Home > Àüü±â»ç

4³â ¸¸¿¡ Ãë¾àÁ¡ ¸ñ·Ï ¹ßÇ¥ÇÑ OWASP, ¹¹°¡ ¹Ù²î¾ú³ª?

ÀÔ·Â : 2017-04-12 16:00
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
°¡Àå Å« º¯È­´Â APIÀÇ Ãß°¡...°³¹ß ȯ°æ Æ®·»µå º¯È­ Àß ÆľÇÇÑ µí
¡°Ãß°¡ Åø µµÀÔÇÏ¶ó¡± Ã˱¸Çϱ⵵...¹æ¾îÀÇ ¹æ½Ä ¹Ù²î¾î¾ß ÇÑ´Ù´Â ¼±¾ð


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] 4³â µ¿¾È ħ¹¬Çß´ø OWASPÀÌ À̹ø ÁÖ ¡®OWASP ¼±Á¤ ÃÖ°íÀÇ Ãë¾àÁ¡ 10¡¯(ÀÌÇÏ OWASP Top 10)À» ¹ßÇ¥Çß´Ù. ±×·±µ¥ ÀÌ ¸ñ·ÏÀÌ ½É»óÄ¡ ¾Ê´Ù°í Àü¹®°¡µéÀº ±â»Ú°Ô ¸»ÇÏ°í ÀÖ´Ù. »õ·Ó°Ô ¾ÖÇø®ÄÉÀÌ¼Ç ÇÁ·Î±×·¡¹Ö ÀÎÅÍÆäÀ̽º, Áï APIµéÀÌ Ãß°¡µÇ¾ú±â ¶§¹®ÀÌ´Ù. ÀÌ´Â À§ÇùÀÇ ÁöÇüµµ ÀÚü°¡ Å©°Ô º¯Çß´Ù´Â °É ÀǹÌÇϸç, OWASPÀÌ À̸¦ Àß ³ªÅ¸³» ÁØ °ÍÀ̶ó°í °ü°èÀÚµéÀº ºÐ¼®ÇÏ°í ÀÖ´Ù.

¡ã ¸Þ¸® ¿À¿Í½À¸¶½º!


¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¼¼°è¿¡¼­ ±²ÀåÇÑ ¿µÇâ·ÂÀ» °¡Áö°í ÀÖ´Â OWASP Top 10Àº ¿ø·¡ °³¹ßÀÚµéÀ» µ½±â À§ÇØ ¸¸µé¾îÁø °ÍÀÌ´Ù. ¶ÇÇÑ º¸¾È ÆÀÀÌ Ãë¾àÁ¡ Á¡°ËÀ» ÇÒ ¶§ ¾î´À Á¤µµ Ç¥ÁØÀûÀÎ ±âÁØÀÌ µÇ¾î Áֱ⵵ ÇÑ´Ù. ÀÌ Ç¥¸¦ ¹ÙÅÁÀ¸·Î ´Ù¾çÇÑ Á¦Ç° Æò°¡ ¾Ë°í¸®ÁòÀÌ Åº»ýÇϱ⵵ ÇÑ´Ù.

º¸¾È ¾÷üÀÎ ÄÜÆ®¶ó½ºÆ®½ÃÅ¥¸®Æ¼(Contrast Security)ÀÇ CTOÀÎ Á¦ÇÁ Àª¸®¾öÁî(Jeff Williams)´Â À̹ø¿¡ ¹ßÇ¥µÈ ¸ñ·ÏÀ» º¸°í ¡°OWASP Top 10ÀÌ Çö´ëÀÇ °í¼ÓÈ­µÈ ¼ÒÇÁÆ®¿þ¾î °³¹ß ȯ°æÀ» Ãæ½ÇÈ÷ ¹Ý¿µÇÑ °ÍÀ¸·Î º¸Àδ١±¸ç ¡°ÀÌÀü ¹öÀü, Áï 2013³â Top 10¿¡¼­´Â º¼ ¼ö ¾ø¾ú´ø º¯È­¡±¶ó°í ¼³¸íÇÑ´Ù. ¡°Ãë¾àÁ¡ ÀÚü´Â °ãÄ¡´Â °Ô ¸¹½À´Ï´Ù. ÇÏÁö¸¸ APIµéÀÌ Ãß°¡µÇ¾ú°í, °ø°Ý¿¡ ´ëÇÑ ´ëó¹ýµéÀÌ ´õÇØÁ® Á¶Á÷µéÀÌ ÁÖ¿ä À̽´µéÀ» À§ÁÖ·Î º¸¾È ¹æÃ¥À» ¸¶·ÃÇÒ ¼ö ÀÖ°Ô µÇ¾ú½À´Ï´Ù.¡±

¶Ç ´Ù¸¥ º¸¾È ¾÷üÀÎ ÇÁ·¹º¸Æ¼(Prevoty)ÀÇ CTOÀÎ Äí³¯ ¾Æ³­µå(Kunal Anand) ¿ª½Ã ¡°API°¡ Ãß°¡µÈ °ÍÀÌ ÀÌ ¸ñ·Ï¿¡¼­ °¡Àå Áß¿äÇÑ Á¡¡±À̶ó°í ¤¾î³½´Ù. ¡°ÃÖ±Ù ±â¾÷µéÀº API¸¦ ±â¹ÝÀ¸·Î ÇÑ ¸¶ÀÌÅ©·Î¼­ºñ½º À§ÁÖÀÇ µ¥ºê¿É½º¿Í ¾ÖÀÚÀÏ È¯°æÀ» Àû±Ø µµÀÔÇÏ°í ÀÖÁÒ. ÇÑ ¸¶µð·Î °³¹ßÀÇ Ã¼Áú °³¼±ÀÌ ¼¼°èÀûÀ¸·Î ÀÌ·ç¾îÁö°í ÀÖ´Ù´Â °Çµ¥, ±×°ÍÀÇ ÇÙ½ÉÀÌ APIÀÔ´Ï´Ù.¡±

Äí³¯ ¾Æ³­µå¿¡ µû¸£¸é ±ÝÀ¶, µµ¼Ò¸Å µîÀ» Æ÷ÇÔÇÑ ´Ù¾çÇÑ »ê¾÷¿¡¼­ ÇöÀç ¡®ÇØü¡¯°¡ ÀÌ·ç¾îÁö°í ÀÖ´Ù°í ÇÑ´Ù. ¡°´ëÇü ¾ÖÇø®ÄÉÀ̼ÇÀº °¡°í, ÀÛ°í Àçºü¸¥ ¼­ºñ½ºµéÀÌ ¿À°í ÀÖÁÒ. ±×·¸±â ¶§¹®¿¡ ÇÑ °³ÀÇ ÆäÀÌÁö¸¦ ¸¸µé¾î³»±â À§ÇØ ¾ÖÇø®ÄÉÀ̼ǵ鿡¼­ API ¿äûÀÌ ¼öµµ ¾øÀÌ ÀÌ·ç¾îÁö´Â ½ÄÀ¸·Î ±¸Á¶°¡ ¹Ù²î°í ÀÖ½À´Ï´Ù. ¾Æ´Ï, API ÀÚü·Î ÀÌ¹Ì ÇϳªÀÇ ¾ÖÇø®ÄÉÀ̼ÇÀ̳ª ´Ù¸§¾ø´Â ½Ã´ë°¡ µÇ¾ú¾î¿ä. ÀÌ¹Ì »çÀ̹ö °ø°ÝÀº API ÇÁ·¹ÀÓ¿öÅ©¸¦ ³ë¸®´Â Ç¥ÀûÇü °ø°ÝÀ¸·Î ÀüȯµÇ¾ú°í¿ä.¡±

È­ÀÌÆ®ÇÞ ½ÃÅ¥¸®Æ¼(WhiteHat Security)ÀÇ ºÎȸÀåÀÎ ¶óÀ̾ð ¿Ã¸®¾î¸®(Ryan O¡¯Leary)´Â ¡°¿À·£¸¸¿¡ ¹ßÇ¥µÈ OWASP Top 10ÀÇ º¯È­°¡, API º¸¾ÈÀÇ Á߿伺¿¡ ´ëÇÑ ÀνÄÀ» Å°¿öÁÙ °ÍÀ¸·Î º¸Àδ١±°í ±â´ë°¨À» ³ªÅ¸³Â´Ù. ¡°½Ã±âÀûÀýÇÑ º¯È­ÀÔ´Ï´Ù. ±×·¯¹Ç·Î ¸Å¿ì Áß¿äÇϱ⵵ ÇÏÁÒ. ¼¼»ó¿¡¼­ ½ÇÁ¦·Î ÀϾ°í ÀÖ´Â º¯È­°¡ ±×´ë·Î ¹Ý¿µµÈ, ³î¶ó¿î °á°ú¹°À̶ó°í º¸ÀÔ´Ï´Ù.¡±

±×·¸Áö¸¸ ¾Æ³­µå¿Í ¿Ã¸®¾î¸® ¸ðµÎ ¡°ÀÌ·± º¯È­°¡ °á°ú¹°·Î ¹Ý¿µµÇ±â±îÁö ³Ê¹« ¿À·£ ½Ã°£ÀÌ °É·È´Ù¡±´Â µ¥¿¡ µ¿ÀÇÇÑ´Ù. ¡°OWASP Top 10Àº ¸Å¿ì Áß¿äÇÑ ÀÚ·áÀÔ´Ï´Ù. OWASP Ãø¿¡¼­ ÀÌ ÀÚ·á¿¡ Á¶±Ý ´õ ½Å°æÀ» ½áÁáÀ¸¸é ÇØ¿ä. À̹ø ¸ñ·ÏÀÌ ¹ßÇ¥µÇ±â Àü¿¡ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È °ü°èÀÚµéÀº ÀüºÎ 2013³â °ÍÀ» »ç¿ëÇߴµ¥, ±×¶§¿Í Áö±ÝÀÇ °³¹ß ȯ°æÀº ´ë´ÜÈ÷ ´Þ¶ó¼­ È¿¿ë¼ºÀÌ ¶³¾îÁö´ø °Ô »ç½ÇÀ̾ú½À´Ï´Ù. ¾Æ½¬¿î Ãø¸éÀÌÁÒ.¡±

¾Æ³­µå´Â ÇöÀç ¹Ý¿µµÇ¾î¾ß ÇÒ Ãß¼¼°¡ API ¸»°íµµ ´õ ÀÖ´Ù°í ÁöÀûÇÑ´Ù. ¡°¼­¹ö°¡ ¾ø´Â, ¼­¹ö¸®½º ±â¼ú, ÄÁÅ×À̳ÊÈ­, ¸®¾×Æ®(React)¿Í °°Àº ¸ð¹ÙÀÏ °³¹ß ÇÁ·¹ÀÓ¿öÅ© µîÀÇ ¼Ó¼Ó µîÀåÇÏ°í ÀÖÀ¸¸ç, Áß¿äÇÑ °ÔÀÓ Ã¼ÀÎÀú(game changer)ÀÇ ¿ªÇÒÀ» ÇÏ°í ÀÖ½À´Ï´Ù. ÀÌ·± °Íµé ¿ª½Ã Á¶¸¸°£ ¹Ý¿µÀÌ µÇ¾î¾ß ÇÒ °Ì´Ï´Ù. ´ÙÀ½ OWASP Top 10¿¡¼­¶ó¸é, ¾Æ¸¶ ÇʼöÀûÀÎ ¿ä¼Ò°¡ µÇÁö ¾ÊÀ»±î ÇÏ°í »ý°¢ÇÕ´Ï´Ù. ´Ù¸¸ ±× ´ÙÀ½ OWASP Top 10ÀÌ ¾ðÁ¦ ³ª¿ÃÁö°¡ °ü°ÇÀÌÁÒ.¡±

ÇÏÁö¸¸ ¾ÖÇø®ÄÉÀÌ¼Ç ¼¼°èÀÇ ¹®Á¦¶ó´Â °Ô Áö³­ 14³â µ¿¾È ±×´ÙÁö ¿ªµ¿ÀûÀ¸·Î º¯È­ÇØ¿ÀÁö´Â ¾Ê¾Ò´Ù. OWASPÀÌ °ÔÀ¸¸£°Ô ÀÏÇÑ °Ç ¾Æ´Ï¶ó´Â ¶æ. ¡°±×¶§ ±×¶§ Ãë¾àÁ¡À» ´õÇϰųª »©°Å³ª ÇÏ´Â ÀÛ¾÷Àº Ç×»ó ÇØ¿Ô½À´Ï´Ù. ÇÏÁö¸¸ ±× º¯È­°¡ ¾öû³ª°Ô ±ØÀûÀÌÁö´Â ¾Ê¾Ò¾î¿ä. Áß¿äÇÑ °Ç ÀÌ ¸ñ·ÏÀÇ ¡®Àüü¡¯°¡ ¹«¾ùÀ» ¶æÇÏ°í Àִ°¡, ¾î¶² º¯È­¸¦ ¹Ý¿µÇÏ°í Àִ°¡, ¾î¶² Æ®·»µå°¡ º¸À̴°¡,¸¦ Àо ÁÙ ¾Ë¾Æ¾ß ÇÑ´Ù´Â °Ì´Ï´Ù. ¼¼ºÎÀûÀÎ Ãë¾àÁ¡µé ÇϳªÇϳª¿¡ ´ëÇؼ­´Â µ¿ÀÇÇÏÁö ¾ÊÀ» ¼ö ÀÖ¾î¿ä. ±×·¯³ª ±× Àüü°¡ ´«¿¡ º¸ÀÌÁö ¾Ê°Ô µå·¯³»´Â Á¤º¸°¡ ÀÖ´Ù´Â °ÅÁÒ.¡± ´ºÄÜÅؽºÆ®¼­ºñ½º(New Context Services)ÀÇ º¸¾È Ã¥ÀÓÀÚÀÎ º¥ ÅèÇìÀ̺ê(Ben Tomhave)ÀÇ ¼³¸íÀÌ´Ù.

¡°Ãë¾àÁ¡ ÇϳªÇϳªÀÇ Å« º¯È­°¡ ¾ø´Ù¸é, ¸Å³â ¸ñ·ÏÀ» ¹ßÇ¥ÇØ¾ß ÇÒ ÇÊ¿äµµ ¾ø¾î º¸ÀÔ´Ï´Ù. Áö±Ý±îÁö ³ª¿Â ¸ñ·ÏµéÀ» Âß ºñ±³ÇØ ºÁµµ Å« º¯È­´Â ¾ø¾î¿ÔÁÒ. º¯È­¶ó´Â °Ô ¿ì¸®°¡ µÎ·Á¿öÇÏ´Â °Í¸¸Å­ »¡¸® ÀϾ´Â °Ç ¾Æ´Ï¶ó´Â ¼Ò¸®ÀÔ´Ï´Ù. ¶ÇÇÑ, Ãë¾àÁ¡°ú °ü·ÃÇÏ¿©, ÇöÀç ¿ì¸®°¡ °¡Áö°í ÀÖ´Â ÇØ°á ¹æ½ÄÀ̳ª ±³À°¹ýÀÌ È¿°úÀûÀÌÁö ¾Ê´Ù´Â ¶æµµ µÇÁö¿ä. Áö³­ ¼ö³â °£ ÀÛ¼ºµÇ¾î ¿Â ÀÌ Top 10 ¸ñ·Ï¿¡ Å« º¯È­°¡ ¾ø´Ù´Â °Í¸¸À¸·Îµµ ÀÌ·± Áß¿äÇÑ °á·ÐµéÀ» ²ø¾î³¾ ¼ö ÀÖ½À´Ï´Ù. ±×·¸´Ù¸é ÀÌ·± ¡®Àб⡯¸¦ ÅëÇØ ´õ ³ªÀº °á°ú¸¦ ¸¸µå´Â °ÍÀÌ ¿ì¸® ¸òÀÌ°ÚÁÒ.¡±

¿Ã¸®¾î¸®´Â ÃÖ±Ù OWASP¿¡¼­µµ º¥ÀÇ ¸»°ú ¸Æ¶ôÀ» °°ÀÌÇÏ´Â ¹ßÇ¥°¡ ÀÖ¾ú´Ù¸ç, ¡°OWASP ¿ª½Ã ±â¾÷µéÀÌ WAF³ª RASP ±â¼úÀ» °®Ãâ ÇÊ¿ä°¡ ÀÖ´Ù°í Ã˱¸Çß´Ù¡±´Â »ç½ÇÀ» ¾ð±ÞÇß´Ù. ¡°WAF³ª RASP ±â¼úÀ» ÅëÇØ Å½ÁöÇÏ°í, ´ëÀÀÇÏ°í, ÆÐÄ¡ÇØ¾ß ÇÑ´Ù´Â °Ô OWASP ÃøÀÇ ¼³¸íÀÔ´Ï´Ù. OWASPÀº ¡®ÁÖ¿ä Ãë¾àÁ¡¿¡´Â ¾î¶² °Ô ÀÖÀ¸¸ç, ¾î¶»°Ô °íÃÄ¾ß ÇÏ´ÂÁö¡¯¸¦ ÁßÁ¡ÀûÀ¸·Î ´Ù·ï¿Ô´Âµ¥, WAF¿Í RASP ±â¼úÀ» °®Ã߶ó°í ¸»ÇÔÀ¸·Î½á ¡®¼­µåÆÄƼ ÅøÀ̳ª ¼­ºñ½º¸¦ ÀÌ¿ëÇØ¾ß ÇÒ ¶§°¡ µÆ´Ù¡¯°í ¼±¾ðÇÑ °ÍÀ̳ª ´Ù¸§¾ø°Åµç¿ä. ÇÑ ¸¶µð·Î ¡®ÀÌÁ¦ ¹æ½ÄÀ» ¹Ù²Ü ¶§°¡ µÇ¾ú´Ù¡¯°í ¹ßÇ¥ÇÑ °Ì´Ï´Ù.¡±

¿Ã¸®¾î¸®´Â OWASPÀÇ µîÀåÀ¸·Î ´çºÐ°£ API¿Í WAF, RASP µî¿¡ ´ëÇÑ À̾߱Ⱑ °è¼ÓÇؼ­ ³ª¿Ã °ÍÀ̶ó°í ¿¹»óÇÏ°í ÀÖ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)