웹 보안 솔루션 도입시 필수 고려 사항

2008-07-24 18:06
  • 카카오톡
  • 네이버 블로그
  • url
+ -

Web Security Solution All Guide
Chapter 3. 웹 보안 전문가 노하우 훔쳐보기
 
설계·구축 단계에서 정보보호 고려해야
 
최근 시스템 및 네트워크 해킹에서 웹 애플리케이션의 취약점이나 웹 사이트 구축 시 개발자의 실수나 미처 고려하지 못했던 부분을 이용하는 웹 해킹이 매우 빈번하게 발생하고 있다. 예전에는 대부분의 공공기관 및 기업체들은 외부로부터 내부의 데이터를 보호할 수 있는 네트워크 계층의 접근 통제 보안 솔루션을 많이 도입했었는데 불가피하게 오픈을 해야 서비스를 제공할 수 있는 80포트까지 제어를 할 수 없었다.
 
그래서 등장한 것이 80포트를 제어하고 지식기반의 패턴 매칭을 통한 침투 시도를 차단하는 웹 방화벽 장비이다. 현재 국내 CC인증 및 보안성 검증을 진행중인 웹 방화벽과 시중에 현재 판매되고 있는 웹 방화벽 장비까지 약 10여개가 있다. 그러나 무작정 이러한 솔루션을 구축한다고 해서 웹 애플리케이션을 통한 해킹을 방지한다고 생각하면 큰 오산이다.
 
웹 방화벽은 알려진 대부분의 해킹 시도를 차단하는 것은 맞지만 웹 애플리케이션의 설계 시 취약한 소스에 대해서는 방어를 할 수 없기 때문이다. 대표적인 공격방법이 URL을 통해 강제로 접근하는 URL 강제 접속이라는 공격 방법이다. 이러한 공격이 성공할 시 타인의 글을 지우거나 악의적으로 수정을 하거나 메인 페이지의 공지사항을 조작하여 입금 계좌번호를 공격자의 계좌로 바꿔 치기를 하는 등 발생하는 피해 유형은 셀 수 없을 정도로 다양하다. 이 외에도 쿠키를 바꿔치기 하는 등 여러 가지 공격 기법이 있지만 근본적인 취약점의 원인은 잘못 설계된 웹 애플리케이션의 로직이다.
 
이러한 취약점을 최소한으로 줄이는 방법에는 웹 방화벽을 도입하기 전에 외부 보안 컨설턴트를 활용해서 웹페이지의 취약점을 미리 진단 받고 진단 후 드러나는 취약점에 대해 수정을 하고 대책을 마련한 후 웹 방화벽을 도입하는 것이 가장 추천하는 방법이다. 물론 회사 내부에서 개발자들이 보안 가이드 라인을 참고해서 자체 진단하는 방법도 있지만, 자신이 직접 코딩한 소스를 역으로 생각해서 취약점을 발견하는 것은 좋은 방법도 아닐뿐아니라 오히려 리소스를 낭비하는 결과를 초래할 수 있기 때문에 외부의 숙달된 컨설턴트를 활용하여 진단하는 것이 시간적인 측면이나 내용적인 측면에서 훨씬 효율적이다.
 
그 밖에 보안 솔루션을 도입하려는 기업은 제일 먼저 자신의 시스템에 가장 알맞은 보안 솔루션이 무엇인지, 리스크를 평가를 꼭 해야만 한다. 주로 개인 정보를 많이 가지고 있는 기업에서는 고객 정보의 DB를 암호화 시켜서 저장할 수 있는 DB 보안 솔루션이 리스크를 가장 많이 줄여줄 것이고 인터넷 쇼핑몰을 운영중인 기업에서는 고객의 신용카드 정보나 거래 정보가 안전하게 거래될 수 있게 해주는 SSL 통신을 구축하는 것이 비용대비 가장 효과적인 결과를 나타낼 수 있다.
 
웹 사이트는 인터넷을 통해 누구에게나 오픈이 되어 있는 공간이다. 대부분의 웹 사이트들은 DB 연동을 통해 금전적으로 환산할 수 없는 중요한 정보를 담고 있기 때문에 금전적인 목적을 노린 해커들에게는 좋은 먹잇감이 될 수 밖에 없다. 이처럼 웹 사이트의 활용빈도가 점점 증가하는 추세에 더욱더 중요한 정보들이 늘어나고 있는 이상 웹 해킹에 대한 공격도 점점 늘어나갈 것이다.
 
하지만 대부분의 개발자 및 관리자들은 자신의 웹 사이트 보안에 대한 중요성을 인지하지 못하고 그저 남의 일이라고만 생각을 하고 있어 지금 이 시간에도 수많은 사이트들이 해킹에 피해를 입고 있을 것이다. 해킹을 당한 관리자들은 자신의 웹 사이트가 해킹을 당했는지 인지도 하지 못하고 넘어가는 경우도 많은데 Zone-H 라는 사이트를 들려 해킹 사실이 있는지 주기적으로 검토하고 만약 이러한 가용 인원이 부족할 경우 외부 보안 관제업체에 365일 관제를 대행하는 것도 한 가지 방법일 수 있다.
 
비용 효율적으로 안전한 웹 사이트를 구축하기 위해서는 구축 이후가 아닌 설계·구축 단계에서 먼저 정보보호를 고려하고 개발 이후 더나아가 SSL 통신, DB보안, 웹 방화벽 도입 등의 지속적인 보안을 해야 취약점에 대응할 수 있다.
 
<글·박종성 NSHC연구원(jspark@nshc.net)>
[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • KCL

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • 경인씨엔에스

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 지오멕스소프트

    • 트루엔

    • 인터엠

    • 세연테크

    • 성현시스템

    • 한국아이티에스

    • 케비스전자

    • 아이원코리아

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 투윈스컴

    • TVT코리아

    • 프로브디지털

    • 위트콘

    • 포엠아이텍

    • 넥스트림

    • 페스카로

    • 아우토크립트

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네티마시스템

    • 케이제이테크

    • 알에프코리아

    • (주)일산정밀

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 창성에이스산업

    • 유투에스알

    • 제네텍

    • 이스트컨트롤

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 주식회사 에스카

    • 에이앤티글로벌

    • 모스타

    • 한국씨텍

    • 넥스텝

    • 레이어스

    • 구네보코리아주식회사

    • 에이티앤넷

    • 티에스아이솔루션

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이아이

    • 메트로게이트
      시큐리티 게이트

    • 휴젠

    • 신화시스템

    • 글로넥스

    • 이엘피케이뉴

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온바이오메트릭스

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기