3줄 요약
1. 모던웹, 다양한 언어 통해 웹 애플리케이션 개발 확장 가능
2. 새로운 개발 환경과 언어 사용에 따른 취약점 존재
3. 단순한 공격에 대해서는 안전할 수 있지만, 지능적인 공격에는 오히려 취약
[보안뉴스 김경애 기자] 모던웹이 등장함에 따라 공격자들의 새로운 공격이 나타나고 있다. 모던 웹은 다양한 언어를 통해 웹 애플리케이션 개발을 확장할 수 있는 반면, 새로운 개발 환경과 언어 사용에 따른 취약점이 존재하기 때문이다.
▲LG전자 장태진 선임이 ‘모던웹의 등장과 새로운 공격전략’을 주제로 발표하고 있다[사진=보안뉴스]
LG전자 장태진 선임은 20일 ‘2024 정보보호 인재양성 교육사업 성과교류회’ 1부로 진행된 사이버보안 최신 동향 세미나에서 모던웹의 특징으로 △다양한 언어를 통한 웹 애플리케이션 개발의 확장 △오픈소스의 적극 활용 △위험성에 대한 명시적 인식 △클라우드 인프라 사용 증가 △배포 방식의 변화 △직접 접근의 제한 및 보안 강화를 꼽았다.
장태진 선임은 “모던웹은 개발 효율성 향상을 위해 오픈소스를 광범위하게 사용하고, 커뮤니티 기반의 협력과 오픈소스 라이브러리를 활용한다”며 “모던웹 기반으로 AWS(아마존웹서비스), 애저(Azure), 구글 클라우드, 네이버 클라우드와 같은 클라우드 서비스 사용이 확산되고 있다”고 밝혔다.
이어 장 선임은 “클라우드 플랫폼을 통한 유연하고 확장 가능한 인프라를 구축하고, 서버리스 아키텍처는 AWS Lambda, API 게이트웨이, S3 등을 활용해 배포한다”며 “마이크로 서비스와 API 중심의 아키텍처를 도입하고, 메인 페이지에 대해 엔드포인트 서버를 확장시켜 놓고 배포 하는 등 배포 방식이 변화하고 있다”고 말했다.
이에 모던웹의 경우 ORM(Object Relational Mapping)을 사용해 SQL의 직접 접근을 제한하고, XSS와 같은 취약점 방지를 위해 HTML에 대한 직접적인 접근을 제한하는 등 보안이 강화됐다는 것. 하지만 새로운 개발 환경과 언어의 사용에 따라 취약점이 발견된다는 게 장 선임의 설명이다. 즉, 공격자가 취약점을 악용해 지능적인 공격을 펼친다는 얘기다.
모던웹의 취약점에 대해 장 선임은 △SQL에 대한 직접적인 접근 없음 △API 서버, JSON 변환으로 XSS 없음 △Express의 CORS 정책으로 Cross Domain의 CSRF 불가 △Command Injection 백터 없음 △자바스크립트의 프로토타입(prototype)을 조작할 수 있는 취약점 △모든 객체는 Object의 자식 객체라는 점 악용 등을 꼽았다.
장태진 선임은 “단순한 공격에 대해서는 비교적 안전할 수 있지만, 지능적인 공격에 대해서는 여전히 취약하다”며 “오히려 더 많은 것들을 신경써야 한다”고 취약점 점검과 조치의 중요성을 강조했다.
[김경애 기자(boan3@boannews.com)]
1. 모던웹, 다양한 언어 통해 웹 애플리케이션 개발 확장 가능
2. 새로운 개발 환경과 언어 사용에 따른 취약점 존재
3. 단순한 공격에 대해서는 안전할 수 있지만, 지능적인 공격에는 오히려 취약
[보안뉴스 김경애 기자] 모던웹이 등장함에 따라 공격자들의 새로운 공격이 나타나고 있다. 모던 웹은 다양한 언어를 통해 웹 애플리케이션 개발을 확장할 수 있는 반면, 새로운 개발 환경과 언어 사용에 따른 취약점이 존재하기 때문이다.
▲LG전자 장태진 선임이 ‘모던웹의 등장과 새로운 공격전략’을 주제로 발표하고 있다[사진=보안뉴스]
LG전자 장태진 선임은 20일 ‘2024 정보보호 인재양성 교육사업 성과교류회’ 1부로 진행된 사이버보안 최신 동향 세미나에서 모던웹의 특징으로 △다양한 언어를 통한 웹 애플리케이션 개발의 확장 △오픈소스의 적극 활용 △위험성에 대한 명시적 인식 △클라우드 인프라 사용 증가 △배포 방식의 변화 △직접 접근의 제한 및 보안 강화를 꼽았다.
장태진 선임은 “모던웹은 개발 효율성 향상을 위해 오픈소스를 광범위하게 사용하고, 커뮤니티 기반의 협력과 오픈소스 라이브러리를 활용한다”며 “모던웹 기반으로 AWS(아마존웹서비스), 애저(Azure), 구글 클라우드, 네이버 클라우드와 같은 클라우드 서비스 사용이 확산되고 있다”고 밝혔다.
이어 장 선임은 “클라우드 플랫폼을 통한 유연하고 확장 가능한 인프라를 구축하고, 서버리스 아키텍처는 AWS Lambda, API 게이트웨이, S3 등을 활용해 배포한다”며 “마이크로 서비스와 API 중심의 아키텍처를 도입하고, 메인 페이지에 대해 엔드포인트 서버를 확장시켜 놓고 배포 하는 등 배포 방식이 변화하고 있다”고 말했다.
이에 모던웹의 경우 ORM(Object Relational Mapping)을 사용해 SQL의 직접 접근을 제한하고, XSS와 같은 취약점 방지를 위해 HTML에 대한 직접적인 접근을 제한하는 등 보안이 강화됐다는 것. 하지만 새로운 개발 환경과 언어의 사용에 따라 취약점이 발견된다는 게 장 선임의 설명이다. 즉, 공격자가 취약점을 악용해 지능적인 공격을 펼친다는 얘기다.
모던웹의 취약점에 대해 장 선임은 △SQL에 대한 직접적인 접근 없음 △API 서버, JSON 변환으로 XSS 없음 △Express의 CORS 정책으로 Cross Domain의 CSRF 불가 △Command Injection 백터 없음 △자바스크립트의 프로토타입(prototype)을 조작할 수 있는 취약점 △모든 객체는 Object의 자식 객체라는 점 악용 등을 꼽았다.
장태진 선임은 “단순한 공격에 대해서는 비교적 안전할 수 있지만, 지능적인 공격에 대해서는 여전히 취약하다”며 “오히려 더 많은 것들을 신경써야 한다”고 취약점 점검과 조치의 중요성을 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
