¾ÈÀüÇÑ ¸ð¹ÙÀÏ ¾îÇø®ÄÉÀÌ¼Ç ±¸ÃàÇÏ°í À¯Áö¡¤°ü¸®ÇÏ´Â µ¥ ÇÊ¿äÇÑ ¸®¼Ò½º Á¦°ø
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] 4³â¸¶´Ù ÇÑ ¹ø¾¿ Ãë¾àÁ¡ Top10À» ¹ßÇ¥ÇÏ´Â OWASP(The Open Web Application Security Project)Àº ¸ð¹ÙÀÏ ¾îÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡ ¿ª½Ã 2³â¿¡ ÇÑ ¹ø¾¿ °ø°³ÇÑ´Ù. 2016³â ÀÚ·á°¡ °¡Àå ÃÖ±ÙÀε¥, ºí·¢ ÆÈÄÜ(Black Falcon) ÆÀÀÌ ÀÌ ÀڷḦ ¹ø¿ªÇØ º»Áö¿¡ Á¦°øÇß´Ù.
OWASP ¸ð¹ÙÀÏ º¸¾È ÇÁ·ÎÁ§Æ®´Â °³¹ßÀÚ¿Í º¸¾ÈÆÀ¿¡°Ô ¾ÈÀüÇÑ ¸ð¹ÙÀÏ ¾îÇø®ÄÉÀ̼ÇÀ» ±¸ÃàÇÏ°í À¯Áö¡¤°ü¸®ÇÏ´Â µ¥ ÇÊ¿äÇÑ ¸®¼Ò½º¸¦ Á¦°øÇϱâ À§ÇÑ ÀÚ·á´Ù. ÀÌ ÇÁ·ÎÁ§Æ®¸¦ ÅëÇØ OWASP´Â ¸ð¹ÙÀÏ º¸¾È À§ÇèÀ» ºÐ·ùÇÔÀ¸·Î½á ¾ÕÀ¸·Î ÀϾ ¼ö ÀÖ´Â ¾Ç¿ë °¡´É¼º°ú ¿µÇâµµ¸¦ ÁÙÀ̱â À§ÇØ ÁøÇàµÈ´Ù.
OWASP´Â À̹ø º¸°í¼¸¦ ÀÛ¼ºÇϱâ À§ÇØ ¾à 1³â ÀüºÎÅÍ ¼³¹®Á¶»ç¿Í °ü·Ã±â°ü ȤÀº ±â¾÷¿¡¼ÀÇ Çǵå¹éÀ» ¹Þ¾Æ Á¶ÇÕÇß´Ù. Çǵå¹éÀ» ¹ÙÅÁÀ¸·Î µ¥ÀÌÅÍ ¼öÁý°ú À¯»çÇÑ ¹æ½ÄÀ¸·Î µ¥ÀÌÅ͸¦ ³í¸®ÀûÀÌ°í ÀÏ°üµÈ ¹æ½ÄÀ¸·Î ±×·ìÈÇÑ ´ÙÀ½, ¸ð¹ÙÀÏ Å¾10À» ¼±Á¤Çß´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M1 – ÀûÀýÇÏÁö ¾ÊÀº Ç÷§Æû »ç¿ë
ÀÌ Ç׸ñÀº Ç÷§ÆûÀÇ º¸¾È¿¡ ´ëÇÑ °³¹ßÁöħÀ» À§¹ÝÇ߰ųª ±âÁ¸ °ü½À »ç·Ê¸¦ µû¸£Áö ¾Ê¾ÒÀ» °æ¿ì ȤÀº ÀǵµÇÏÁö ¾Ê¾ÒÁö¸¸ ÀÛ¾÷ Áß ½Ç¼ö¸¦ ÇßÀ» °æ¿ì »ý±â´Â Ãë¾àÁ¡À» ´Ù·é´Ù. ¹®Á¦´Â ÀÌ·¯ÇÑ °æ¿ì °ø°Ý°¡´É¼º°ú ±×¿¡ µû¸¥ ¿µÇâµµ°¡ ½É°¢ÇÏ´Ù´Â Á¡ÀÌ´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M2 – Ãë¾àÇÑ µ¥ÀÌÅÍ ÀúÀå¼Ò
ÀÌ »õ·Î¿î Ç׸ñÀº Mobile Top 10 2014ÀÇ M2(Ãë¾àÇÑ µ¥ÀÌÅÍ ÀúÀå¼Ò)¿Í M4(ÀǵµÇÏÁö ¾ÊÀº µ¥ÀÌÅÍ ³ëÃâ)¸¦ ÅëÇÕÇÑ °ÍÀ¸·Î, ¾ÈÀüÇÏÁö ¾ÊÀº µ¥ÀÌÅÍ ÀúÀå ¹× ÀǵµÇÏÁö ¾ÊÀº µ¥ÀÌÅÍ À¯Ãâ¿¡ ´ëÇØ ´Ù·ç°í ÀÖ´Ù. OWASP´Â º¸¾È´ëÃ¥À¸·Î ¸ð¹ÙÀÏ ¾Û, OS, Ç÷§Æû°ú ÇÁ·¹ÀÓ¿öÅ©ÀÇ À§Çù¸ðµ¨ÀÌ Á¤º¸ÀÚ»êÀ» ó¸®ÇÏ°í, API°¡ ÀÌ·± ÀÚ»êÀ» ´Ù·ç´Â ¹æ¹ýÀ» ÀÌÇØÇØ¾ß ÇÑ´Ù°í Á¶¾ðÇß´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M3 – Ãë¾àÇÑ Åë½Å
ÀÌ Ç׸ñÀº µ¥ÀÌÅ͸¦ A¿¡¼ B·Î À̵¿ÇÏ´Â Ãø¸éÀ» ¸ðµÎ ´Ù·ç¸ç, ¿©±â¿¡´Â ¸ð¹ÙÀÏ¿¡¼ ¸ð¹ÙÀÏ·ÎÀÇ Åë½Å, ¾Û °£ Åë½Å ¶Ç´Â ¸ð¹ÙÀÏ¿¡¼ ´Ù¸¥ ÂÊÀ¸·ÎÀÇ Åë½ÅÀÌ ¸ðµÎ Æ÷ÇԵȴÙ. ¿©±â¿¡¼´Â ¾ÇÀÇÀûÀÎ ÇÚµå ¼ÎÀÌÅ·, À߸øµÈ SS L¹öÀü, ¾àÇÑ Çù»ó, ¹Î°¨Á¤º¸ÀÇ Æò¹®Åë½Å µîÀ» °ËÅäÇÑ´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M4 – Ãë¾àÇÑ ÀÎÁõ
¿©±â¼´Â ÃÖÁ¾ »ç¿ëÀÚ ÀÎÁõ ¶Ç´Â À߸øµÈ ¼¼¼Ç °ü¸®¿¡ ´ëÇØ À̾߱âÇÏ°í ÀÖ´Ù. ÁÖ·Î ¡â»ç¿ëÀÚ ½Äº°À» ¸øÇÏ´Â °æ¿ì ¡â»ç¿ëÀÚ ½Å¿øÀÌ À¯ÁöµÇÁö ¾Ê´Â °æ¿ì ¡â¼¼¼Ç °ü¸® Ãë¾àÁ¡ µîÀ» ´Ù·ç¸ç, °ø°ÝÀÌ ½±±â ¶§¹®¿¡ ±×¸¸Å ¿µÇâµµµµ ³ôÀº °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M5 – Ãë¾àÇÑ ¾ÏÈ£È
Áß¿äÇÑ Á¤º¸ ÀÚ»êÀ» ¾ÏÈ£ÈÇÏ´Â °ÍÀº ´ç¿¬ÇÏ´Ù. ÇÏÁö¸¸ ¾î¶² Ãø¸é¿¡¼´Â ÃæºÐÇÏÁö ¾ÊÀº °Íµµ »ç½ÇÀÌ´Ù. M3(Ãë¾àÇÑ Åë½Å)¿¡¼ TLS ¶Ç´Â SSL°ú °ü·ÃµÈ »çÇ×µéÀÌ ÀÖ´Ù. ¶ÇÇÑ, ¾ÛÀÌ ¾Ïȣȸ¦ »ç¿ëÇؾßÇÒ ¶§ ÇÏÁö ¾Ê¾Ò´Ù¸é, M2(Ãë¾àÇÑ µ¥ÀÌÅÍ »ç¿ë)¿¡ ¼ÓÇÑ´Ù. ¸ð¹ÙÀÏ ¾ÛÀº ±Ùº»ÀûÀ¸·Î °áÇÔÀÌ ÀÖ´Â ¾Ïȣȡ¤º¹È£È ÇÁ·Î¼¼½º¸¦ »ç¿ëÇÒ ¼ö ÀÖÀ¸¸ç, ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ º¹È£ÈÇϱâ À§ÇØ °ø°ÝÀÚ°¡ ¾Ç¿ëÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ, ¸ð¹ÙÀÏ ¾ÛÀº º»ÁúÀûÀ¸·Î Ãë¾àÇÏ°í °ø°ÝÀÚ¿¡ ÀÇÇØ Á÷Á¢ º¹È£È µÉ ¼ö ÀÖ´Â ¾Ïȣȡ¤º¹È£È ¾Ë°í¸®ÁòÀ» ±¸ÇöÇϰųª È°¿ëÇÒ ¼ö ÀÖ´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M6 – Ãë¾àÇÑ ±ÇÇÑ ºÎ¿©
ÀÌ Ç׸ñÀº À߸øµÈ ±ÇÇÑ(Authorization) ºÎ¿©(Ŭ¶óÀ̾ðÆ® ÃøÀÇ ±ÇÇÑ ºÎ¿©, °Á¦ °Ë»ö µî)¸¦ ´Ù·é´Ù. ÀÌ´Â ÀÎÁõ(Authentication) ¹®Á¦(±â±â µî·Ï, »ç¿ëÀÚ ½Äº° µî)¿Í ´Ù¸£´Ù. »ç¿ëÀÚ ÀÎÁõÀ» ÇÏÁö ¾ÊÀº »óȲ(ÀÎÁõµÈ ÈÄ, ±ÇÇÑÀÌ ºÎ¿© µÇ¾î Á¢±ÙÀÌ ÇÊ¿äÇÒ ¶§ ÀϺΠ¸®¼Ò½º ¶Ç´Â ¼ºñ½º¿¡ À͸í Á¢±Ù Çã¿ë)À̶ó¸é, ±ÇÇÑ ºÎ¿©°¡ À߸øµÈ °ÍÀÌ ¾Æ´Ï¶ó ÀÎÁõÀÌ À߸øµÈ °ÍÀÌ´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M7 – Ãë¾àÇÑ ÄÚµå Ç°Áú
ÀÌ°ÍÀº ¸ð¹ÙÀÏ Å¬¶óÀ̾ðÆ®ÀÇ ÄÚµå ¼öÁØ ±¸Çö ¹®Á¦¿¡ ´ëÇÑ Æ÷°ýÀûÀÎ ¹®Á¦¸¦ ¸»ÇÑ´Ù. ÀÌ´Â ¼¹ö Ãø ÄÚµù ½Ç¼ö¿Í ±¸º°µÈ´Ù. ¹öÆÛ ¿À¹öÇ÷οì, Çü½Ä ¹®ÀÚ¿ Ãë¾à¼º ¹× ¸ð¹ÙÀÏ ÀåÄ¡¿¡¼ ½ÇÇàÁßÀÎ ÀϺΠÄڵ带 ´Ù½Ã ÀÛ¼ºÇÏ´Â ´Ù¾çÇÑ ÄÚµå ¼öÁØÀÇ ½Ç¼ö¿Í °°Àº Ãë¾àÁ¡ À§ÇèÀ» ÆľÇÇÑ´Ù. ÀÌ´Â ÀϹÝÀûÀ¸·Î ÇÁ·Î±×·¡¹Ö ¾ð¾î ÀÚü(Java, Swift, Objective C, JavaScript)¸¦ ÂüÁ¶Çϱ⠶§¹®¿¡ ºÎÀûÀýÇÑ Ç÷§Æû »ç¿ë°ú´Â ´Ù¸£´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M8 – ÄÚµå º¯Á¶
ÀÌ ¹üÁÖ¿¡´Â ¹ÙÀ̳ʸ® ÆÐÄ¡, ·ÎÄà ¸®¼Ò½º ¼öÁ¤, ¸Þ¼µå ÈÄÅ·, ¸Þ¼µå º¯°æ ¹× µ¿Àû ¸Þ¸ð¸® ¼öÁ¤ÀÌ Æ÷ÇԵȴÙ. ¾îÇø®ÄÉÀ̼ÇÀ» ¸ð¹ÙÀÏ ÀåÄ¡¿¡ ¼³Ä¡Çϸé, ÄÚµå ¹× µ¥ÀÌÅÍ ¸®¼Ò½º°¡ ÇØ´ç ¸ð¹ÙÀÏ ÀåÄ¡¿¡ Á¸ÀçÇÑ´Ù. °ø°ÝÀÚ´Â Äڵ带 Á÷Á¢ ¼öÁ¤Çϰųª ¸Þ¸ð¸® ³»¿ëÀ» µ¿ÀûÀ¸·Î º¯°æÇϰųª ¾îÇø®ÄÉÀ̼ÇÀÌ »ç¿ëÇÏ´Â ½Ã½ºÅÛ API¸¦ º¯°æ ¹× ´ëüÇϰųª ¾îÇø®ÄÉÀ̼ÇÀÇ µ¥ÀÌÅÍ¿Í ÀÚ¿øÀ» ¼öÁ¤ÇÒ ¼ö ÀÖ´Ù. ÀÌ°ÍÀº °ø°ÝÀÚ¿¡°Ô ¼ÒÇÁÆ®¿þ¾îÀÇ ÀǵµµÈ »ç¿ëÀ» °³ÀÎÀû ¶Ç´Â ±ÝÀüÀû À̵æÀ» À§ÇØ Æı«ÇÏ´Â Á÷Á¢ÀûÀÎ ¹æ¹ýÀ» Á¦°øÇÒ ¼ö ÀÖ´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M9 – ¸®¹ö½º ¿£Áö´Ï¾î¸µ
ÀÌ Ç׸ñ¿¡´Â ¼Ò½º ÄÚµå, ¶óÀ̺귯¸®, ¾Ë°í¸®Áò ¹× ±âŸ ÀÚ»êÀ» °áÁ¤Çϱâ À§ÇÑ ÃÖÁ¾ ÄÚ¾î ¹ÙÀ̳ʸ® ºÐ¼®ÀÌ Æ÷ÇԵȴÙ. IDA Pro, Hopper, o¡¯toole ¹× ±âŸ ¹ÙÀ̳ʸ® °Ë»ç µµ±¸¿Í °°Àº ¼ÒÇÁÆ®¿þ¾î´Â °ø°ÝÀÚ°¡ ¾îÇø®ÄÉÀ̼ÇÀÇ ³»ºÎ µ¿ÀÛÀ» ÆľÇÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù. ÀÌ´Â ¹é¿£µå ¼¹ö, ¾ÏÈ£È »ó¼ö ¹× ¾ÏÈ£ ¹× ÁöÀû Àç»ê¿¡ ´ëÇÑ Á¤º¸¸¦ °ø°³ÇÏ´Â °Í ¿Ü¿¡µµ ¾îÇø®ÄÉÀ̼ÇÀÇ Ãʱâ Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â µ¥ »ç¿ëµÉ ¼ö ÀÖ´Ù.
[ÀÚ·á=ºí·¢ ÆÈÄÜ(Black Falcon)]
M10 – ºÒÇÊ¿äÇÑ ±â´É
Á¾Á¾ °³¹ßÀÚ´Â ¼û°ÜÁø ¹éµµ¾î ±â´É ¶Ç´Â ÇÁ·Î´ö¼Ç ȯ°æÀ¸·Î ¹èÆ÷ÇÏÁö ¾ÊÀ» ¿¹Á¤ÀÎ ±âŸ ³»ºÎ °³¹ßº¸¾È ÄÁÆ®·ÑÀ» ¸¸µé±âµµ ÇÑ´Ù. ¿¹¸¦ µé¾î, °³¹ßÀÚ°¡ ½Ç¼ö·Î ÇÏÀ̺긮µå ¾Û¿¡ ´ñ±Û·Î ºñ¹Ð¹øÈ£¸¦ Æ÷ÇÔ½Ãų ¼öµµ ÀÖ´Ù. ¶ÇÇÑ, Å×½ºÆ® Áß 2Áß ÀÎÁõÀ» »ç¿ëÇÏÁö ¸øÇϵµ·Ï ÇÑ´Ù. ½±°Ô ¸»ÇÏ¸é ¾Û¿¡ °ø°³ÇÏÁö ¾ÊÀ» ±â´ÉÀ» »èÁ¦ÇÏÁö ¾Ê°í ±×´ë·Î µÎ´Â °ÍÀ» ¸»ÇÑ´Ù.
OWASP Mobile Top 10 2016 ¿ø¹®Àº owasp.org¿¡, ±×¸®°í Çѱ¹¾îÆÇÀº ºí·¢ ÆÈÄÜ ºí·Î±×¿¡¼ ´Ù¿î¹ÞÀ» ¼ö ÀÖ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>