ºÅ©¸³Æ®¸¦ »ðÀÔÇØ ½ÇÇàÇÏ´Â °ÍÀ» ¸·±â À§ÇØ »ç¿ëÀÚ°¡ ÀÔ·ÂÇÑ ¹®ÀÚ¿¿¡¼<,>, &,¡°,¡± µîÀ» replace µîÀÇ ¹®ÀÚ º¯È¯ ÇÔ¼ö³ª ¸Þ¼Òµå¸¦ »ç¿ëÇØ &It, >, &, "·Î ġȯÇÏ¸é µÈ´Ù.
¶ÇÇÑ SQL Injection °ø°ÝÀÇ °æ¿ì, DB¿Í ¿¬µ¿µÈ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡¼ ÀÔ·ÂµÈ µ¥ÀÌÅÍ¿¡ ´ëÇÑ À¯È¿¼º °ËÁõÀ» ÇÏÁö ¾ÊÀ» °æ¿ì, °ø°ÝÀÚ°¡ ÀÔ·Â Æû ¹× URL ÀԷ¶õ¿¡ SQL ¹®À» »ðÀÔÇØ DB·ÎºÎÅÍ Á¤º¸¸¦ ¿¶÷Çϰųª Á¶ÀÛÇÒ ¼ö ÀÖ´Ù.
ƯÈ÷ ¿ÜºÎ ÀÔ·ÂÀ̳ª ¿ÜºÎ º¯¼ö·ÎºÎÅÍ ¹ÞÀº °ªÀÌ Á÷Á¢ SQL ÇÔ¼öÀÇ ÀÎÀÚ·Î Àü´ÞµÇ°Å³ª, ¹®ÀÚ¿ º¹»ç¸¦ ÅëÇØ Àü´ÞµÇ´Â °ÍÀº À§ÇèÇÏ´Ù. µû¶ó¼ ÀÎÁöÈµÈ ÁúÀǹ®À» »ç¿ëÇØ¾ß ÇÑ´Ù.
À± Â÷ÀåÀº ¡°º¸¾ÈÃë¾àÁ¡À» ÃÖ¼ÒÈÇϱâ À§ÇØ ¼³°è´Ü°èºÎÅÍ º¸¾ÈÀ» °í·ÁÇØ °³¹ßÇØ¾ß ÇÑ´Ù¡±¸ç ¡°Æ¯È÷ ½ÃÅ¥¾îÄÚµù Áø´Üµµ±¸ÀÇ °æ¿ì ¼Ò½º Ãë¾àÁ¡¿¡ ´ëÇÑ ±Ù¿øÀüÀÎ ¹®Á¦ ÇØ°á°ú ÇÔ²² °³¹ßÀÚÀÇ ÆíÀǸ¦ °í·ÁÇÑ °á°ú ¸®Æ÷ÆÃÀÌ ÀÌ·ïÁ®¾ß Çϸç, ¿ÀŽÀ²ÀÌ Àû¾î¾ß ÇÑ´Ù°í ¸»Çß´Ù. ¶ÇÇÑ ±×´Â ¡°47°³ º¸¾ÈÃë¾àÁ¡ µîÀ» ¿Ïº®ÇÏ°Ô Áö¿øÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>