Home > Àüü±â»ç

ÀÇ¹Ì ÀҾ´Â ¸ðÀÇ ÇØÅ·, ±íÀ̸¦ Ãß±¸ÇØ¾ß ÇÒ ¶§

ÀÔ·Â : 2017-02-15 16:55
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¸ðÀÇ ÇØÅ·À» ÅëÇؼ­ º» ±â¾÷ º¸¾È ´É·ÂÀÇ ½ÇÅ´Â?
¹ö±×¹Ù¿îƼ¿Í °áÇÕÇßÀ» ¶§ ÈξÀ ´õ ±íÀÌ ÀÖ´Â ¹®Á¦ ºÐ¼® °¡´É


[º¸¾È´º½º È«³ª°æ ±âÀÚ] º¸¾È Á¡°Ë°ú ¸ðÀÇ ÇØÅ· Å×½ºÆ®¸¦ °ÅÀÇ µ¿ÀǾî·Î Ãë±ÞÇÏ´Â À̵鿡°Ô´Â Ãæ°ÝÀûÀÏ ¸¸ÇÑ º¸°í¼­°¡ ³ª¿Ô´Ù. º¸¾È »óŸ¦ Á¡°ËÇϱâ À§ÇØ ÇÏ´Â ¸ðÀÇ ÇØÅ·ÀÌ »ç½Ç»ó Å« Àǹ̸¦ °¡Áö°í ÀÖÁö ¾Ê´Ù´Â ³»¿ëÀ» ´ã°í ÀÖ´Ù. º¸¾È Àü¹®¾÷üÀÎ ·¡Çǵå7(Rapid7)ÀÇ ÀÌ ´ë´ãÇÑ º¸°í¼­ ³»¿ëÀ» ÇϳªÇϳª »ìÆ캸¾Ò´Ù.

1. ÇÏ¸é ¹¹ÇØ, ¸ðµç ¸é¿¡¼­ »§Á¡Àε¥
ÀÌ Á¶»ç¿¡ µû¸£¸é ¸ðÀÇ ÇØÅ·¿¡ Âü¿©ÇÑ ±â¾÷ Áß 3ºÐÀÇ 2°¡ °ø°Ý ŽÁö¿¡ ½ÇÆÐÇß´Ù. ½ÉÁö¾î °ø°ÝÀÌ µé¾î¿Â »ç½ÇÀ» ¾Ë¾ÆäÁö ¸øÇÑ ±â¾÷µéÀÌ ±× Áß Àý¹ÝÀ̾ú´Ù. ÀÌ´Â ¸Å¿ì ¿ì·Á½º·¯¿î »óȲÀÌ ¾Æ´Ò ¼ö ¾ø´Ù. ¿Ö³ÄÇÏ¸é ¸ðÀÇ ÇØÅ·Àº ½ÇÁ¦ ÇØÅ· ¹üÁ˺¸´Ù ´Ü ½Ã°£ ³»¿¡ ´Ù·®À¸·Î ½ÃµµµÇ±â ¶§¹®¿¡ ½Ã²ô·´°í ´«¿¡ Àß ¶ç´Â °Ô ÀϹÝÀûÀ̱⠶§¹®ÀÌ´Ù.

·¡Çǵå7ÀÇ º¸¾È ¿¬±¸ ¸Å´ÏÀúÀΠÅäµå ºñ¾îµåÁñ¸®(Tod Beardsley)´Â ¡°¸ðÀÇ Å×½ºÆ®´Â 10ÀÏ µ¿¾È ÁøÇàµÇ°í ¿©±â¿¡ Âü¿©ÇÏ´Â Àü¹®°¡µéÀº ÀڽŵéÀÇ ´É·Â²¯ °ø°ÝÀ» ºü¸£°Ô ¼ö ÀÖ½À´Ï´Ù. Áï, ½Ä±¸µéÀÌ ¾ó¸¶³ª ¹Î°¨ÇÑÁö º¸±â À§ÇØ ³¸¼± »ç¶÷À» Áý¿¡ µé¿© ³õ°í, Á¦ÇÑ ½Ã°£ ³»¿¡ ¾Æ¹«°Å³ª ¿øÇÏ´Â ´ë·Î ºÎ¼ö¶ó°í ÇÏ´Â °Í°ú ¸¶Âù°¡ÁöÁÒ. ÇÏÁö¸¸ 3ºÐÀÇ 1À̳ª µÇ´Â ±â¾÷µéÀÌ ÀڽŵéÀÌ °ø°ÝÀ» ´çÇÏ°í ÀÖ´Ù´Â »ç½ÇÀ» ÀüÇô ŽÁöÇÏÁö ¸øÇß½À´Ï´Ù. ³¸¼± »ç¶÷ÀÌ Áý¿¡¼­ ³­¸®¸¦ Ä¡´Âµ¥, ½Ä±¸µéÀº °è¼Ó ÀáÀ» ÀÚ°í ÀÖ´Â °ÍÀÔ´Ï´Ù¡±¶ó°í ¼³¸íÇÑ´Ù.

Çö½Ç¿¡¼­ ÀϾ´Â °ø°Ýº¸´Ù ÈξÀ ¿ä¶õÇÏ°í ´«¿¡ Àß ¶ç´Â ¸ðÀÇ °ø°Ý¿¡µµ ¾Æ¹«·± ¹ÝÀÀÀ» ÇÏÁö ¾Ê´Â´Ù¸é, ½ÇÁ¦ °ø°ÝÀÌ ¹ß»ýÇßÀ» ¶§ ¾î¶»°Ú´Â°¡? ¡°ÀÌ·¯ÇÑ ¹®Á¦°¡ »ý±â´Â ÀÌÀ¯ Áß Çϳª´Â ±â¾÷µéÀÌ ÁÖ·Î À̺¥Æ® ·Î±×¸¦ ¸ÅÀÏ ÁÖ±âÀûÀ¸·Î »ìÆ캸Áö ¾Ê´Âµ¥´Ù°¡ »ìÇÊ ÁÙµµ ¸ð¸£±â ¶§¹®ÀÔ´Ï´Ù. ¶Ç ÀڽŵéÀÌ °¡Áø º¸¾È µµ±¸¸¦ Àß »ç¿ëÇÒ ÁÙ ¸ð¸£±âµµ ÇÏ°í¿ä. ÀÌ°Ç »ç¿ëÀÚ ÀÎÅÍÆäÀ̽ºÀÇ ½ÇÆжó°íµµ º¼ ¼ö ÀÖ½À´Ï´Ù.¡±

2. »õ·Î¿î ´ëüÀÚ, ¹ö±×¹Ù¿îƼ
À§¿¡¼­ ¾ð±ÞÇÑ ¹®Á¦´Â ¿©·¯ °¡Áö·Î Çؼ®µÉ ¼ö ÀÖ´Ù. 1) »ç¿ëÀÚµéÀÌ ¾ÆÁ÷ ¸ðÀÇ ½ÇÇèÀ» Ä¡·ê ¼öÁØ¿¡ À̸£Áö ¸øÇß´Ù´Â °Í°ú 2) ½ÇÇèÀÌ Çö½ÇÀ» ¹Ý¿µÇÏ°í ÀÖÁö ¾Ê´Ù´Â °ÍÀÌ´Ù. ÀÌ·± Æ´»õ·Î ÃÖ±Ù ¹ö±×¹Ù¿îƼ±× ±ÞºÎ»óÇÏ°í ÀÖ´Ù. ½ÉÁö¾î ¹ö±×¹Ù¿îƼ¿Í ¿¬°èµÈ ħÅõ Å×½ºÆ®°¡ ´õ °¢±¤¹Þ°í Àֱ⵵ ÇÏ´Ù.

¹ö±×¹Ù¿îƼ ȸ»çÀÎ ÇØÄ¿ ¿ø(HackerOne)ÀÇ °øµ¿¼³¸³ÀÚ ¾Ë·º½º ¶óÀ̽º(Alex Rice)´Â ¹ö±×¹Ù¿îƼ¸¦ ½Ç½ÃÇÏ°í ÀÖ´Â »ó´ç¼öÀÇ ±â¾÷µéÀÌ ¹ö±×¹Ù¿îƼ ÇÁ·Î±×·¥À¸·Î ¹ß°ßÇÑ Ãë¾àÁ¡À» ÁýÁßÀûÀ¸·Î ºÐ¼®Çϱâ À§ÇØ Ä§Åõ Å×½ºÆ®¸¦ ½Ç½ÃÇÏ´Â Ãß¼¼¶ó°í ¼³¸íÇÑ´Ù. ¡°¸ðÀÇ ÇØÅ· Àü¹®°¡µéµµ ÀÌ°Í Àú°Í Ãë¾àÁ¡µé °¹¼ö¸¸ ´Ã¿©³õ´Â °Íº¸´Ù ¼Ò¼öÀÇ ¹®Á¦¸¦ ±íÀÌ ÆÄ°íµå´Â °É ÁÁ¾ÆÇÕ´Ï´Ù. ±×·± ÆíÀÌ Àü¹®¼º È°¿ë ¸é¿¡¼­ ´õ Àǹ̰¡ Àֱ⵵ ÇÏ°í¿ä.¡±

·¡Çǵå7ÀÇ ¸ðÀÇ ÇØÅ· Àü¹®°¡µé¿¡ µû¸£¸é ±â¾÷ ³»ºÎ Ãë¾àÁ¡À» ã´Â °ÍÀº ±×¸® ¾î·ÆÁö ¾Ê´Ù°í ÇÑ´Ù. ³î¶ø°Ôµµ Å×½ºÆ® ÁøÇà½Ã Ŭ¶óÀ̾ðÆ®ÀÇ ½Ã½ºÅÛ¿¡¼­ Ãë¾àÁ¡À» ãÀ» ¼ö ÀÖ´Â È®·üÀº 3ºÐÀÇ 2³ª µÇ´Â °ÍÀ¸·Î ¹àÇôÁ³´Ù. ±×¸®°í ÀÌ Áß 67%´Â À߸ø ¼³Á¤µÈ Ŭ¶óÀ̾ðÆ®ÀÇ ½Ã½ºÅÛ È¯°æÀ¸·Î ÀÎÇØ ³ªÅ¸³­ Ãë¾àÁ¡À̾ú´Ù. Áï, Ãë¾àÁ¡ ã±â ÀÚü´Â ÀüÇô ¾î·Á¿î ÀÏÀÌ ¾Æ´Ï¶ó´Â °ÍÀÌ´Ù. ¹®Á¦´Â ¡®Àǹ̰¡ Àִ¡¯ Ãë¾àÁ¡À» ¹ß°ßÇÏ´Â °ÍÀ̶ó°í ¾Ë·º½º´Â ¼³¸íÇÑ´Ù.

3. ¾îÂ÷ÇÇ ¹ß°ßµÇ´Â Ãë¾àÁ¡µéÀº Áߺ¹µÈ´Ù
¿¬±¸¿øµéÀÌ ¹ß°ßÇÑ ¹ö±×µéÀº ±âÁ¸¿¡µµ ¹ß°ßµÇ´ø °ÍÀ¸·Î ÇÒ´çµÈ ±âº» IP ÁÖ¼Ò¸¦ È°¿ëÇØ ÀÌ¿ëÀÚÀÇ ºê¶ó¿ìÀú¸¦ ÅëÇØ °øÀ¯±â¿¡ Á¢¼ÓÇÏ·Á ÇÏ´Â Å©·Î½º»çÀÌÆ® ¸®Äù½ºÆ® Æ÷Àú¸®(Cross-Site Request Forgery, CSRF)°¡ 22.7%, SMB ¸±·¹ÀÌ °ø°Ý(Server Message Block Relay Attack : ÀÚ½ÅÀÌ ÀÎÁõÇÏ°í ½ÍÀº ¸ñÇ¥¹°ÀÇ ¼­¹ö¸¦ ÀẹÇÏ¿© »ó´ë¹æÀÌ ³×Æ®¿öÅ©¿¡¼­ ÀÚ½ÅÀÇ ±â±â¿¡ ÀÎÁõÀ» ÇÒ ¶§ ±îÁö ±â´Ù·È´Ù°¡ ÀÎÁõÇÒ ¶§ ÇØ´ç ³»¿ëÀ» °¡·Îä´Â °ø°Ý)ÀÌ 20.3%, À¥»çÀÌÆ® °ü¸®ÀÚ°¡ ¾Æ´Ñ ÀÌ°¡ À¥ ÆäÀÌÁö¿¡ ¾Ç¼º ½ºÅ©¸³Æ®¸¦ »ðÀÔÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÎ Å©·Î½º »çÀÌÆ® ½ºÅ©¸³Æ®(Cross-Site Scripting, XSS)´Â 18.8%, Broadcast Name ResolutionÀÌ 14.8%À̸ç ÀÌ¿Ü¿¡µµ SQL ÁÖÀÔ°ø°Ý(Structured Query Language Injection Attack), µðµµ½º °ø°Ý µîÀÌ ÀÖ¾ú´Ù.

¶ÇÇÑ, ·¡Çǵå7ÀÇ ¸ðÀÇ ÇØÅ· ÆÀÀº ÇÑ ÀÇ·á ±â¾÷¿¡¼­ ÁøÇàÇß´ø Å×½ºÆ®¸¦ ÅëÇØ ÀüÇô »ó°üÀÌ ¾ø´Â °ÍÀ¸·Î º¸ÀÌ´Â À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ÅëÇؼ­µµ Ŭ¶óÀ̾ðÆ® ³»ºÎ¿Í ¹é ¿£µå ½Ã½ºÅÛÀ» °ø°ÝÇÒ ¼ö ÀÖ¾ú´Ù°í ÇÑ´Ù. À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ Á¸ÀçÇÏ´Â CSRFÀÇ Ãë¾àÁ¡À» ÅëÇؼ­ ¼­¹ö¿¡ °èÁ¤À» ¸¸µå´Â ½ÄÀ¸·Î °ø°ÝÀ» ½ÃÀÛÇÒ ¼ö ÀÖÀ¸¸ç ±× µÚ XSSÀÇ Ãë¾àÁ¡À» »ç¿ëÇÏ¿© °ü¸®ÀÚÀÇ ¼¼¼ÇÅäÅ«À» ÈÉÄ¥ ¼ö ÀÖ¾ú´Ù°í. ¡°À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ Á¸ÀçÇÏ´Â ÀÎÁõ°ü·Ã Ãë¾àÁ¡À» ã°í À̸¦ ÅëÇؼ­ À¥ ¼­¹öÀÇ ¿î¿µÃ¼Á¦¿¡ Á¢±Ù ÇÒ ¼ö ÀÖ¾ú´ø °ÍÀÔ´Ï´Ù. ±Ã±ØÀûÀ¸·Î ¼­¹ö¿Í ³»ºÎ ³×Æ®¿öÅ©¿¡ ¿ø°ÝÀ¸·Î ħÀÔÇÒ ¼ö ÀÖ´Â Á¢±Ù ±ÇÇÑÀ» ¾òÀ» ¼ö ÀÖ°Ô µÈ °ÍÀÌÁÒ.¡±

ºñ¾îÁñ¸®´Â CSRF¿Í ´Ù¸¥ Ãë¾àÁ¡À» ¾Ç¿ëÇÏ¿© ³»ºÎ ³×Æ®¿öÅ©¿¡ Á¢±Ù ÇÒ ¼ö ÀÖ´Ù´Â »ç½Ç¿¡ ³î¶ú´Ù°í ¸»Çϸç ÀÌ·¸°Ô »ó´çÇÑ ¾çÀÇ Ãë¾àÁ¡À» ¸ðÀÇ ÇØÅ·Å×½ºÆ®¸¦ ÅëÇØ Ã£À» ¼ö ÀÖ´Ù´Â °Íµµ ÀÇ¿Ü¿´´Ù°í µ¡ºÙ¿´´Ù. ¡°ÇÑ °¡Áö ¹®Á¦¸¦ ±í°Ô ÆÄ°íµé¾î ÀÇ¹Ì ÀÖ´Â ¾àÁ¡À¸·Î ¸¸µå´Â °ÍÀÌ Àü¹®°¡µéÀÌ ÇØ¾ß ÇÒ ÀÏÀÔ´Ï´Ù. ±×Àú CSRF Ãë¾àÁ¡ÀÌ ÀÖ°í, XSS Ãë¾àÁ¡ÀÌ Á¸ÀçÇÏ´Ï °íÄ¡½Ê½Ã¿À, ¶ó°í ¸»ÇØÁÖ´Â °Ç Àü¹®°¡ÀÇ Ã¥ÀÓÀÌ ¾Æ´ÏÁÒ.¡±
[±¹Á¦ºÎ È«³ª°æ ±âÀÚ(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)