상세 컨텐츠

본문 제목

정보보안 OWASP : Open Web Application Security Project

Technology/Tech Insight

by zxxne 2022. 12. 16. 15:38

본문

종합적으로 웹 애플리케이션 중 수많은 취약점 중에서 빈도 순으로 발표 된 문서를 요약해보겠습니다. 가장 최근 2021년 기준으로 살펴보면 먼저 1. Broken Access Control(취약한 접근제어) 입니다. 사용자 접근제어가 제대로 인증되지 않을 경우에 발생되는데, 이 틈을 노려 사이버 공격자가 사용자 데이터에 접근해 접근 권한을 수정하는 등 위험하다. 그래서 공용 리소스를 제외하고 기본적으로 제한 해두는게 중요하다고 한다. 2. Cryptographic Failures(암호화 오류)이다. 민감 데이터를 불필요하게 저장하지 않고 저장된 모든 것은 안전하게 암호화 해야하며, 암호화 키 및 프로토콜이 설정되어있는 것이 중요하다고 한다. 최근에 XOAR 웹사이트에서 BackEnd에서만 비밀번호 관련 로직을 만들었던 적이 있는데, 노출 위험 때문에 프론트와 백엔드 둘 다 비교하거나 프론트단에서 암호화 하시라고 하는게 생각이 났다. 3. Injection(인젝션) 이 오류는 신뢰할 수 없는 데이터가 전달될 때 나타난다고 한다. 이를 방지하기 위해 서비스 입력 창에 특수문자 입력 차단 SQL 서버 에러메시지 표시 금지, 일반 사용자 권한으로 시스템 저장 프로시저 접근을 차단하는 등의 방안이 있다고 한다. 우리 시스템에도 권한설정이 있는데 이게 참 중요한 걸 다시 느낀다.

4. Insecure Design(불완전한 설계) 설계부터 보안을 고려하는 시큐어코딩은 위협을 지속적으로 평가하고 알려진 공격 방법을 방지하기 위해 코드가 견고하게 설계 및 테스트되었는지 확인하는 문화 및 방법론이다. 보안 개발 수명주기, 보안 설계 패턴 또는 위협 모델링등이 필요하다고 한다. 5. Security Misconfiguration(보안 구성 오류) 안정적인 보안은 애플리케이션 서버, 프레임워크, 서버, 플랫폼 등 함께 구성된다. 사용하지 않는 기능 및 프레임워크를 제거하거나 불필요하게 설치하지 않는게 중요하다. 6. Vulnerable and Outdated Components 관리되지 않은 타사 구성 요소를 사용하거나 사용하고 있는 구성요소의 버전을 모르는 경우 위와 같은 취약에 해당될 수 있다. 모든 구성 요소를 모니터링하고 보안 패치를 적용할 수 없는 경우 가상 패치를 배포하여 발견된 문제를 모니터링하고 보호해야 한다고 한다. 7. Identification And Authentication Failures(식별 및 인증 오류) 잘 알려진 암호를 허용하는 경우가 위 취약점에 해당된다. 가능한 경우 도난된 계정 정보 재사용을 막기 위해 다중 인증을 구현하는 것이 좋다. 8. Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류) 이를 방지하기 위해서는 서명되지 않았거나 암호화되지 않은 직렬화된 데이터가 무결성 검사 또는 디지털 서명 없이 신뢰할 수 없는 클라이언트로 전송되지 않도록 하는 것이 중요하다. 9. Security Logging and Monitoring Failures(보안 로깅 및 모니터링 오류) 데이터들이 많아짐에 따라 한 곳에서 데이터를 시계열로 기록하고 모니터링 할 필요성이 높아지고 있다. 10. Server-Side Request Forgery(SSRF, 서버측 요청 위조) 최근 클라우드 서비스와 아키텍처의 복잡성으로 인해 SSRF의 심각도가 높아지고 있다. 예방하기 위해 네트워크 계층에서 필수 인트라넷 트래픽을 제외한 모든 트랙픽을 차단하기 위해 기본적으로 거부하는 방화벽 정책을 적용하거나 네트워크 액세스 제어 규칙을 적용하는 것이 좋다. 이처럼 웹 애플리케이션 뿐만 아니라 모든 곳에서 정보보안이 상당히 중요하게 자리잡고있다.

최근 미래 사이버 전쟁의 양상이 뉴스에 많이 거론되고 있다. 이번 러-우 전쟁을 통해 앞으로도 전쟁 수단으로 자리잡을 전망이라 한다. 일례로 202231일 키이우에 위치한 미디어 회사를 해킹해 데이터를 탈취한 후 곧바로 키이우 TV 타워를 미사일로 폭격하는 등 우크라이나는 해외 해커와 함께 IT Army(군대)를 구성해 대응하고 있는 상황이다. IT의 발전으로 사이버 공간이 확장됨에 따라, 이제 국가 간 전쟁도 사이버 공간으로 옮겨가고 있다. 이에 미래에 국가 전투 능력은 사이버 공간의 플랫폼 영역간 대결이 될 것으로 보인다.