웹 서비스의 취약점은 대응할 수 있을까?

PLURA

🌐웹 공격의 심각성을 고려할 때, 웹 서비스의 취약점 개선을 위한 접근 방법은 무엇일까요? 웹 서비스는 다양한 위협에 노출되어 있으며, 이에 대응하기 위한 체계적이고 실질적인 보안 전략이 필요합니다.

웹 취약점 대응

1. 웹 공격의 주요 통계와 중요성

  • 전체 공격의 80%는 웹 공격에서 시작됩니다.
  • 랜섬웨어 공격의 70%도 웹을 경유하고 있습니다.

웹 서비스 취약점 대응을 위해 ISMS에서는 1년에 최소 1회 이상 웹 취약점 점검 서비스를 받도록 권장하고 있습니다. 또한, 시큐어 코딩을 포함한 개발 요구사항도 필수적입니다. 하지만 현실적으로 효과는 어느 정도일까요?

2. 복잡한 웹 시스템과 취약점

이커머스나 이러닝과 같이 일반 사용자 대상 서비스를 제공하는 웹 시스템은 다음과 같은 복잡한 요구사항을 충족해야 합니다:

  1. 회원 가입 인증 시스템
  2. 계정 탈취 공격 대응을 위한 2차 인증 시스템
  3. 세션 탈취 및 위변조 방지를 위한 인증 메커니즘
  4. 강력한 암호 알고리즘 및 프로토콜 구현
  5. 관리자 시스템 접근 및 관리
  6. 퍼블릭 클라우드와 IDC 접속을 위한 안전한 네트워크 관리
  7. 운영 및 애플리케이션 버전 관리

이 모든 과정을 효과적으로 관리하지 않으면 심각한 보안 문제에 직면할 수 있습니다. 실제로, 페이스북은 5억 명의 개인정보를 평문으로 저장했다가 해킹당한 사례도 있었습니다.

3. 현실적 문제: 웹 개발자의 한계

웹 개발자가 보안 문제를 모두 정확히 이해하지 못하는 현실에서, 오픈 소스 사용이나 클라우드 SaaS 서비스 이용이 더욱 현실적인 대안일 수 있습니다.

웹 서비스는 개설 이후에도 지속적인 관리가 필요합니다. 고객과 내부 요구사항을 반영하며, 지속적인 개선과 보완 작업이 필수입니다.

  • 예: 운영 서버에 info.php 파일을 남기는 등, 기본적인 실수조차도 심각한 취약점으로 이어질 수 있습니다.

4. 현실적이고 실질적인 접근 방법

웹 취약점 점검과 관리를 위해 다음과 같은 전략이 효과적입니다:

1) 웹방화벽(WAF) 사용

웹방화벽은 웹 애플리케이션 공격을 실시간으로 차단하고, 보안 위협을 최소화합니다.

2) 웹 본문 및 액세스 로그 분석

웹 공격의 패턴과 동향을 파악하여, 사전 예방 조치를 강화합니다.

3) ISMS 기반 점검

ISMS에서 권장하는 취약점 점검과 시큐어 코딩 요구사항을 체계적으로 준수합니다.

  • 참고: 모의해킹 중 웹방화벽 우회를 위해 특정 IP를 예외 처리해야 한다는 요청도 발생할 수 있습니다.

🔗 참고 자료

Tags