À̹ø OWASP ¾Æ½Ã¾Æ Åõ¾î´Â ¾Æ½Ã¾Æ Áö¿ªÀÇ ¼ÒÇÁÆ®¿þ¾î¡¤¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¹®Á¦¿¡ ´ëÇØ Àü¹®°¡ Âü¿© °È¸¦ À§ÇØ ±âȹµÆÀ¸¸ç, ÀÌ¹Ì ÀϺ», Áß±¹, È«Äá, ű¹ µî¿¡¼ ¾Æ½Ã¾Æ Åõ¾î ÄÁÆÛ·±½º°¡ °³ÃֵǾî OWASP ½Å±Ô ÇÁ·ÎÁ§Æ®, ¾ÏÈ£È ±â¼úµ¿Çâ, À¥ ÇØÅ· ±â¹ý, ½ÃÅ¥¾îÄÚµù µî¿¡ ´ëÇÑ ³íÀÇ°¡ ÁøÇàµÆ´Ù.
À̹ø ¼¿ï ÄÁÆÛ·±½º¿¡´Â ±¹³» À¥¡¤¾ÖÇø®ÄÉÀÌ¼Ç °³¹ßÀÚ ¹× º¸¾ÈÀü¹®°¡µé¿¡°Ô µµ¿òÀÌ µÉ ¼ö ÀÖ´Â ¼ÒÇÁÆ®¿þ¾î °³¹ßº¸¾È, ¸ð¹ÙÀÏ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È, ½Å±Ô ºê¶ó¿ìÀú º¸¾È ±â¼ú µî 5°³ ÁÖÁ¦°¡ ¹ßÇ¥µÈ´Ù.
¸ÕÀú ÄÚ¸®¾Æ éÅÍÀÇ ¼ºÀ±±â ÀÌ»ç´Â 2014³â OWASPÀÇ È°µ¿ °á°ú ¹× 2015³â °èȹ, OWASP ModSecurity CRS, CSRF °¡µå µî Ç÷¡±×½± ÇÁ·ÎÁ§Æ®¸¦ ¼Ò°³ÇÏ´Â ½Ã°£À» °®°í, À̾î ÇàÁ¤ÀÚÄ¡ºÎ ±èÇؼ÷ ¹Ú»ç°¡ ÀüÀÚÁ¤ºÎ Á¤º¸½Ã½ºÅÛ ±¸Ãà¿î¿µÁöħ¿¡ µû¸¥ ÀüÀÚÁ¤ºÎ¿ë ¼ÒÇÁÆ®¿þ¾î °³¹ßº¸¾È Àǹ«È ¹æ¾È¿¡ ´ëÇؼ Å°³ëÆ® ¹ßÇ¥¸¦ ÇÑ´Ù.
¼¼ ¹ø° ¼¼¼Ç¿¡¼´Â OWASP ±Û·Î¹úÀÇ ÀÌ»çÀÎ Åäºñ¾î½º°¡ OWASP¿Í IETF¿¡¼ ³íÀǵǰí ÀÖ´Â Áß°£ÀÚ °ø°Ý(MITM)À» ¹æ¾îÇÒ ¼ö ÀÖ´Â ½Å±Ô ºê¶ó¿ìÀú º¸¾È±â¼ú¿¡ ´ëÇؼ ¹ßÇ¥ÇÒ ¿¹Á¤ÀÌ´Ù. ÀÌ ¼¼¼Ç¿¡¼´Â XSS, Ŭ¸¯ÀçÅ·À» ¿¹¹æÇÒ ¼ö ÀÖ´Â ±â¼ú, HTTP º¸¾È °È ÇÁ·ÎÅäÄÝ ±â¼úÀÌ ¼Ò°³µÈ´Ù. ³× ¹ø°´Â ½ÃÅ¥¾ÆÀÌ Á¶¿ëÇö °úÀåÀÌ ÀºÇà, Áõ±Ç, Ä«µå»ç¿¡¼ ¹èÆ÷ÇÏ´Â ±ÝÀ¶ ½º¸¶Æ®Æù ¾Û ¼³Ä¡ ½Ã ¿ä±¸ÇÏ´Â °³ÀÎÁ¤º¸ ¼öÁý ±ÇÇÑ¿¡ ´ëÇÑ Á¶»ç ³»¿ëÀ» ¹ÙÅÁÀ¸·Î °³ÀÎÁ¤º¸ ±ÇÇÑÀÇ À§Ç輺°ú À̸¦ À§ÇèÀ» ÃÖ¼ÒÈÇÒ ¼ö ÀÖ´Â °³¼±¹æ¾ÈÀ» Á¦½ÃÇÑ´Ù. ¸¶Áö¸·À¸·Î º£¶óÄÚµå ÄÚ¸®¾ÆÀÇ ±èº´Á¶ ´ëÇ¥°¡ ¸ð¹ÙÀÏ ¾ÛÀ» B2C ¾Û, ±â¾÷¿ë ¾Û, °ø°ø ¾Û µîÀ¸·Î ºÐ·ùÇÏ°í, °¢°¢ÀÇ ¸ð¹ÙÀÏ ¾Û¿¡ ´ëÇÑ º¸¾ÈÀ§Çù°ú ÇØ°áÃ¥À» ¸ð»öÇÏ´Â ½Ã°£À» °®´Â´Ù.
ÄÚ¸®¾Æ éÅÍÀÇ ¼ºÀ±±â ÀÌ»ç´Â ¡°À̹ø OWASP ¾Æ½Ã¾Æ Åõ¾î ¼¿ï ÄÁÆÛ·±½º´Â ÀÎÅͳݰú ¸ð¹ÙÀÏ Ç÷§Æû ±â¹ÝÀÇ ¼ÒÇÁÆ®¿þ¾î¡¤¾ÖÇø®ÄÉÀÌ¼Ç È®»ê¿¡ µû¸¥ º¸¾È¹®Á¦¿¡ ´ëÇؼ °³¹ßÀÚ ¹× º¸¾ÈÀü¹®°¡µéÀÌ °°ÀÌ ÅäÀÇÇÒ ¼ö ÀÖ´Â ½Ã°£À» °®°Ô µÈ´Ù¡±¸ç, ¡°ÃֽŠ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ±â¼ú¿¡ ´ëÇؼ ÀÌÇØÇÒ ¼ö ÀÖ´Â ½Ã°£°ú ÇÔ²² ¿ÃÇØ ±¹³» OWASP È°µ¿À» Á¤¸®ÇÏ°í 2015³âÀ» ³íÀÇÇÒ ¼ö ÀÖ´Â ÀÚ¸®°¡ µÉ °Í¡±À̶ó°í ¹àÇû´Ù.
À̹ø ¡®OWASP ¾Æ½Ã¾Æ Åõ¾î 2014-¼¿ï ÄÁÆÛ·±½º¡¯¿¡ ´ëÇÑ º¸´Ù ±¸Ã¼ÀûÀÎ »çÇ×°ú Âü°üµî·Ï °ü·ÃÇؼ´Â ¿©±â¸¦ Ŭ¸¯Çϸé È®ÀÎÇÒ ¼ö ÀÖ´Ù.
ÇÑÆí, OWASP(www.owasp.org)´Â À¥¡¤¾ÖÇø®ÄÉÀ̼ǡ¤¼ÒÇÁÆ®¿þ¾î º¸¾È ±â¼úÀ» ³íÀÇÇÏ´Â Àü ¼¼°è Àü¹®°¡·Î ±¸¼ºµÈ ºñ¿µ¸® ´Üü·Î 2004³â¿¡ ¼³¸³µÆ´Ù. OWASP´Â Àü ¼¼°è Àü¹®°¡°¡ ÀÚ¹ßÀûÀ¸·Î Âü¿©ÇÏ¿© ¿ÀǼҽº µµ±¸°³¹ß, Ç¥ÁØ ¹®¼ °³¹ß µî ¾à 200¿©°³ÀÇ ÇÁ·ÎÁ§Æ®°¡ ÁøÇàµÇ°í ÀÖ´Ù. ¶ÇÇÑ, ¸ð¹ÙÀÏ º¸¾È, IoT º¸¾È, ÇÁ¶óÀ̹ö½Ã µî ÃÖ½ÅÀÇ º¸¾È À̽´¸¦ ÇØ°áÇϱâ À§ÇØ ³ë·ÂÇÏ°í ÀÖ´Ù.
ÄÚ¸®¾Æ éÅÍ(www.owasp.or.kr)´Â 2011³â¿¡ °á¼ºµÆÀ¸¸ç, 2013³â¿¡´Â ¡®OWASP Top 10¡¯ °ø½Ä Çѱۺ» Ãâ°£°ú ÇÔ²² OWASP ¾Æ½Ã¾Æ ÅÂÆò¾ç ÄÁÆÛ·±½º °³ÃÖ µî ¿¬ 2~3ȸ Á¤±â ¿öÅ©¼óÀ» °³ÃÖÇÑ ¹Ù ÀÖ´Ù. ¿ÃÇصµ Á¤±â ¿öÅ©¼ó°ú ÇÔ²² OWASP Å×½ºÆà °¡ÀÌµå ¹× ÄÚµå ¸®ºä °¡À̵带 ¹ß°£ÇÒ °èȹÀÌ´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>