º¸¾ÈÅëÁ¦ ÁؼöÇÏ·Á´Â Àǽİú ½ÇõÀÌ Áß¿äÇØ
[º¸¾È´º½º= ÀÓäȣ KAIST Ãʺù±³¼ö] ¡®½ºÅνº³Ý(STUX.NET)¡¯Àº 2010³â 7¿ù¿¡ µå·¯³ ¾Ç¼ºÄÚµå´Ù. °øÀåÀÚµ¿È µî¿¡ ¾²ÀÌ´Â µ¶ÀÏ Áö¸à½º(Siemens)»çÀÇ SCADA/PLC¶ó´Â ºÎÇ°À» °ø°ÝÇß´Ù. SCADA/PLC´Â ÀÏÁ¾ÀÇ ÀÓº£µðµå ½Ã½ºÅÛÀε¥, °ü¸®ÀÚ PC·Î Á¦¾îµÈ´Ù. ½ºÅνº³ÝÀº ¸ÕÀú °ü¸®ÀÚÀÇ PC¿¡ ħÀÔÇÏ°í À̸¦ °æÀ¯ÇØ SCADA/PLC¿¡ µé¾î°¡¼ ³»ÀåµÈ ¼ÒÇÁÆ®¿þ¾î¸¦ ±³¹¦ÇÏ°Ô º¯°æÇØ ½ÇÁ¦ ½Ã¼³ÀÇ ¼º´ÉÀº ¶³¾î¶ß¸®Áö¸¸ ¸¶Ä¡ Á¤»ó µ¿ÀÛÇÏ´Â °Íó·³ °ü¸®ÀÚ PC¿¡¼´Â º¸À̵µ·Ï Çß´Ù. ½ºÅνº³ÝÀº ¿©·¯ ¹öÀüÀÇ À©µµ¿ì OSÀÇ Àß ¾Ë·ÁÁöÁö ¾ÊÀº ¾àÁ¡À» ÀÌ¿ëÇß°í, °¢±¹ÀÇ ±âÁ¸ÀÇ ¹é½ÅÀ» ºÐ¼®ÇÏ¿© ŽÁö ´çÇÏÁö ¾Êµµ·Ï ¸Å¿ì ¶Ù¾î³ ±â¼ú·Î Á¦À۵Ǿú´Ù.
½ÅÁ¾ ¾Ç¼ºÄÚµå À¯ÀÔ°æ·Î
½ºÅνº³ÝÀº µ¶ÀÏ Áö¸à½º SCADA/PLC¿¡ ħÅõÇϱâ´Â Çϴµ¥, ƯÁ¤ÇÑ º¥´õ¿¡¼ °ø±ÞÇÑ Æ¯Á¤ÇÑ ÇൿÀ» ÇÏ´Â ½Ã¼³¿¡¸¸ ÇÇÇظ¦ ÁÖµµ·Ï Á¦À۵Ǿî ÀÖ¾ú´Ù. ½ºÅνº³ÝÀº Çɶõµå ¸ð Á¦Á¶»ç¿Í À̶õÀÇ ¸ð Á¦Á¶»ç°¡ °ø±ÞÇÑ ½Ã¼³ÀÇ, ƯÁ¤ ȸÀü¼ö ¹üÀ§ÀÇ ¸ðÅ͸¦ Á¦¾îÇÏ´Â ½Ã½ºÅÛ¿¡¸¸ ÇÇÇظ¦ ÁÖ¾ú´Ù. ÇÇÇظ¦ ÁÖ´Â ¹æ¹ýÀº ¸ðÅÍÀÇ È¸Àü¼ö¸¦ °¡²û Å©°Ô ³·Ãá ÈÄ ¿ø»ó º¹±ÍÇÔÀ¸·Î½á ȸÀü¼ö°¡ Àá½Ã ¶³¾îÁ³´Ù´Â °ÍÀº °ü¸®ÀÚ PC¿¡¼´Â ¾Ë ¼ö ¾øµµ·Ï ÇÑ °ÍÀ̾ú´Ù. À̶õÀÇ ÇÙ ½Ã¼³, ±¸Ã¼ÀûÀ¸·Î ¸»ÇÏ¸é ¿ì¶ó´½À» ³óÃàÇϱâ À§ÇØ ¿ø½ÉºÐ¸®±â¸¦ °¡µ¿ÇÏ´Â ½Ã¼³À̾ú´Ù.
¡ã ±×¸² 1. STUX.NET °³¿ä(Ãâó: IAEA)
±× ½Ã¼³ÀÌ ÇÏÇÊÀÌ¸é ±× º¥´õ°¡ °ø±ÞÇÑ ½Ã½ºÅÛÀ¸·Î ¿ø½ÉºÐ¸®±âÀÇ ¸ðÅ͸¦ Á¦¾îÇØ ÇÏÇÊÀÌ¸é ±× È¸Àü¼ö·Î µ¹¸®°í ÀÖ¾ú±â ¶§¹®À̾ú´Ù. ÀÌ°Ô ¿ì¿¬ÀÏ ¼ö ÀÖÀ»±î? ¹Ì±¹ÀÌ °¡Àå ²¨·ÁÇÏ´Â À̶õÀÇ ÇÙ ½Ã¼³ÀÌ ½ºÅνº³Ý¿¡ ´çÇÑ °ÍÀÌ ¸»ÀÌ´Ù. º¸¾ÈÀü¹®°¡µéÀº ½ºÅνº³ÝÀ» ¹Ì±¹ÀÌ ¸¸µç ¸ñÇ¥¸¦ ã¾Æ°¡¼ Á¤±³ÇÏ°Ô Æı«ÇÏ´Â ¡®»çÀ̹ö À¯µµ ¹Ì»çÀÏ¡¯·Î º¸°í ÀÖ´Ù. ¹Ì±¹ÀÌ µµÃ»»Ó¸¸ ¾Æ´Ï¶ó »çÀ̹ö ÇØÅ·À» ÅëÇÑ ¡®½Ç·Â Çà»ç¡¯ ´É·Âµµ ¾öû³ª´Ù´Â °ÍÀ» º¸¿©ÁØ »ç°ÇÀÌ´Ù.
¡Þ¾Ç¼ºÄÚµå¿Í USB °¨¿°
±×·±µ¥ »ç½ÇÀº ÇÙ ¿ø½ÉºÐ¸®±â µî SCADA °ü·Ã ½Ã¼³Àº ¿î¿µ¿¡ ÇÊ¿äÇÑ ¸ðµç Á¤º¸ ¾÷µ¥ÀÌÆ®´Â USB¸¦ ÀÌ¿ëÇÒ ¼ö¹Û¿¡ ¾ø´Ù. ¼Ò¹®¿¡ ÀÇÇÏ¸é ½ºÅνº³Ý ¾Ç¼ºÄڵ带 ´ãÀº °í±Þ USB°¡ À̶õ ÇÙ¹ßÀü¼Ò Ãâ±Ù±æ¿¡ »Ñ·ÁµÎ¾ú°í ´©±º°¡ °ü¸®ÀÚ°¡ À̸¦ ÁÖ¿ö »ç¿ëÇÏ´Ù °¨¿°µÇ¾ú´Ù°í ÇÑ´Ù. ¾Ç¼ºÄڵ尡 Æ÷ÇÔµÈ USBÀÇ ¹«ºÐº°ÇÑ ½ÇÇàÀÌ À̶õ¿¡´Â Àç¾ÓÀ», ¹Ì±¹¿¡´Â ¿Ü±³ÀüÀÇ ½Â¸®¸¦ ¾È°ÜÁØ °ÍÀÌ´Ù. 2014³â ¹ß»ýÇÑ Ä«µå3»ç °³ÀÎÁ¤º¸À¯Ãâ »ç°Çµµ ¹üÀÎÀÌ ±ÔÁ¤À» ³Ñ¾î¼± USB¿¡ ÀÇÇÑ °³ÀÎÁ¤º¸ À¯Ãâ»ç°ÇÀÌ ¾Æ´Ï´ø°¡?
¿øÀڷ¹ßÀü¼Ò¸¦ ¿î¿µÇÏ´ø ÇѼö¿øÀº Çù·Â¾÷ü µî°ú ÇÔ²² ºÏÇÑ¿¡ ÀÇÇØ ÇØÅ·À» ´çÇßÁö¸¸, ¿øÀڷ¹ßÀü¼Ò´Â ħÀÔ´çÇÏÁö ¾Ê¾Ò°í ¾ÕÀ¸·Îµµ ±×·² °ÍÀÌ´Ù. ¿Ö³ÄÇÏ¸é ¿øÀڷ¹ßÀü¼Ò¸¦ ¿î¿µÇÏ´Â SCADA/PLC ½Ã½ºÅÛÀº ÀÎÅͳݰú´Â ¿¬µ¿µÇÁö ¾Ê¾Ò°í ¾ÕÀ¸·Îµµ ¸¶Âù°¡Áö´Ù. ¸¸¾à ¿øÀÚ·Â ¹ßÀü¼Ò´Â ¹ÏÀ»¸¸ÇÑ ¿î¿µ¾÷ü°¡ USB·Î ¾÷µ¥ÀÌÆ®ÇÑ´Ù¸é ¿Ïº®ÇÑ °ËÁõ°úÁ¤À» °ÅÄ¥ °ÍÀ¸·Î º¸ÀδÙ.
ÁÖ¿ä½Ã¼³ÀÇ ÅëÁ¦ ½Ã½ºÅÛÀº ±¹°¡°¡ ¿î¿µÇÏ´Â ¿øÀÚ·Â, öµµ, °øÇ× µî¿¡¸¸ ÇØ´çÇÏ´Â °ÍÀÌ ¾Æ´Ï´Ù. »ï¼ºÀüÀÚ, SK µîÀÇ ¹ÝµµÃ¼ °øÀåÀ̳ª ÄÄÇ»ÅÍ µµ¿òÀÌ ÇÊ¿äÇÑ FA(Factory Automation) °øÀåÀÌ ÀÎÅͳݿ¡ °ðÀå ¿¬°áÀÌ µÇ¾î ¿î¿µµÈ´Ù¸é Å« ¹®Á¦°¡ ¹ß»ýÇÑ´Ù. ±â¾÷ÀÇ ¾÷¹«Áö¼Ó¼º(Continue)À» ÇØÄ¥ °¡´É¼ºÀÌ Å« °ÍÀÌ´Ù. º¸¾ÈÀÇ ¸ñÇ¥ Áß °¡¿ë¼º(Availability) À¯Áö°¡ °¡Àå Å« ¸ñÇ¥ÀÎ °ÍÀÌ´Ù. ÇÊÀÚÀÇ °æÇè¿¡ ÀÇÇϸé ÀÎÅͳݿ¡¼ °í°´ÀÇ ¿äûÀ» ¹Þ¾Æ ÄÄÇ»Å͸¦ Á¦Á¶ÇÏ´Â ¾÷ü°¡ ¾Ç¼ºÄÚµåÀÇ ÀÏÁ¾ÀÎ ¿ú °ø°ÝÀ» ¹Þ¾Æ °øÀå °¡µ¿À» ¸ØÃá »ç°í¸¦ Áö¿øÇÑ ¹Ù ÀÖ´Ù. Áß¿ä Á¦¾î½Ã½ºÅÛÀ» ÀÎÅÍ³Ý ¿¬°áÇÏ°í ¿¬µ¿ÇÑ´Ù´Â °ÍÀº ¸Å¿ì À§ÇèÇÑ °ÍÀÌ´Ù. ¾Æ¿¹ ¹°¸®ÀûÀÎ Á¢¼ÓÀ» ÇÏÁö ¾Ê°í USB µîÀ» ÀÌ¿ëÇÑ ¼öµ¿ÀûÀÎ ¿î¿µ¸¸ÀÌ Á¤´äÀÌ´Ù.
¡Þ½ºÇǾîÇÇ½Ì À̸ÞÀÏ°ú ¾Ç¼ºÄÚµå °¨¿°
ÇѼö¿ø »çÅ ¶§¿¡´Â ÁÖ·Î ½ºÆÔ¼º À̸ÞÀÏ¿¡ ¾Ç¼ºÄڵ带 ÷ºÎÇÏ¿© º¸³»°í »ç¿ëÀÚ°¡ ¼Ó¾Æ¼ Ŭ¸¯À» À¯µµÇÑ °ÍÀÌ´Ù. ¼ÒÀ§ ¡®½ºÇǾî ÇǽÌ(Spear Phishing)¡¯À̶ó°í ÇÑ´Ù. ¡®½ºÇǾî Çǽ̡¯À̶õ Á¶Á÷ ³»ÀÇ ½Å·Ú¹Þ´Â ƯÁ¤ÀÎÀ» ´ë»óÀ¸·Î ID ¹× Æнº¿öµå Á¤º¸¸¦ ¿ä±¸ÇÏ´Â ÀÏÁ¾ÀÇ ÇÇ½Ì °ø°ÝÀÌ´Ù. ȸ»çÀÇ Àη ºÎ¼³ª ±â¼ú ºÎ¼¿¡¼ Á÷¿øµé¿¡°Ô À̸§ ¹× Æнº¿öµå ¾÷µ¥ÀÌÆ®¸¦ ¿ä±¸ÇÏ´Â °Íó·³ ½ºÇǾî ÇÇ½Ì ÇàÀ§°¡ ÇàÇØÁø´Ù. ÇØÄ¿´Â À̷κÎÅÍ µ¥ÀÌÅ͸¦ ȹµæÇØ ³×Æ®¿öÅ©¿¡ ÀáÀÔÇÒ ¼ö ÀÖ´Ù. ¶Ç´Â »ç¿ëÀÚ·Î ÇÏ¿©±Ý ½ºÆÄÀÌ¿þ¾î°¡ ¼öÇàµÇ´Â ¸µÅ©¿¡ Ŭ¸¯Çϵµ·Ï À¯µµÇÏ´Â ½ºÇǾî Çǽ̵µ ÀÖ´Ù.
¡ã ±×¸² 2. °ÅÁþ Á¤º¸·Î ¾Ç¼ºÄڵ带 À¯µµÇÏ´Â »ç·Ê
2000³â´ë ÃʹÝ, ±¹°¡ ±â¹Ý±â¼úÀ» ´Ù·ç´Â Áß¿ä ¿¬±¸¼ÒÀÇ ¿¬±¸¿øÀÌ ¾Ç¼ºÄڵ尡 ÷ºÎµÈ À̸ÞÀÏÀ» ¹ÞÀº ÀûÀÌ ÀÖ¾ú´Ù. ¸¸¾à ±×°¡ ±× À̸ÞÀÏÀÇ Ã·ºÎÆÄÀÏÀ» ¹«½ÉÄÚ Å¬¸¯ÇßÀ¸¸é, ¿¬±¸¼ÒÀÇ ¸ðµç ±â¹ÐÀÌ ÇØÅ·´çÇßÀ» °ÍÀÌ´Ù. ´ÙÇàÈ÷ ±×´Â Ŭ¸¯ÇÏÁö ¾Ê°í À̸¦ º¸¾È´ã´çÀÚ¿¡°Ô º¸°íÇß°í, ¿¬±¸¼Ò´Â ¹«»çÇÒ ¼ö ÀÖ¾ú´Ù. ÇÏÁö¸¸ ÀÌ »ç°ÇÀº ±¹°¡ÀÇ Áß¿äÇÑ ¿¬±¸±â¹ÐÀÌ »õ¾î³ª°¥ ¼ö ÀÖ¾ú´ø ¾Æ½½¾Æ½½ÇÑ À§±â¿´´Ù. »ç°Ç ÀÌÈÄ·Î Á¤ºÎ¿¡¼ ¸Á ºÐ¸® »ç¾÷À» ½ÃÀÛÇß´Ù. °ø¹«¿øµéÀÌ »ç¿ëÇÏ´Â PC¸¦ ¾÷¹«¿ë°ú ÀÎÅͳݿëÀ¸·Î ³ª´©¾î ¾÷¹«¿ë PC¿¡´Â ¾Æ¿¹ ÀÎÅͳÝÀÌ ¾È µÇµµ·Ï ÇÑ °ÍÀÌ´Ù.
¡Þ·£¼¶¿þ¾î ¾Ç¼ºÄÚµå¿Í ħÅõÀü·«
2015³â ¹ß»ýÇÑ ¾Ç¼ºÄÚµå Áß ·£¼¶¿þ¾î(Ransomware)°¡ ÀÖ´Ù. ÀÎÅÍ³Ý »ç¿ëÀÚÀÇ ÄÄÇ»ÅÍ¿¡ ÀáÀÔÇØ ³»ºÎ ¹®¼³ª ½ºÇÁ·¹Æ®½ÃÆ®, ±×¸²ÆÄÀÏ µîÀ» ¾ÏÈ£ÈÇØ ¿Áö ¸øÇϵµ·Ï ¸¸µç ÈÄ µ·À» º¸³»ÁÖ¸é Çص¶¿ë ¿¼è ÇÁ·Î±×·¥À» Àü¼ÛÇØ ÁØ´Ù¸ç ±ÝÇ°À» ¿ä±¸ÇÏ´Â ¾Ç¼º ÇÁ·Î±×·¥ÀÌ´Ù. ransom(¸ö°ª)°ú ware(Á¦Ç°)ÀÇ ÇÕ¼º¾î·Î ÄÄÇ»ÅÍ »ç¿ëÀÚÀÇ ¹®¼¸¦ ¡®ÀÎÁú¡¯·Î Àâ°í µ·À» ¿ä±¸ÇÑ´Ù°í Çؼ ºÙ¿©Áø ¸íĪÀÌ´Ù. ·£¼¶¿þ¾î¿¡ °¨¿°µÉ °æ¿ì ÆÄÀÏÀÌ º¹ÀâÇÑ ¾Ë°í¸®ÁòÀ¸·Î ¾ÏȣȵŠÆÄÀÏÀ» ¿¾îµµ ³»¿ëÀ» ¾Ë¾Æ º¼ ¼ö ¾ø´Ù. ÁÖ·Î À̸ÞÀÏ, ¼Ò¼È³×Æ®¿öÅ©¼ºñ½º(SNS), ¸Þ½ÅÀú µîÀ» ÅëÇØ Àü¼ÛµÈ ÷ºÎÆÄÀÏÀ» ½ÇÇàÇÏ¸é °¨¿°µÇ¸ç, À¥»çÀÌÆ® ¹æ¹®À» ÅëÇØ °¨¿°µÇ±âµµ ÇÑ´Ù. ¹é½Å ÇÁ·Î±×·¥À¸·Î ¾Ç¼ºÄڵ带 ¾ø¾Öµµ ¾ÏÈ£ÈµÈ ÆÄÀÏÀº º¹±¸µÇÁö ¾Ê¾Æ ¡®»ç»ó ÃÖ¾ÇÀÇ ¾Ç¼ºÄڵ塯¶ó°í ºÒ¸°´Ù. ÇØÄ¿µéÀº ÆÄÀÏÀ» ¿ ¼ö ÀÖ°Ô ÇØÁشٴ Á¶°ÇÀ¸·Î µ·À» ¿ä±¸Çϴµ¥, ±âÇÑÀÌ Áö³ª¸é ¾×¼ö°¡ ´õ ¿Ã¶ó°¡°í ÆÄÀÏÀ» º¹±¸ÇÒ ¼ö ¾ø°Ô ÇÒ ¼ö ÀÖ´Ù°í Çù¹ÚÇϱ⵵ ÇÑ´Ù.
±×·±µ¥ ¸ð ¾ð·Ð¿¡ ÀÇÇϸé 2015³â ·£¼¶¿þ¾î °¨¿°ÀÚ¼ö°¡ 5¸¸ 3õ¸í, ÇÇÇؾ׼ö õ¾ï, ÇØ¿Ü À¯Ãâ ÇÇÇؾ׼ö 3¹é¸¸ ´Þ·¯¶ó°í ¿¹ÃøÇß´Ù. 2016³â ¿¹»ó °¨¿°ÀÚ¼ö´Â 15¸¸¸í, ÇØ¿Ü À¯Ãâ ±Ý¾× 9¹é¸¸ ºÒ, ÇÇÇØ±Ý¾× 3õ¾ï¿øÀ» ¿¹ÃøÇÑ´Ù´Â °ÍÀÌ´Ù. ¾Ç¼ºÄÚµå ÇÇÇØ´Â ¸Å¿ì ½É°¢ÇÏ´Ù. ¾ÏÈ£ÈµÈ ÄÄÇ»ÅÍ¿Í ÆÄÀÏÀ» ÇØÁ¦(º¹È£È)Çϱâ À§ÇÑ ´ë°¡·Î ÁöºÒÇÏ´Â ºñÆ®ÄÚÀÎÀÌ´Ù.
·£¼¶¿þ¾î´Â ±âÁ¸ º¸¾È±â¼úÀ» ¹«·ÂÈÇÏ°í ±Þ¼ÓÇÏ°Ô È®»ê½Ãų¸¸ÇÑ ÅøÀ» °³¹ßÇÏ°í ÀÖÀ¸¸ç, »ç¿ëÀÚÀÇ Çã¼úÇÑ µ¥ÀÌÅÍ°ü¸® ÇãÁ¡À» ³ë¸°´Ù. ¶Ç ÃßÀû ºÒ°¡´ÉÇÑ ±ÝÀü°Å·¡ ¹æ½ÄÀ¸·Î ¼öÀÍÀ» ¾ò°í ÀÖ´Ù. ÀÌ·¯ÇÑ ·£¼¶¿þ¾î ¹æ¾î¸¦ À§ÇÑ ÃÖ¼±ÀÇ ÇعýÀº µ¥ÀÌÅÍ ¹é¾÷À¸·Î ¾Ë·ÁÁ³´Ù.
2015³â 3¿ù ÀÌÈÄ ±¹³»¿¡¼ ·£¼¶¿þ¾î¿¡ °¡Àå ¸¹ÀÌ °¨¿°µÈ °æ·Î´Â ÀÎÅͳÝ(67%)À¸·Î ³ªÅ¸³µ´Ù. Ãë¾àÇÑ ÀÎÅÍ³Ý »çÀÌÆ®¿¡¼ Á¢¼Ó¸¸À¸·Îµµ °¨¿°µÇ´Â ¡®µå¶óÀ̺ê¹ÙÀÌ´Ù¿î·Îµå(Drive-by-download)¡¯¸¦ ÅëÇÑ »ç·Ê°¡ °¡Àå ¸¹¾Ò´Ù. ±× ´ÙÀ½À¸·Î´Â À̸ÞÀÏ Ã·ºÎÆÄÀÏÀÌ 25%À̸ç, P2P(ÆÄÀÏ°øÀ¯)¸¦ ÅëÇÑ °¨¿°Àº 8%·Î Áý°èµÆ´Ù.
¡Þ¾Ç¼ºÄÚµå À¯ÀÔ °æ·Î
±×·¸´Ù¸é ÇöÀç ½ÅÁ¾¾Ç¼ºÄÚµå´Â ¾î¶»°Ô ¿ì¸®¿¡°Ô Àü´ÞµÇ´Â°¡? ¸¸¾à USB°¡ ¾Æ´Ï¶ó¸é ¹«·Á 10³âÀÌ ³Ñµµ·Ï ÀûµéÀÇ Ä§ÅõÀü·«¿¡ ÀÇÇØ ¿ì¸®ÀÇ ÄÄÇ»Å͸¦ °¨¿°½ÃÄ׳ª ¾Ë¾Æº¸ÀÚ.
±×¸² 3Àº ÇØ¿Ü ÄÄÇ»Å͹é½Å ¾÷üÀÎ Kaspersky¿¡¼ 2009³â¿¡ ¹ßÇ¥ÇÑ ÀڷḦ ÂüÁ¶ÇÑ °ÍÀÌ´Ù. 2006³â ¾Ç¼ºÄڵ带 ¹è´ÞÇÏ´Â ¼ö´ÜÀÌ ÀüÀÚ¿ìÆí¿¡¼ À¥ ¼ºñ½º°¡ 4¹è ÀÌ»ó Áõ°¡µÈ ³»¿ëÀ» º¸¿©ÁÖ°í ÀÖ´Ù. À¥À» ¸Å°³·Î ÇÏ´Â ³»¿ëÀº ´ÙÀ½ ±â°í¿¡¼ ´Ù·é´Ù.
¡ã ±×¸² 3. ¾Ç¼ºÄÚµå À¯ÀÔ°æ·Î
À¥ Drive by Download °³³ä
¡Þ3.20 »çÀ̹öÅ×·¯ ¾Ç¼ºÄÚµå
2013³â 3¿ù 20ÀÏ 2½Ã 10ºÐ°æ KBS, MBC, YTN 3°³ ¹æ¼Û»ç¿Í ½ÅÇÑÀºÇà, ³óÇù, Á¦ÁÖÀºÇà 3°³ ÀºÇàÀÇ Àü»ê¸ÁÀÌ ¸¶ºñµÇ¾ú´Ù. ÇÇÇØ ¹æ¼Û»çµéÀº Á÷¿øµé PC¿Í ³»ºÎ Àü»ê¸Á Á¢¼ÓÀÌ µÇÁö ¾Ê¾Æ ¹æ¼Û Á¦ÀÛ ¾÷¹«¿¡ ¸·´ëÇÑ Â÷ÁúÀ» ºú¾ú´Ù. Á÷¿øµéÀÌ Á¾À̸¦ µé°í ¶Ù°í, ÇöÀå¿¡ ³ª°£ ±âÀÚµéÀÌ ¿Â¶óÀÎ ±â»ç ¼Û°í¸¦ ¸øÇØ ¹®ÀÚ ¸Þ½ÃÁö¸¦ º¸³»°í, Æѽº¸¦ ã¾Æ Çì¸Å´Â µî ´ëÈ¥¶õÀÌ ¹ú¾îÁ³´Ù.
ºñ½ÁÇÑ ½Ã°£, ³óÇù°ú ½ÅÇÑÀºÇà ¼¹ö¿¡µµ ¹®Á¦°¡ »ý±â±â ½ÃÀÛÇß´Ù. ½ÅÇÑÀºÇàÀÇ ¸ðµç Àü»êÀÌ ¸¶ºñµÇ¾î ⱸ °Å·¡, ATM °Å·¡°¡ ÁߴܵƴÙ. ½ÅÇÑÀºÇàÀÇ °è¿»çÀÎ Á¦ÁÖÀºÇ൵ ¸ðµç °Å·¡°¡ ÁßÁöµÆ´Ù. ³óÇùµµ ³»ºÎ Àü»ê¸ÁÀ» Â÷´ÜÇØ ¸ðµç °Å·¡¸¦ ÁßÁö½ÃÄ×´Ù. ÀºÇà Àü»ê¸ÁÀÌ º¹±¸µÇ´Â 2~3½Ã°£ µ¿¾È ÀÌ¿ëÀÚµéÀÇ ºÒÆíÀÌ ±Ø¿¡ ´ÞÇß´Ù.
À̳¯ ÇÇÇØ ´ë»óÀ̾ú´ø KBS, MBC, YTN ¹æ¼Û»ç¿Í ½ÅÇÑÀºÇà, ³óÇù, Á¦ÁÖÀºÇà ÀÌ·¸°Ô ÃÑ 6°³ ȸ»ç°¡ º¸À¯ÇÑ ¾à 3¸¸ 2õ ´ëÀÇ PC°¡ ÀϽÿ¡ ¿ÀÀÛµ¿À» ÀÏÀ¸Ä×´Ù. ¶ÇÇÑ 1¸¸ 6õ¿© ´ëÀÇ CD/ATM ±â±â°¡ ¼Õ»óµÆ´Ù. À¥ ¼¹öµµ ÇÇÇظ¦ ÀÔ¾î PC¿¡ ÀúÀåµÈ ¹æ¼Û µ¥ÀÌÅÍ¿Í ÀºÇà µ¥ÀÌÅÍ°¡ Áö¿öÁ³´Ù. ÀÌ ¸ðµç ½Ã½ºÅÛÀÌ Á¤»ó º¹±¸µÇ´Â µ¥´Â ¹«·Á 1°³¿ùÀÌ °É·È´Ù.
ÇÇÇØ ºñ¿ëÀº ¾ó¸¶³ª µÉ±î? ´Ü¼øÈ÷ 3¸¸2õ´ë PCÀÇ Çϵåµð½ºÅ© º¹±¸ºñ¿ë¸¸ ¼ö½Ê¾ï¿ø ±Ô¸ð´Ù. »ç°í ÀÌÈÄ KAIST Á¤º¸º¸È£´ëÇпøÀÌ ¿¬±¸ÇÑ °á°ú¿¡ µû¸£¸é, ½Ã½ºÅÛ º¹±¸ºñ¿ë°ú ¸ÅÃâÀÌÀÍ ¼Õ½ÇÀÌ Æ÷ÇÔµÈ ¡®Á÷Á¢Àû ÇÇÇؾס¯ÀÌ ¾à 1,361¾ï ¿ø¿¡ ´ÞÇßÀ¸¸ç, »ý»êÈ¿À² ÀúÇÏ, µ¥ÀÌÅÍ ¼Õ½Ç, ¿¹¹æÀ» À§ÇÑ ÅõÀÚºñ¿ë µîÀÌ Æ÷ÇÔµÈ ¡®°£Á¢Àû ÇÇÇؾס¯Àº ¾à 6,600¸¸¿øÀ¸·Î ÃßÁ¤µÇ¾ú´Ù. ±×¸®°í À̹ÌÁö ¼Õ»ó, ½Å·Úµµ Ã߶ô, ÁÖ°¡ Ç϶ô, ¹ýÀû º¸»óºñ µîÀ¸·Î ÀÎÇÑ ¡®ÀáÀçÀû ÇÇÇؾס¯Àº ¾à 7,310¾ï¿øÀ¸·Î ÃÑ ÇÇÇؾ×Àº ¾à 8,672¾ï 4900¸¸¿ø¿¡ À̸£·¶´Ù.
°ø°ÝÀÚµéÀº 2012³â 6¿ù ÀÌÀüºÎÅÍ °ø°ÝÀ» ÁغñÇß´Ù. ±×µéÀº ¾Ç¼ºÄÚµå·ÎºÎÅÍ Á¤º¸¸¦ ¼öÁýÇÏ°í °ø°Ý Áö·ÉÀ» ³»¸®´Â C&C ¼¹ö(Command & Control Server)¸¦ È®º¸Çϱ⠽ÃÀÛÇß´Ù. ÇØÄ¿µéÀº Á÷Á¢ ¸í·ÉÀ» ³»¸®¸é ÃßÀûÀ» ´çÇϱ⠶§¹®¿¡ C&C ¼¹ö¸¦ ¸¸µé°í À̸¦ °æÀ¯ÇØ °ø°ÝÇÏ´Â °ÍÀÌ º¸ÅëÀÌ´Ù. µû¶ó¼ C&C ¼¹ö°¡ °ø°Ý °æÀ¯Áö°¡ µÈ´Ù. °ø°ÝÀÚµéÀº ÀÌÈÄ ±¹³»ÀÇ À¥ ¼¹ö¸¦ ÇØÅ·ÇÏ¿© ¾Ç¼ºÄڵ带 À¯Æ÷Çß´Ù. ÇÇÇØ ±â°üº°·Î ÁøÇà »óȲÀº Á¶±Ý¾¿ ´Ù¸£³ª, 2012³â 6¿ùºÎÅÍ 2013³â 1¿ù±îÁö ³»ºÎ PC °¨¿°ÀÌ ¿Ï·áµÆ´Ù.
¾Ç¼ºÄڵ忡 °¨¿°µÈ ±â°ü ³» PCµéÀÌ °ø°ÝÀÚ°¡ ÁغñÇÑ C&C ¼¹ö¿¡ Á¢¼ÓÇÏ¿© ³»ºÎ Àü»ê¸ÁÀÇ Á¤º¸¸¦ º¸°íÇÏ°í, Ãß°¡ ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇß´Ù. ¾Ç¼ºÄڵ忡 °¨¿°µÈ PC Áß Áß¿ä Æ÷ÀÎÆ®ÀÇ PCµéÀÌ 2Â÷ C&C ¼¹ö¿¡ Á¢¼ÓÇߴµ¥, À̸¦ ÅëÇØ °ø°ÝÀÚ°¡ ±â°üÀÇ ¸Á ºÐ¼®À» ³¡³½ °ÍÀ¸·Î º¸ÀδÙ. °¢ ±â°üµéÀº Á÷¿øµé PCÀÇ ¹ÙÀÌ·¯½º ¹é½ÅÀ» ±â°üÀÇ ¾÷µ¥ÀÌÆ® ¼¹ö¿¡¼ Áß¾Ó °ü¸®ÇÏ¿© ÀÚµ¿ ¼³Ä¡Çϵµ·Ï ÇÏ°í ÀÖ¾ú´Ù. ÀÌ·± ¹é½Å ¾÷µ¥ÀÌÆ® ¼¹öµµ ÇØÄ¿°¡ Àå¾ÇÇß´Ù.
¡ã ±×¸² 4. 3.20 »çÀ̹ö Å×·¯ °ü·Ã ±â°£ ¾Ç¼ºÄÚµå ÀÇ½É ÆÄÀÏ°ú °ü·ÃµÈ ¾Ç¼º¸µÅ©ÀÇ Â÷´Ü ¼öÄ¡ (Ãâó:Æ®¶óÀÌÅ¥ºê·¦)
°ø°ÝÀÚµéÀº 2013³â 2¿ù ÀÌÀü ±â°üÀÇ Àü»ê¸Á Ư¼º¿¡ µû¶ó ¸ÂÃãÇü ¾Ç¼ºÄڵ带 °³¹ßÇÑ °ÍÀ¸·Î º¸ÀδÙ. 2013³â 2¿ù 1ÀÏ, KBS.exe¶ó´Â Ãß°¡ ¾Ç¼ºÄڵ尡 ´Ù¿î·ÎµåµÈ °ÍÀÌ ¹ß°ßµÆ´Ù. 2¿ù 1ÀϺÎÅÍ 3¿ù 15ÀϱîÁöÀÇ ±â°£ Áß ±â°üº°·Î Ãß°¡ÀûÀÎ ´Ù¿î·Îµå°¡ ÀÖ¾ú´ø °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
»ç°Ç ¹ß»ý 20ÀÏ ÈÄÀÎ 4¿ù 10ÀÏ Áß°£ Á¶»ç°á°ú ¹ßÇ¥¿¡¼´Â ºÏÇÑ Á¤ÂûÃѱ¹ ¼ÒÇàÀ¸·Î ÃßÁ¤µÈ´Ù´Â °á·ÐÀÌ ³»·ÁÁ³´Ù. ±× ±Ù°Å·Î ´ÙÀ½°ú °°Àº ¼¼ °¡Áö »ç½ÇÀÌ Á¦½ÃµÆ´Ù. ù°, ºÏÇÑ ³»ºÎ¿¡¼ ±¹³» C&C ¼¹ö¿¡ ¼ö½Ã Á¢¼Ó, Àå±â°£ °ø°ÝÀ» ÁغñÇÑ Á¡ÀÌ´Ù. 2012³â 6¿ù 28ÀϺÎÅÍ ºÏÇÑ ³»ºÎ PC ÃÖ¼ÒÇÑ 6´ë°¡ 1,590ȸ Á¢¼ÓÇÏ¿© ±ÝÀ¶»ç¿¡ ¾Ç¼ºÄڵ带 À¯Æ÷ÇÏ°í PC ÀúÀåÀڷḦ ÀýÃë ¹× °ø°ÝÇß´Ù.
µÑ°, C&C ¼¹ö 49°³ Áß 22°³°¡ °ú°Å »ç¿ëÇß´ø °æÀ¯Áö¿Í µ¿ÀÏÇÑ Á¡ÀÌ´Ù. Áö±Ý±îÁö ÆÄ¾ÇµÈ ±¹³»¿Ü C&C ¼¹ö 49°³(±¹³» 25, ÇØ¿Ü 24) Áß 22°³(±¹³» 18, ÇØ¿Ü 4)°¡ 2009³â ÀÌÈÄ ºÏÇÑÀÌ ´ë³² ÇØÅ·¿¡ »ç¿ëÇÑ °É·Î È®ÀÎµÈ ÀÎÅÍ³Ý ÁÖ¼Ò¿Í ÀÏÄ¡Çß´Ù. ¼Â°, ¾Ç¼ºÄÚµå 76Á¾ Áß 30Á¾ ÀÌ»óÀ» ÀçÈ°¿ëÇÑ Á¡ÀÌ´Ù. ºÏÇÑ ÇØÄ¿µé¸¸ °íÀ¯ÇÏ°Ô »ç¿ëÁßÀÎ °¨¿°PCÀÇ ½Äº°¹øÈ£(8ÀÚ¸® ¼ýÀÚ) ¹× °¨¿°½ÅÈ£ »ý¼ºÄÚµåÀÇ ¼Ò½ºÇÁ·Î±×·¥ Áß °ú°Å¿Í µ¿ÀÏÇÏ°Ô »ç¿ëµÈ ¾Ç¼ºÄڵ尡 ¹«·Á 18Á¾¿¡ ´ÞÇß´Ù.
¶ÇÇÑ, »ç°Ç ¹ß»ý 8°³¿ù ÈÄÀÎ 12¿ù 5ÀÏ, ±ÝÀ¶°¨µ¶¿øÀº 3.20 »çÀ̹ö Å×·¯¿Í °ü·ÃÇØ ³óÇù ¹× ½ÅÇÑÀºÇà µîÀÇ ¹®Á¦Á¡°ú Á¶Ä¡°á°ú¸¦ ¹ßÇ¥Çß´Ù. ³óÇù(Áß¾Óȸ, ÀºÇà, »ý¸íº¸Çè, ¼ÕÇغ¸Çè)Àº ¹æȺ® º¸¾È Á¤Ã¥ ¹× ¹é½Å ¾÷µ¥ÀÌÆ® ¼¹ö¸¦ ºÎÀûÀýÇÏ°Ô ¿î¿µÇÑ Á¡ µîÀÌ, ½ÅÇÑÀºÇà°ú Á¦ÁÖÀºÇàÀº °ü¸®ÀÚ °èÁ¤ °ü¸® ºÎÀûÁ¤ ¹× ¹é½Å ¾÷µ¥ÀÌÆ® ¼¹ö °ü¸® ¼ÒȦÀÌ ÁöÀûµÆ´Ù.
°ø°ÝÀÚ´Â 3¿ù 15ÀÏ È«Äá¿¡¼ ¾Ç¼ºÄڵ带 ¹èÆ÷ÇÏ´Â µµ¸ÞÀÎÀ» µî·ÏÇß´Ù. º»°ÝÀûÀÎ °ø°ÝÀ» °³½ÃÇÑ ½ÃÁ¡À¸·Î º¼ ¼ö ÀÖ´Ù. 3¿ù 17ÀÏ¿¡ iMBC.exe, SBS.exe µîÀÇ ¾Ç¼ºÄڵ尡 ´Ù¿î·ÎµåµÇ´Â »óȲÀÌ ¹ß°ßµÇ¾î ±¹³» º¸¾È¾÷ü ºû½ºÄµÀÇ º¸¾È °æ°í°¡ ³ª¿À±âµµ Çß´Ù. ÀÌ ½ÃÁ¡¿¡¼ °¢ ±â°üÀÇ ¹ÙÀÌ·¯½º ¹é½Å ¾÷µ¥ÀÌÆ® ¼¹ö¿¡´Â ¾Ç¼ºÄڵ尡 µé¾î°¡ ÀÖ¾ú´Ù. 3¿ù 17ÀϺÎÅÍ 20ÀÏ »çÀÌ, °¢ ±â°üÀÇ ¹é½Å ¾÷µ¥ÀÌÆ® ¼¹ö´Â Á¶Á÷ ±¸¼º¿øµéÀÇ PC¿¡ ÀÏÁ¦È÷ ¹é½Å ¾÷µ¥ÀÌÆ®¸¦ ½Ç½ÃÇߴµ¥, À̶§ ¾Ç¼ºÄڵ尡 Àü ±â°üÀÇ PC¿¡ °¨¿°µÆ´Ù. °¨¿°µÈ ¾Ç¼ºÄÚµå´Â ¹Ì¸® ¼³Á¤µÈ °ø°Ý½Ã°£À» ±â´Ù·È´Ù.
3.20 »çÀ̹öÅ×·¯°¡ ½Ã»çÇÏ´Â ³»¿ëÀº ´ÙÀ½°ú °°´Ù. ù°, ¹é½Å¿¡ ÀÇÇÑ ¹æ¾îÃ¥Àº °ø°ÝÀÚ°¡ ½ÅÁ¾ ¾Ç¼ºÄÚµå À¯Æ÷ ÈÄ Å½Áö, ºÐ¼®ÇÏ°í ¾÷µ¥ÀÌÆ®ÇÏ´Â ´ëÀÀ ½Ã°£ÀÌ ±æ¾îÁø´Ù´Â ±¸Á¶ÀûÀÎ ¹®Á¦°¡ ÀÖ´Ù. ½ÅÁ¾ ¾Ç¼ºÄڵ尡 À¯Æ÷µÇ´Â ½Ã°£ÀÌ 30-40ºÐÀ̶ó´Â Á¡À» »ý°¢ÇÏ¸é ¹é½Å ¾÷µ¥ÀÌÆ® ½Ã°£Àº Å« ¹®Á¦´Ù. ½ÅÁ¾ ¾Ç¼ºÄڵ尡 »çÀ̹öÅ×·¯ÀÇ ÁÖµÈ °ø°ÝÀÎ »óȲ¿¡¼ ¹é½Å¿¡¸¸ ÀÇÁ¸ÇÏ´Â ±¹³» Á¶Á÷°ú Á¤ºÎÀÇ »çÀ̹ö º¸¾È ´ëÃ¥Àº ½É°¢ÇÑ ¸ÍÁ¡À» µå·¯³½´Ù. À¥À» ÅëÇÑ ¾Ç¼ºÄÚµå À¯Æ÷¸¦ »¡¸® ŽÁöÇÏ´Â ±â¼úÀ» Ãß°¡·Î È°¿ëÇÏ´Â ¹æ¾ÈÀÌ ¿ä±¸µÈ´Ù. »ç½Ç ÀÌ·¯ÇÑ ±â¼úÀº ÀÌ¹Ì Á¤ºÎ¿¡¼ °³¹ßµÇ¾î ¿î¿µµÇ°í ÀÖ´Ù.
¶ÇÇÑ 3.20 »çÀ̹ö Å×·¯¿¡¼± ¹é½Å ¾÷µ¥ÀÌÆ® ¼¹ö°¡ Å»ÃëµÈ °ÍÀÌ °¡Àå Å« ¹®Á¦¿´´Ù. º¸¾È¾÷üÀÇ ¾÷µ¥ÀÌÆ® ¼¹ö°¡ ¾Ç¼ºÄÚµåÀÇ ¼÷ÁÖ°¡ µÇ¾î¹ö¸° °ÍÀÌ´Ù. ÀÌ °úÁ¤¿¡¼ ±Ý¿ë±â°ü µîÀÇ À߸øÀÌ ÀÖ¾úÁö¸¸, ¹é½Å¾÷üÀÇ °ü¸®»ó À߸øµµ ºÐ¸í ÀÖ¾ú´Ù. ÀÌ´Â ±×µ¿¾È ¹é½Å¾÷üÀÇ ÀÏ»óÀûÀÎ ÀÛ¾÷¿¡ º¸´Ù Ä¡¹ÐÇÑ º¸¾È°ü¸®°¡ ÇÊ¿äÇÔÀ» ¶æÇÑ´Ù. ÀÌ »ç°Ç¿¡¼ ¹é½Å¾÷üµéÀº ±×µé ÀÚü°¡ ÇØÅ· ´çÇÏÁö´Â ¾Ê¾Ò´Ù°í Çϳª, ¾ÕÀ¸·Î ´õ º¸¾ÈÀ» °ÈÇØ¾ß ÇÒ °ÍÀÌ´Ù. ¹é½Å¾÷üÀÇ º¸¾È¿¡ ±¸¸ÛÀÌ ¶Õ¸°´Ù´Â °ÍÀº °ð ¿Â ±¹¹ÎÀÇ PC¿¡ ±¸¸ÛÀÌ ¶Õ¸°´Ù´Â ÀǹÌÀ̱⠶§¹®ÀÌ´Ù.
¸¶Áö¸·À¸·Î º¸¾ÈÀǽÄÀÇ ¹®Á¦´Ù. ±ÝÀ¶°¨µ¶¿ø ÀÚ·á¿¡ µû¸£¸é ¾÷¹«¸¦ ¼öÇàÇÏ´Â ±ÝÀ¶¾÷ü ½Ç¹«ÀÚµéÀÌ ±âº»ÀûÀÎ º¸¾È¿øÄ¢À» ÁöÅ°Áö ¾Ê¾Ò´Ù´Â Á¡À» ¾Ë ¼ö ÀÖ´Ù. ÀÏ·Ê·Î ¼¹ö¿¡ Á¢¼ÓÇÏ´Â °ü¸®ÀÚµéÀÌ PC¿¡ ¼¹ö »ç¿ëÀÚ°èÁ¤°ú ºñ¹Ð¹øÈ£¸¦ ÀúÀåÇÏ°í, ÀÚµ¿ ·Î±×ÀÎ ±â´ÉÀ» ½è´Ù. ÀÌ·¯¸é PC°¡ ÇØÄ¿¿¡°Ô ³Ñ¾î°¡´Â ¼ø°£ ¼¹öµµ ÇØÄ¿ÀÇ ¼Õ¿¡ ¶³¾îÁø´Ù´Â ¾ê±â´Ù. ¾Æ¹«¸® ÁÁÀº º¸¾ÈÁ¦Ç°À» »ç¿ëÇÏ°í, ¾Æ¹«¸® ±Ù»çÇÑ º¸¾ÈÁ¤Ã¥À» ¼¼¿öµµ ÀÌ·¸°Ô ¾ÈÀÌÇÑ º¸¾ÈÀǽÄÀÌ ¹Ù²îÁö ¾Ê´Â´Ù¸é ¸ðµç ¿¹¹æÃ¥ÀÌ ¹«¿ëÁö¹°ÀÌ´Ù. ÁÖ¾îÁø º¸¾ÈÅëÁ¦¸¦ ÁöÄÑ¾ß ÇÑ´Ù´Â Àǽİú ½ÇõÀÌ Áß¿äÇϸç Á¶Á÷Àº º¸¾ÈÅëÁ¦ ÁؼöÀ²·Î Á¶Á÷ÀÇ º¸¾È¼º°ú°¡ ³ªÅ¸³ª´Â °ÍÀÌ´Ù.
¡ÞDrive By Downloard(µå¶óÀÌºê ¹ÙÀÌ ´Ù¿î·Îµå) µ¿ÀÛ
2009³â ¸ð °ø¹«¿øÀº ¡°Å¬¸¯ÇØ¾ß ¾Ç¼ºÄڵ忡 °¨¿°µÇ´Â °Í ¾Æ´Ñ°¡?¡±¶ó°í À̾߱âÇÑ ¹Ù ÀÖ¾ú´Ù. ¾Æ¸¶ À̸ÞÀÏ¿¡ ÷ºÎµÈ ¾Ç¼ºÄÚµå °¨¿°¸¸À» °í·ÁÇß´ø °Í °°¾Ò´Ù. ´ç½Ã¿¡´Â ÁÖ·Î À̸ÞÀÏ·Î °¨¿°µÈ´Ù°í ¾Ë ¼öµµ ÀÖ°Ú´Ù. ÇÏÁö¸¸ ±×¸² 5¿¡¼ À¯ÀÔ°æ·Î ³âµµ¸¦ º¸¸é ´ç½Ã¿¡µµ ÁÖµÈ À¯ÀÔ°æ·Î°¡ À¥À̾ú´Ù. ¾ÈŸ±î¿î ÀÏÀ̾ú´Ù. ºÏÇÑÀÌ ÁÖ·Î À̸ÞÀÏ °¨¿°¹æ½ÄÀ» ÀÌ¿ëÇϹǷΠ±×·¨´Ù°í ÇÒ ¼ö ÀÖ´Ù. ´ç½Ã¿¡´Â ±¹³» ¹é½Å¾÷üµµ ±×·¨´Ù. ÇÏÁö¸¸ ´©°¡ ºÁµµ 10¸¸°³ÀÇ Á»ºñPC »ý¼ºÀº À̸ÞÀÏ °¨¿°À¸·Î´Â ºÒ°¡´ÉÇÏ´Ù.
¡ã ±×¸² 5. Drive by Download ¹æ½Ä µ¿ÀÛ °³³äµµ
±×·¸´Ù¸é ¾Ç¼ºÄڵ峪 ÇǽÌÀ» Á¦°øÇÏ´Â Drive By Downloard »çÀÌÆ®°¡ ¾ó¸¶³ª ÀÖÀ»±î? ÀÌ ´ë´äÀº ±¸±ÛÀÌ Á¦°øÇÏ°í ÀÖ´Ù. ±¸±ÛÀº Àü ¼¼°è 10¾ï°³ URLÀ» ºÐ¼®ÇØ ¸ÅÁÖ º¸°í¸¦ º¸¿©ÁÖ°í Àִµ¥, ¾à 10¸¸°³ ¾Ç¼º URLÀ» º¸°íÇÑ´Ù. ±×¸®°í ¾Ç¼º URLÀº ¼ö½Ã·Î ¹Ù²î°í ÀÖ´Ù.
¡ã ±×¸² 6. ±¸±ÛÀÌ Á¦°øÇÏ´Â ¾Ç¼º URL
¡Þ DBD¿¡ ÀÇÇÑ ¾Ç¼ºÄÚµå °¨¿° °æ·Î ºÐ¼®
À̸ÞÀÏ¿¡ ÀÇÇÑ ¾Ç¼ºÄÚµå °¨¿° °æ·Î´Â ¿©±â¿¡¼ÀÇ ÁÖµÈ °ü½É»ç°¡ ¾Æ´Ï´Ù. ¾îÂ÷ÇÇ ÇÇÇرâ°üÀÇ ¸ÞÀÏ ¼¹ö ÇϳªÀÇ °æ·Î¿¡¼ ºÐ¼® ¹× ŽÁöÇÒ »ÓÀÌ´Ù. ±×¸² 7¿¡¼ ¾î¶² µµ¸ÞÀÎÀÇ ÀÏ¹Ý »ç¿ëÀÚ°¡ ¾Ç¼ºÄÚµå °¨¿° ÈÄ 2Â÷, 3Â÷ °¨¿°µÇ´Â ¸ð½ÀÀ» º¸ÀÌ°í ÀÖ´Ù.
¡ã ±×¸² 7. DBD¿¡ ÀÇÇÑ ¾Ç¼ºÄÚµå °¨¿° °³³äµµ
À¥ ¼¹ö Ãë¾à¼ºÀ¸·Î °¨¿°µÇ¾î ¾Ç¼º ȨÆäÀÌÁö°¡ µÇ´Â »çÀÌÆ®´Â ³Ê¹«³ª ¸¹´Ù. ±×¸² 7ÀÇ »ç·Ê¿¡´Â A, B, C µµ¸ÞÀÎÀÌ Àִµ¥ °¢ µµ¸ÞÀÎÀº ¼·Î ½Å·ÚÇÒ¼ö·Ï °¨¿°¼Óµµ°¡ ºü¸£´Ù. ¾î¶² ±â¾÷À̵ç Çù·Â¾÷ü°¡ ÀÖ°í Çϳª¸¸ °¨¿°µÇ¸é ´Ù¸¥ µµ¸ÞÀÎÀÇ »ç¿ëÀÚ¸¦ °¨¿°½Ãų ¼ö ÀÖ°í, ¶Ç °ø°ÝÇÒ ¼ö ÀÖ´Ù. °á±¹ ÀÌ´Â ¾Ç¼ºÄڵ忡 ÇϳªÀÇ ½Ã½ºÅÛ¸¸ °¨¿°µÇ¾îµµ ÁÖÀ§ÀÇ ¿©·¯ µµ¸ÞÀÎÀÌ À§ÇèÇÔÀ» º¸¿©ÁÖ´Â °ÍÀÌ´Ù. ÀÌ »ç½Ç·Î¼ ´ÙÀ½ 2°¡Áö¸¦ ºÐ¼®Çس¾ ¼ö ÀÖ´Ù.
- ¾Ç¼ºURLÀ» Á¦°øÇÏ´Â À¥ ¼¹ö°¡ À¥ Ãë¾àÁ¡À¸·ÎºÎÅÍ ¾ÈÀüÇØ¾ß ÇÑ´Ù.
- ÀÎÅÍ³Ý »ç¿ëÀÚµéÀÌ ¾Ç¼º URL¿¡¼ ¾Ç¼ºÄڵ忡 °¨¿°µÇÁö ¸»¾Æ¾ß ÇÑ´Ù.
À¥ Ãë¾à¼ºÀ» Á¦°ÅÇϱâ À§ÇÑ ºñ¿ëÈ¿°úÀûÀÎ ¹æ¹ýÀº ´ÙÀ½ Àý¿¡¼ ³íÀÇÇÏÁö¸¸ Á¶Á÷ÀÇ ±¸¼º¿øÀÌ ¾Ç¼º URL¿¡¼ °¨¿°´çÇÏÁö ¾ÊÀ¸·Á¸é ´ÙÀ½ 6°¡Áö ´ëÃ¥ÀÌ ÇÊ¿äÇÏ´Ù. ¸¸¾à ÀÌ°ÍÀ» ÁöÅ°Áö ¸øÇÏ´Â ±â¾÷ÀÌ Àְųª È®ÀÎÀÌ ºÒ°¡´ÉÇÏ´Ù¸é ¾î¶² ¾Ç¼ºURL ȨÆäÀÌÁö ¼¹öµéÀÌ ÀÖ´ÂÁö °¡´ÉÇÑ ½Ç½Ã°£À¸·Î ¾Ë ¼ö ÀÖ¾î¾ß ¸·´Â´Ù.
¡ã Ç¥ 1. DBD ¹æÁö 6°¡Áö ´ëÃ¥
ºñ¿ëÈ¿°úÀûÀÎ À¥ Ãë¾à¼º Á¦°Å °ü¸®¹æ¾È
¡ÞÀ¥ ¼¹ö Ãë¾à¼º Á¦°ÅÀÇ Á߿伺
¾Õ¼ ¾Ç¼ºURL·Î µå·¯³ À¥¼¹ö µîÀåÀ» ¸·À¸·Á¸é À¥ ¼¹ö°¡ ¾ÈÀüÇÏ°Ô SW°¡ °³¹ßµÇ°í À¯ÁöµÇ¾î¾ß ÇÔÀ» ¾Ë¾Ò´Ù. ÇÏÁö¸¸ ±¹³» 150¸¸°³ Á¤µµÀÇ ¿î¿µµÇ´Â À¥¼¹ö ¸ðµÎ°¡ ¾ÈÀüÇÏ´Ù°í º¼ ¼ö ¾øÀ¸¸ç ¾ÈÀüÇÏ´Ù°¡ °©Àڱ⠾ÈÀüÇÏÁö ¸øÇÑ »óÅ·Π¹Ù²î±âµµ ÇÑ´Ù. Google Safe Browsing ȯ°æ¿¡¼ ¾Ç¼ºURL À̾ú´Ù°¡ ¼ö°³¿ù ÈÄ¸é ¾ÈÀüÇÏÁö ¾ÊÀºµ¥µµ ¾ÈÀüÇÑ URL·Î ¹Ù²î´Â °æ¿ì°¡ ÀÖÀ½À» Á¦ÀÚÀÇ ³í¹®À¸·Î Áõ¸íÇÑ ¹Ù ÀÖ´Ù.
¡ã ±×¸² 8. ±¸±Û Safe Browsing ¾Ç¼º URL ¹®Á¦Á¡
¸ðµç ±â¾÷Àº À¥À» ÅëÇØ °í°´°ú Çù·Â¾÷ü µî°ú Ä¿¹Â´ÏÄÉÀ̼ÇÀ» ¿°í ÀÖ´Ù. Á÷¿øÀÇ ¾Ç¼ºURL ¹æ¹®¸¸ÀÌ ¹®Á¦°¡ ¾Æ´Ï¶ó, ±â¾÷ÀÇ °³ÀÎÁ¤º¸ À¯Ãâ ¹æÁö³ª ³»ºÎ¸Á ħÅõ¸¦ ¸·±â À§Çؼµµ À¥Àº ¾ÈÀüÇÏ°Ô ¿î¿µµÇ¾î¾ß ÇÑ´Ù. ÃÖ±Ù °³ÀÎÁ¤º¸ À¯Ãâ»ç°í¸¦ ÀÏÀ¸Å² Àα⠿¶óÀÎ Ä¿¹Â´ÏƼ ¡®»Ë»Ñ¡¯¿¡ ´ëÇØ 1¾ï1700¸¸¿øÀÇ °ú¡±ÝÀÌ ºÎ°úµÆ´Ù. ¡®SQL ÀÎÁ§¼Ç¡¯À» ÅëÇØ È¸¿ø ¾à 196¸¸¸íÀÇ °³ÀÎÁ¤º¸°¡ Å»ÃëµÈ °ÍÀÌ´Ù.
SQL ÀÎÁ§¼ÇÀ̶õ DB¿¡ ´ëÇÑ ÁúÀÇ(SQL ±¸¹®)¸¦ Á¶ÀÛÇØ Á¤»óÀûÀÎ ÀÚ·á ¿Ü¿¡ ÇØÄ¿°¡ ¿øÇÏ´Â ÀÚ·á±îÁö DB·ÎºÎÅÍ À¯ÃâÇØ°¡´Â »çÀ̹ö °ø°Ý ±â¹ýÀÌ´Ù. °ø°Ý´çÇÑ À¥ÆäÀÌÁö´Â ´çÃÊ ¼ýÀÚ¸¸À» ÁúÀÇÇÒ ¼ö ÀÖµµ·Ï µÅ ÀÖ¾ú´Âµ¥, ¼ýÀÚ ¿Ü¿¡ ID, »ý³â¿ùÀÏ, À̸ÞÀÏ ÁÖ¼Ò °°Àº °³ÀÎÁ¤º¸¸¦ ÁúÀÇÇÏ´Â SQL ±¸¹®À» »ðÀÔÇØ ½ÇÇàÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡À» ¾Ç¿ë´çÇÑ °ÍÀÌ´Ù. ¹®Á¦´Â ÀÎÅÍ³Ý ¼ºñ½º ¾÷üµéÀÌ DB¿Í ¿¬µ¿µÇ´Â À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÀÚÁÖ ±³Ã¼ÇÔ¿¡ µû¶ó DB ÀÔ·Â ÀÎÀÚÀÇ À¯È¿¼º Á¡°Ë¿¡ ÀÇÇÑ º¸¾È °Ë¼ö°¡ Çö½ÇÀûÀ¸·Î ½±Áö ¾Ê´Ù´Â °ÍÀÌ´Ù.
ÀÎÅÍ³Ý º¸¾ÈÀº ¹«°á¼º(Integrity) Á¡°ËÀÌ ÇʼöÀÌ´Ù. ¼ºñ½º³ª Á¤º¸ÀÇ ¼öÁ¤ÀÌ ÇÊ¿äÇÏ´Ù¸é Á¤»óÀûÀÎ ÀýÂ÷¸¦ °ÅÃÄ¾ß ÇÔÀ» ¸»ÇÑ´Ù. ƯÈ÷, À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È °Ë¼ö´Â À¥ ÄÚµå ¼öÁ¤ÀÌ ÀÌ·ç¾îÁú ¶§¸¶´Ù ¹Ýµå½Ã ÇÊ¿äÇÑ º¸¾È °Ë¼ö °úÀå´Ù. ÇÏÁö¸¸ ¡®»Ë»Ñ¡¯¸¦ ºñ·ÔÇØ »ç½Ç»ó ¸¹Àº ±â¾÷µéÀÌ ÀæÀº ¾ÖÇø®ÄÉÀÌ¼Ç ¼öÁ¤À¸·Î º¸¾È °Ë¼ö°¡ Çö½ÇÀûÀ¸·Î ¾î·Á¿î ½ÇÁ¤ÀÌ´Ù. ¶ÇÇÑ Çù·Â¾÷ü¸¦ ÅëÇÑ °ø°ÝÀÌ ÀÖÀ» ¼ö ÀÖÀ¸¹Ç·Î ´ë±â¾÷Àº ¸¹Àº Çù·Â¾÷ü¿¡ ´ëÇÑ À¥ Ãë¾àÁ¡µµ ºÐ¼®ÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ ±âÁ¸ÀÇ SDLC(Secure Development Life Cycle) ¹æ½ÄÀº Áï°¢ÀûÀÎ °Ë¼öÁ¶»ç, Áï°¢ÀûÀÎ Àç ÄÚµù, Àç °Ë¼ö µîÀÌ ÀÌ·ç¾îÁöÁö ¾ÊÀ¸¹Ç·Î ¼¹ö °³¼ö³ª ÀæÀº ¼öÁ¤¿¡ ¾öû³ ½Ã°£°ú ³ë·Â µîÀÇ ºñ¿ëÀÌ ¿ä±¸µÈ´Ù.
¡ÞÀ¥ ¼¹ö Ãë¾à¼º
2005³â ÇϹݱ⿡ °¡Æ®³Ê(Gartner)°¡ Àüü 1000¿©°³ °¡·®ÀÇ À¥»çÀÌÆ®¸¦ »ó¿ë À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ½ºÄ³³Ê(Web application scanner)¸¦ ÀÌ¿ëÇØ Á¡°ËÇÑ °á°úÀÌ´Ù. ÀÌ¿¡ µû¸£¸é 98% °¡·®ÀÇ À¥ ¼ºñ½ºµéÀÌ °³¹ßµÈ À¥ ÄÚµåÀÇ ¹®Á¦Á¡À¸·Î º¸¾È Ãë¾àÁ¡À» °¡Áö°í ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù.
¡ã Ç¥ 2. À¥ Ãë¾àÁ¡(2005, °¡Æ®³Ê)
¿Â¶óÀÎ Ä¿¹Â´ÏƼ ¡®»Ë»Ñ¡¯ »ç°í¿Í 2011³â ¹ß»ýÇÑ Çö´ëijÇÇÅ» »ç°Ç¿¡¼ º¼ ¼ö ÀÖµíÀÌ ´ë±Ô¸ð °³ÀÎÁ¤º¸ À¯ÃâÀÌ À¥ Ãë¾àÁ¡À¸·Î ÀÌ·ç¾îÁö´Â °æ¿ì°¡ ´ë´Ù¼ö´Ù. SQLÀÎÁ§¼Ç, ºí¶óÀεå SQLÀÎÁ§¼Ç µîÀÌ´Ù. ¸¹Àº ±ÝÀ¶±â¾÷ ¹× ÀÎÅÍ³Ý ±â¾÷À» °í·ÁÇÑ´Ù¸é Å« ¹®Á¦ÀÌ´Ù. ´ÙÀ½ Ç¥ 4¿¡¼ À¥ Áß¿ä °ø°Ý ºÐÆ÷µµ°¡ ³ªÅ¸³´Ù.
¡ÞÀ¥ º¸¾È ¹®Á¦Á¡ Æò°¡ ¹æ¹ý ¹× QA(Quality Assurance) ¹æ¾È
ÇöÀç ¿î¿µ ÁßÀÎ À¥ ¼¹ö°¡ ¹®Á¦Á¡ÀÌ ÀÖ´ÂÁö Æò°¡(Assessment) ÇÏ´Â ¹æ¹ýÀº ¸ÕÀú ¾ÈÀüÇÔ À¥ ÄÚµù ¹æ¹ýÀ» »ç¿ëÇØ¾ß ÇÑ´Ù. ÀÌÈÄ ¡â¼Ò½ºÄÚµå º¸¾ÈÆò°¡(Source Code Audit)¸¦ ÅëÇØ ¼Ò½ºÄÚµåÀÇ ½ÅÅýº Á¡°Ë(¸Å¿ì Å« ÇÏÁß) ¡â½ºÄ³³Ê(Attack Scanner)¸¦ ÀÌ¿ëÇØ °ø°ÝÀÚ°¡ Çϵí Á¡°ËÇÒ ¼ö ÀÖ´Ù.
±×·±µ¥ À¥ ¼¹ö¸¦ ¿î¿µÇÏ´Â Á¶Á÷¸¶´Ù Æò°¡Çϴ ȯ°æÀÌ ´Þ¶óÁ®¾ß ÇÏ´Â °ÍÀº »ç½ÇÀÌ´Ù. À¥ ºñÁî´Ï½º°¡ Áß¿äÇÑ ÀÎÅÍ³Ý ±â¾÷Àº ¸¹Àº À¥ ¾÷µ¥ÀÌÆ®°¡ ÀÖÀ¸¸ç, ¶ÇÇÑ ±×·¸Áö ¾ÊÀº ±â¾÷µµ ´Ù·®ÀÇ À¥ ¼¹ö°¡ Á¸ÀçÇÑ´Ù. ±×·¡¼ QA ÀýÂ÷·Î¼ SDLC(Secure Development Life Cycle)À» Ç¥ÁØ ÀýÂ÷·Î ÀÌ¿ëÇÑ´Ù. ÀÌ´Â Æò°¡¸¦ ¹ÞÁö ¸øÇÑ À¥ °³¹ß ¼ÒÇÁÆ®¿þ¾î´Â ¼ºñ½º¸¦ °³½ÃÇϰųª ¿î¿µµÉ ¼ö ¾ø´Ù´Â ÀýÂ÷´Ù.
»ç½Ç SDLC´Â ½Ã½ºÅÛ ±¸Çö°úÁ¤¿¡¼ °³½Ã, ºÐ¼®, ¼³°è, ±¸Çö, À¯Áö ¹× Æó±â´Ü°è¿¡ ÇÊ¿äÇÑ º¸¾ÈÀýÂ÷¸¦ ±ÔÁ¤ÇÏ´Â °ÍÀÌ´Ù. À§ÇèÇÑ »óÅ·ÎÀÇ ÀüÀÌ´Â »ç¾÷ºÎ °³¹ßÀÚÀÇ ½Å±Ô À¥ ÄÚµù ÀÌÈÄ ³ªÅ¸³¯ ¼ö ÀÖ´Ù. µû¶ó¼ ¼ºñ½º¸¦ °³½ÃÇÏ·Á¸é ÇÊÈ÷ °Ë¼ö°úÁ¤À» ÇÊÈ÷ °ÅÃÄ¾ß ÇÏ´Â °ÍÀÌ´Ù. À¥ ºñÁî´Ï½º°¡ ¸¹°í ¼¹ö ¼ö°¡ ¸¹Àº ÀÎÅÍ³Ý ±â¾÷Àº ÇʼöÀûÀÎ ÀýÂ÷ÀÌÁö¸¸ ³ë·Â°ú ºñ¿ë¿¡ ¹Î°¨ÇÏ´Ù. ÀÚüÀûÀÎ º¸¾È À§Çè »Ó ¾Æ´Ï¶ó Á¤ºÎÀÇ ¹ýÀû ¿ä±¸»çÇ×(Compliance)µµ ¹Î°¨ÇÑ ¹®Á¦´Ù.
¡Þ¾î¶² À¥ º¸¾ÈÃë¾àÁ¡À» Á¡°ËÇØ¾ß Çϴ°¡?
Á¤ºÎ´Â OWASP Top 10À» °Á¦ÀûÀ¸·Î Á¡°ËÇØ¾ß ÇÑ´Ù´Â ±ÔÁ¤À» ISMS(Information Security Management System)¿¡ µÎ°í ÀÖ´Ù. ÇÏÁö¸¸ °³ÀÎÁ¤º¸ À¯Ãâ µî Ãë¾àÁ¡ ±ÇÇÑ È¹µæ Á¤µµ¸¦ ±âÁØÀ¸·Î Ãë¾àÁ¡À» Æò°¡ÇÏ´Â ¹æ¹ýÀÌ ¿ä±¸µÇ´Âµ¥, ÀÌ´Â °¡Æ®³Ê°¡ Á¦½ÃÇÑ °Í°ú °°Àº ³»¿ëÀÌ´Ù. Áß¿äµµ¿¡ µû´Â µî±ÞÀÇ ºÐ·ù´Â ¡âÁ¤º¸½Ã½ºÅÛ Á¤º¸È¹µæ ¡â°³ÀÎÁ¤º¸ ȹµæ ¡âÁ¤º¸½Ã½ºÅÛ ÅëÁ¦·Î ºÐ·ùÇÏ°í 5°¡Áö Ãë¾àÁ¡À» ÇʼöÀûÀ¸·Î Á¡°ËÇØ¾ß ÇÑ´Ù°í Á¦½ÃÇß´Ù.
¡ÞÀ¥ Ãë¾à¼º Á¡°Ë ´ë»ó ¹× Á¡°Ë ¹æ¾È
À¥ Ãë¾à¼º ´ë»óÀ» Á¤ÀÇÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù. Áß¿äÇÑ À¥ ¹®Á¦Á¡À» ¾Ë°í °³¼±Çϱâ À§Çؼ´Â ¾Ë°Ô µÈ À¥ Ãë¾à¼ºÀ» ¼öÁ¤Çϱâ À§ÇÏ¿© °³¹ßÀÚÀÇ µð¹ö±ë(Debug)ÀÌ ÇʼöÀÌ´Ù. ±×·¯¹Ç·Î Á߿伺 ¿ì¼±¼øÀ§¿¡ µû¶ó Á¡°Ë ºóµµ¼ö¿¡ µû¶ó Á¡°Ë ºñ¿ëÀ» ¾Ë ¼ö ÀÖ´Ù. Aµî±Þ¸¸À» Á¡°ËÇÒ °æ¿ì ÀåÁ¡À» º¸ÀÌ¸é ´ÙÀ½°ú °°´Ù.
1) °³ÀÎÁ¤º¸ À¯Ãâ µî, Áß¿äÇÑ Á¡°Ë¸¸À» ÇÒ ¼ö ÀÖ´Â Áß¿äÇÑ Ãë¾à¼º ÁýÇÕÀÌ´Ù.
2) °ø°ÝÀûÀÎ ½ºÄµ Á¡°ËÀÌ ¾Æ´Ï¹Ç·Î À¥ ¼¹ö ¿î¿µ Áß¿¡µµ Á¡°ËÀÌ °¡´ÉÇÏ´Ù.
3) Crawring Á¡°ËÀ¸·Î ½ºÄµ Á¡°Ë°ú ´Þ¸® ¹ýÀûÀÎ Á¡°Ë ¹®Á¦°¡ ¾ø´Ù
4) ±¹³» ¿î¿µ ÁßÀÎ Àüü À¥ ¼¹ö Ãë¾à¼º Á¡°ËÀÌ °¡´ÉÇÏ´Ù.
5) 25%ÀÇ ¿ì¼±¼øÀ§´Â ¶³¾îÁö´Â Á¡°ËÀº Á¡°Ë Áֱ⸦ ±æ°Ô ÇÏ¿© ºñ¿ëÈ¿°ú¼ºÀ» ³ôÀÏ ¼ö ÀÖ´Ù.
¡ÞÀ¥ Ãë¾à¼º QA ÀýÂ÷ÀÇ ºñ±³ºÐ¼®
SDLC °Ë¼ö¿¡ ÀÇÇÑ ÇÁ·Î¼¼½º¿¡¼ ¨ç»ç¾÷ºÎ¼ ½Å±Ô »ç¾÷ ¿ä±¸ ¨è°³¹ß ºÎ¼¿¡¼ÀÇ °Ë¼ö ¿äû ¨éº¸¾ÈºÎ¼ÀÇ °Ë¼ö ¹× °á°ú Å뺸 ¨ê»ç¾÷ºÎ¿¡ ¿Ï·á Å뺸 ¨ë°Ë¼öµÈ À¥ ÄÚµå °ÔÀç µîÀÇ ÀýÂ÷¸¦ °¡Áö°Ô µÈ´Ù. ÀÌ ¹æ¹ýÀº ¸Å¿ì ÀϹÝÀûÀÎ °Ë¼ö¹æ½ÄÀÌÁö¸¸, º¸Åë Á¶Á÷Àº ¿ÜºÎ¿ÍÀÇ Ä¿¹Â´ÏÄÉÀ̼ÇÀ¸·Î¼ À¥À» ¸¹ÀÌ ÀÌ¿ëÇÒ ¼ö¹Û¿¡ ¾øÀ¸¹Ç·Î ÀÎÅͳݺñÁî´Ï½º¿¡ Á¾¼ÓÀûÀÎ Á¶Á÷Àº ½Å±Ô À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ÃâÇö »Ó¸¸ ¾Æ´Ï¶ó ±âÁ¸ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¼öÁ¤µµ ÀÚÁÖ ÀÖÀ¸¹Ç·Î ¼º´É°ú ¼Ò¿äºñ¿ëÀÌ Å« ¹®Á¦·Î¼ ³ªÅ¸³´Ù. ¿ä±¸ºÎ¼ÀÇ ÀýÂ÷¿Í »ó°ü¾øÀÌ º¸¾È°Ë¼öºÎ¼°¡ ´Éµ¿ÀûÀ¸·Î °Ë¼öÇÏ¿© ºü¸¥ ½Ã°£³» °Ë¼ö°¡ ÀÌ·ç¾îÁ® ¿ÜºÎ¿¡¼ÀÇ ÇØÅ· ħÅõ¸¦ °¡Àå Àû±ØÀûÀÎ ¹æ¹ýÀ¸·Î °³¼±ÇÒ ¼ö ÀÖ´Ù.
¡Þºñ¿ë±¸Á¶ ºÐ¼®
Á¶Á÷ÀÇ ºñ¿ë »êÃâÀ» À§ÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡ ºÐ¼® Æ®·£Àè¼ÇÀ» ºÐ¼®ÇÏ´Â °ø½ÄÀ» Á¤ÀÇÇÑ´Ù. ¼Ò¿äºñ¿ë »êÃâÀº ¼¹ö´ë¼ö(ÆäÀÌÁö ¼ö·®, Á¡°Ëȸ¼ö) ¹× ÀΰǺñÀÌ´Ù. Á¡°Ëȸ¼ö´Â À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ Áß¿äµµ¿¡ µû¶ó ´Þ¶óÁø´Ù. ¿¹¸¦ µé¾î °³ÀÎÁ¤º¸¸¦ °¡Áø DB¿Í ¿¬°èµÈ ¾ÖÇø®ÄÉÀÌ¼Ç µîÀº ¸ÅÀÏ Á¡°ËÀÌ ÇÊ¿äÇÒ °ÍÀÌ´Ù. °¢ Ãë¾àÁ¡ÀÇ »ê¼úÀû ÁýÇÕÀ¸·Î Æ®·£Àè¼ÇÀ» °¡Á¤Çß´Ù. A´Â 5°³ Ãë¾àÁ¡, B´Â 25°³(OWASP Top 25), C´Â 50°³·Î °¡Á¤ÇÑ´Ù. Ãë¾àÁ¡ ºÐ¼® °á°ú¿¡ ´ëÇÑ µð¹ö±ëÀº SWÀΰǺñ°¡ µÈ´Ù. A°æ¿ì µð¹ö±ë¿¡ ¹Ý³ªÀýÀÌ °É¸®¹Ç·Î SW°³¹ßÀÚ ÇÏ·ç ÀΰǺñÀÇ Àý¹ÝÀÎ 5¸¸¿øÀ¸·Î °¡Á¤Çß´Ù.
°Ë¼ö ºñ¿ë = ¢² ( {Scan}, #Server(ȤÀº #Page), Á¡°Ë ȸ¼ö, ÀΰǺñ)
- {Scan} ; A, B, C Zone Á¡°Ë¹æ½Ä Á¡°Ë °³¼ö
¡Ø °¡Á¤ :¡¡A Zone ; 5, B Zone : 25, C Zone : 50
- #Server(ȤÀº # Page) ; ´ë»ó À¥ ¼¹ö(ÆäÀÌÁö) °³¼ö, ȤÀº Á¡°Ë ȸ¼ö
- ÀΰǺñ ; 300¸¸¿ø MM, °³¹ßÀÚÀÇ ÄÚµù ¿À·ù µð¹ö±ë ºñ¿ë
[±Û _ ÀÓäȣ KAIST Ãʺù±³¼ö, KAIST Àü»êÇаú Á¤º¸º¸È£ Àü°ø(hlim@kaist.ac.kr)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>