키워드 : 웹 취약점 점검 서비스, ISMS, 웹방화벽
웹 공격의 심각성을 고려할 때 웹 서비스의 취약점 개선에 대한 접근을 어떻게 해야 할까요?
전체 공격의 80%는 웹 공격에서 시작됩니다.
[1]랜섬웨어 공격의 70%도 웹을 경유하고 있습니다.[2]
웹 서비스 취약점 대응을 위하여 ISMS 에서는 1년에 1회 이상 웹 취약점 점검 서비스를 받도록 하고 있습니다.
또한 시큐어 코딩에 대한 제안도 하고 있고 실제 개발 시에도 이런 요구 사항은 반드시 포함되어 있습니다.
현실적으로 효과는 어떨까요?
웹 서비스에서 이커머스, 이러닝과 같이 일반 사용자 대상 서비스를 제공한다면 대단히 복잡한 웹 시스템으로 발전하게 됩니다.
1) 회원 가입 인증 시스템
2) 계정 탈취 공격에 대응하기 위하여 2차 보안인증 시스템
3) 세션 탈취, 위변조에 대응하기 위한 인증 메카니즘
4) 고객 정보를 암호화하기 위한 강력하고 안전한 암호 알고리즘과 프로토콜 구현
5) 데이터 관리를 위한 관리자 시스템 접근과 관리
6) 사내에서 퍼블릭 클라우드 또는 외부 IDC 에 접속하기 위한 안전한 호스트 및 네트워크 관리
7) 운영 시스템의 버전과 패치 관리, 어플리케이션의 버전과 패치 관리
몇 개 나열을 하였지만, 훨씬 더 많은 고민을 해야 합니다. [3]
이제 문제는 웹 개발자가 이런 문제를 모두 정확히 이해하지 못한다는 현실에 있습니다.
데이터를 저장하기 위한 암호 알고리즘 선택과 프로토콜의 개발은 어려운 문제입니다.
실제로 페이스북은 5억명의 개인정보를 저장할 때 암호화하지 않고 평문으로 저장하여 해킹 당한 사례가 있습니다. [4]
이와 같은 문제로 인하여 직접 개발하여 관리가 어려우므로, 워드프레스와 같은 오픈 소스를 사용하거나 클라우드 SaaS 서비스를 이용하는 것이 더 좋거나 또는 적합할 수 있습니다. [5]
웹 서비스는 오픈하고 나서도 지속적으로 관리를 해야 합니다.
고객 요구 사항 뿐 아니라 내부 요구 사항도 끊임없이 반영해야 하는 생물이기 때문입니다.
슬픈 현실이지만, 얼마나 많은 사이트에서 개발자가 info.php 파일을 운영 서버에 남길까요?
이와 같은 모든 문제에 우리가 대응할 수 있는 가장 현실적이고 실질적인 접근은 반드시 웹방화벽 사용과 웹 서비스의 본문을 포함한 액세스 로그 분석입니다.
경험해 보셨나요? 웹 취약점 점검할 때 웹방화벽 우회할 수 있도록 모의해킹 담당자 PC의 IP주소 예외처리해 달라는 요청을요.
참고 사이트
[1] 보안뉴스 기사, 해킹 사고중 80% 차지하는 웹 보안의 중요성, https://www.boannews.com/media/view.asp?idx=55170[2] IT Daily 기사, 랜섬웨어 70% 인터넷 통해 유포, http://www.itdaily.kr/news/articleView.html?idxno=87512[3] CIO, 2018년 클라우드 보안 위협 12가지, https://www.ciokorea.com/news/36759[4] 한겨레 기사, 페이스북 또 이용자 개인정보 대량 유출, https://www.hani.co.kr/arti/economy/it/989501.html[5] 블로그, 워드프레스로 만든 사이트 필수 보안 TOP 10, http://blog.plura.io/?p=18623