정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드 2010. 5
CONTENTS 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
1 소개 6 제 1 절개요 6 제 2 절구성및활용방안 10 2 기술및서비스이해 13 제1절기본개념 14 제 2 절주요서비스 18 제 3 절전자정부활용사례 26 제4절주요기술 33 3 보안위협및침해사고동향 43 제 1 절웹보안현황및침해사고동향 44 제 2 절웹보안침해사고사례 47 4 보안취약점및대응대책 53 제 1 절 Web 1.0 보안취약점및대책 54 제 2 절 Web 2.0 보안취약점및대책 71 제 3 절개인정보보호관련쟁점및대책 98 참고문헌 109 용어설명 110 부록 Web 2.0 관련보안가이드및지침 115
CONTENTS [ 표목차 ] 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드 ( 표 1-1) Web 2.0 보안실무안내서구성 10 ( 표 1-2) Web 2.0 보안실무안내서활용방안 10 ( 표 1-3) 법률및규정간연관성 11 ( 표 2-1) Web 의발전과정 16 ( 표 2-2) Web 2.0과정부업무범위간의연관관계 26 ( 표 2-3) 전통적인방식과 AJAX 방식의비교 33 ( 표 2-4) HTML과 XML의비교 35 ( 표 2-5) RSS 사용의장점 36 ( 표 4-1) OWASP 보안취약점 (2007) 67 ( 표 4-2) OWASP 보안취약점 (2010) 68 ( 표 4-3) 국가정보원의보안취약점 69 ( 표 4-4) KISA 의보안취약점 70 [ 그림목차 ] ( 그림 2-1) 네이버블로그서비스예 19 ( 그림 2-2) 유튜브 : UCC 포털사례 21
( 그림 2-3) 위키피디아 에서의정보제공예 ( 한국어판 ) 23 ( 그림 2-4) SNS 포털사례 : 싸이월드 25 ( 그림 2-5) SNS 포털사례 : 페이스북 25 ( 그림 2-6) 전자정부활용사례 : Peer-to-Patent 27 ( 그림 2-7) 전자정부활용사례 : E-Petitions 30 ( 그림 2-8) 전자정부활용사례 : PatientOpinion 31 ( 그림 2-9) 전자정부활용사례 : FixMyStreet.com 32 ( 그림 2-10) AJAX 를도입한네이버의검색창 34 ( 그림 2-11) RSS 를통한정보유통구조 36 ( 그림 2-12) RSS 리더예 37 ( 그림 2-13) 매시업의다양한서비스결합방법 38 ( 그림 2-14) 매시업으로구현된다음의지도서비스 39 ( 그림 2-15) 대표 SNS 사이트의하나인플릭커 40 ( 그림 2-16) 구글지도 API 예 41 ( 그림 4-1) RSS 피드인젝션공격 75 ( 그림 4-2) OTP 적용 83 ( 그림 4-3) 웹페이지변조탐지시스템 86 ( 그림 4-4) UCC 를이용한공격개요 95
정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
소개 제 1 장 제 1 절개요 제 2 절구성및활용방안
제 1 장 소개 제 1 절 개요 1. 배경 현황 최근 Web 2.0 기반인터넷서비스가주목을받으면서, 이를도입한국가 공공분야신규서비스가증가하고있으나정보보호에대한고려는상대적으로미흡함 이에신뢰성이검증되지않은기술의도입및보안성을보증할수없는환경에서의중요정보공유등에따른정보유출및사이버침해사고발생의위협이급격히증가하는추세에있음 대다수의침해사고는알려진취약점에대한간단한사전조치만으로도예방이가능하다는것을인식한다면선제적인보호조치강화가무엇보다중요함 문제점 Web 2.0 도입시선제적인보안조치강화는서비스활성화의전제조건임에도불구하고인식부족등으로체계적인관리및대응체계미흡 특히, Web 2.0 환경에대한인식부족및관련보안지침의부재로선제적인보안대책수립 반영이미흡한경우가일반적임 해결방안 담당실무자를위한보안취약점및대응책을제시함으로써정보화사업추진과정에서의체계적인보안활동지원등일관성강화 기존의산재된관련보안지침을정리하여의무사항및핵심사항중심으로간결하게제공함으로이해도및활용도를제고 요컨대, Web 2.0 관련보안취약점및대응지침보급을통한사전보호조치강화로안전성및신뢰성향상제고등이용활성화에기여 8 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 1 장. 소개 제 1 장 2. 목적과범위 목적 최근 Web 2.0 기반인터넷서비스가주목을받으면서, 이를도입한국가 공공분야신규서비스가증가하고있으나정보보호에대한고려는상대적으로미흡함 대상 행정기관의정보화사업담당실무자 범위 행정기관에서자체발주하는 Web 2.0 기반정보화사업 내용 Web 2.0 기술개요및서비스환경에대한이해, 정보보호의중요성인식을위한소개자료제공 정보화사업담당자관점에서의 Web 2.0 보안성강화를위한정보보호및개인정보보호관련고려사항과대응지침제공 효과 보안인식제고및선제적인보호조치강화를통한 Web 2.0 기반정보화사업의신뢰성및안전성제고 Web 2.0 기반정보시스템및서비스이용확산을통한대국민행정서비스효율제고및국민편익향상 9
제 2 절 구성및활용방안 1. 구성 ( 표 1-1) Web 2.0 보안실무안내서구성 구분내용 2 장 관련기술및서비스동향소개 3 장 관련보안위협및침해사고동향소개 4 장 관련보안취약점및이에대응한보안지침제공 부록 관련보안가이드및지침목록 2. 활용방안 ( 표 1-2) Web 2.0 보안실무안내서활용방안 구분활용방안 담당자 발주기관의사업담당자로서정보화사업관련정보보호기획 관리 검수업무에참조 사업자 정보시스템구축과정에서의필수정보보호요구사항파악및보안취약점에대한대응조치등보안통제구현에참조 기 타 민간등에서 Web 2.0 관련최소한의정보보호요구사항파악및개발 구축과정에서활용할수있는참고자료로활용 10 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 1 장. 소개 제 1 장 3. 관련법령 규정간연관성 Web 2.0 기반정보화사업추진시관련법률및규정에명시된정보보호의무조항은사업수행과정에반드시반영되어야함 ( 표 1-3) 은대표적인정보보호관련법령및규정을나타낸것으로, 담당자는해당사항을반드시확인및반영하여야함 ( 표 1-3) 법률및규정간연관성 법령 구분 전자정부법 ( 행정안전부 ) 주요내용및연관성 행정기관의전자정부서비스제공과관련하여정보통신망및전자적대민서비스보안대책수립 시행 행정전자서명인증및전자문서의전자서명적용 민원인의신원확인에관한사항등 법령 공공기관의개인정보보호에관한법률 ( 행정안전부 ) 공공기관의개인정보처리시스템, CCTV 등과관련하여개인정보보호에관한사항 법령 전자서명법 ( 행정안전부 ) 전자문서의안전성, 신뢰성확보를위한전자서명및관련인프라 ( 공인인증기관등 ) 에관한사항 법령 정보통신망이용촉진및정보보호등에관한법률 ( 방송통신위원회 ) 정보통신서비스이용자의개인정보보호와정보통신망안전성확보에관한사항 훈령 행정기관정보시스템접근권한관리규정 ( 국무총리훈령제526 호 ) 행정기관정보이용자의본인확인을위한행정전자서명인증서적용및접근권한관리절차등 훈령 정보통신보안업무규정 ( 행정안전부훈령 115 호 ) 행정기관정보이용자의본인확인을위한행정전자서명인증서적용및접근권한관리절차등 고시 국가정보보안기본지침 ( 국가정보원 ) 중앙행정기관, 지자체, 공공기관등에서수행해야할기본보안활동을규정 정보보안담당관지정, 정보및정보통신망보안활동, 국가용보안시스템운용관리, 보안적합성검증절차등 관련법률및규정의세부내용은법제처국가법령정보센터홈페이지 (http://www.moleg.go.kr) 를통해확인할수있음 11
정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
기술및서비스이해 제 2 장 제1절기본개념제2절주요서비스제3절전자정부활용사례제4절주요기술
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 2 장 기술및서비스이해 제 1 절 기본개념 Web 2.0의근간에는각종 IT 기술들이내재되어있지만, 기술적인관점보다는사상의측면및활용의측면에서이해하는것이무엇보다중요함 본절에서는 Web 2.0의기본특성을중심으로개념을소개하고자함 기본개념 개방 공유 참여의장으로서의 Web 2.0 Web 2.0은 개방 공유 참여 로불리는시대정신이만들어낸서비스이자그근간이되는기술을의미함 또한, 하나의플랫폼으로인터넷이사용가능한어느곳에서도데이터를생성, 공유, 저장, 출판및비즈니스가가능한환경을의미함 Web 2.0을간단하게정의하자면, 데이터의소유자나독점자없이누구나손쉽게데이터를생산하고인터넷에서공유할수있도록한사용자중심의인터넷환경이라고할수있음 즉, 인터넷상에서정보를모아보여주기만하는기존의 Web 1.0에비해사용자가직접데이터를다룰수있는플랫폼을제공하기때문에사용자들이정보를좀더쉽게공유하고서비스받을수있도록구성됨 대표적인예로써블로그, 위키피디아등이있음 등장배경 사회 문화적인요인 개인의개성이중요시되고, 사회참여가증가함에따라자신을적극적으로노출시키는것을꺼리지않는문화가젊은계층을중심으로확산됨 14 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 즉, 1인미디어로불리는블로그를비롯하여미니홈피등이개인의생각을표현 공유하는창구역할을수행 시장적인요인 공급자중심의정보콘텐츠제공방식이개인의세분화된욕구를충족시키기에양적으로나질적으로한계를보임 즉, 이러한한계에대응한 1인미디어가새로운틈새공급자로등장함 제 2 장 기술적인요인 휴대폰, 디지털카메라, 캠코더등미디어기기의대중화및광대역통신망 (Broadband Network) 등확장된네트워크가등장함으로써개인이쉽게정보를제작및유통할수있는환경의조성 대표사례 국내외대표사이트 Web 2.0의사상이나기술을구현한대표적인해외서비스업체로는구글, 플리커, 유튜브, 딕닷컴등이있음 국내에서는네이버지식iN, 올블로그, 위자드닷컴등이있음 모두가함께만드는백과사전, 위키피디아 위키피디아 (Wikipedia) 는 인터넷이용자들이스스로만들고채워가는백과사전 으로써집단지성의대표적인사례임 2001년 5월에지미웨일즈 (Jimmy Wales) 가처음만들었으며, 위키미디어 라는비영리재단이운영을맡고있음 15
정부 공공서비스의변화 사용자관점의정부포털서비스제공 Web 2.0 기반참여및공유의활성화로국민중심의서비스로대전환에따른시민참여의확대가예상됨 공공기관간또는공공기관및민간기관간협업확대 공공기관및민간기관에서제공하는다양한서비스를융합한새로운서비스제공 즉, 부처간행정정보공유및국민참여촉진을비롯하여민 관간협업에의한공공정보의 가치창출형조합서비스 에대한수요가증가함 향후발전방향 Web 3.0의등장 센서와무선네트워크를통한서비스중심의유비쿼터스환경에기반 Web 의지능화를통한개인별맞춤정보서비스가가능한상황인식시대가도래함에따른과잉공급된정보를선별및가공하는서비스제공 ( 표 2-1) Web 의발전과정 1995 년 2005 년 2005 년 ~2010 년이후 2015 년 2020 년 구분 World Wide Web (Web 1.0) Web 2.0 Real-World Web ( 웹 3.0) 액세스참여상황인식 (Context) 특징 일방적정보제공으로이용자는정보소비자 ( 접속해서정보이용 ) 이용자는정보소비자 / 생산자 / 유통자 ( 이용자가정보등록 / 수정 ) 이용자가원하는정보검색제공기능 ( 개인별맞춤정보 / 서비스제공 ) 기반기술브라우저브로드밴드 시멘틱기술센서네트워크 16 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee????????? 제 2 장. 기술및서비스이해 시멘틱웹 Web 2.0 과함께혼용되어사용하는용어로 Web 의창시자인팀버너스리 (Timothy John Berners-Lee) 가 1998 년제안한것 컴퓨터가웹정보자원의의미를이해하고, 정보의검색, 추출, 해석, 가공등제반처리를사용자를대신하여지능형에이전트 (intelligent agent) 가수행하는컴퓨터중심의기술 제 2 장 17
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 2 절 주요서비스 Web 2.0 의철학을실현한다양한서비스가제공되고있으며, 본절에서는블로그, UCC 등으로대표되는서비스를중심으로관련사항을살펴봄 1. 블로그 블로그는웹 (Web) 과로그 (Log) 의합성어인웹로그 (Weblog) 를줄인말이며, 말그대로사이버공간에올려놓은개인의기록이란의미임 블로그에는개방, 공유, 참여의정신이들어있고, RSS 및트랙백, XML 등 Web 2.0 관련각종신기술이내포되어있음 즉, 오늘날의블로그확산은 Web 2.0 을탄생시킨일등공신으로볼수있음 서비스개요 1인미디어로서의블로그 블로그는개인이쉽게인터넷에올릴콘텐츠를만들수있도록도와주는도구로서누구나손쉽게자신만의블로그를만들어운영할수있음 블로그는흔히 1인미디어라고도하며, 이는개인이운영하는뉴스제작소라는의미임 참여의도구로서의블로그 참여의도구로서블로그를이용하는개인이늘어나면서, 이들을수용하는개방형서비스들이생겨나기시작함 이같은움직임의확산이결국, Web 2.0 이라는변화를이끌어냄 18 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 소통과대화의공간으로서의블로그 블로그는홈페이지나카페, 싸이월드미니홈피가제공하지못하는독특한기능을가지는데, 바로 RSS 와 트랙백 이그것임 RSS(Really Simple Syndication) 는텍스트나이미지등을주고받는매우쉽고간단한전송방법으로, 가정집에서신문을구독하는것과유사함 RSS가등장하기전에는필요한정보를수집하기위해사이트를집적방문하거나검색하여야했으나, RSS 관련프로그램을이용하여자동수집이가능해져사이트방문및검색없이필요한정보들을한자리에서볼수있음 예를들어, 누군가 A블로그의 RSS 구독신청을했다면, 신청이후부터는 A블로그를방문하지않고도새로올라온글을편리하게받아볼수있음 먼글, 엮인글, 먼댓글 등으로불리는트랙백 (Trackback) 은내가쓴글을다른사람이쓴글에손쉽게연결시켜주는기능임 제 2 장 대표사이트 네이버의블로그서비스 네이버외에도대부분의포털에서블로그서비스를제공하고있음 ( 그림 2-1) 네이버블로그서비스예 19
2. UCC UCC(User Created Contents) 는 사용자가생산한콘텐츠 라는의미이며, Web 2.0 에서는사용자들이자유롭게참여해스스로제작한콘텐츠를생산및재창조하고공유함 서비스개요 개요 UCC 는동영상, 블로그등을포함한큰개념이지만, 표현방식이글이나사진과비교해서더친근하다는이유등으로 UCC= 동영상 이라는이미지가굳어짐 사용자는인터넷이라는미디어를매개체로자신을표현하는개인이므로미디어콘텐츠제공자및법인등은 UCC의주제라고볼수없음 이미지합성이나패러디도제작으로봐야하는지등제작에대한용어정의에는다양한의견이존재하며, 일반적으로는개인의창의성이개입되었는지여부를기준으로 UCC를정의하기도함 포털사이트를중심으로각종콘텐츠제작도구가제공됨으로써사용자들은보다손쉽게 UCC를생산할수있는환경이조성됨 UCC 의특징 최근생산되는 UCC 는주로엔터테인먼트속성을기반으로함 흥미와관심이동인이되어자발적으로생산됨 대표사이트 해외의대표적인동영상 UCC 사이트로는유튜브, 소프박스가있음 국내업체로는판도라 TV, 엠군, 다음 TV 팟, 아프리카, 태그스토리등이있음 20 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 UCC 의장점 사용자들의참여를이끌어낼수있는환경의제공 UCC의활성화는이미지정보에서동영상정보로의진화를이끌어낼수있어사용자측면에서좀더편하게정보를획득및이해할수있음 활용서비스 제 2 장 유튜브 (You-Tube) 대표적인 UCC 공유사이트 ( 그림 2-2) 유튜브 : UCC 포털사례 21
3. 위키피디아 위키피디아 (Wikipedia) 는 인터넷이용자들이스스로만들고채워가는백과사전 으로써집단지성의대표적인사례 서비스개요 모두가함께만드는백과사전, 위키피디아 위키피디아는 인터넷이용자들이스스로만들고채워가는백과사전 으로써집단지성의대표적인사례임 하와이말로 빨리 란뜻의 위키 (Wiki) 와 백과사전 (Encyclopedia) 이라는영어단어가합쳐서생성된말임 2001년 5월에지미웨일즈 (Jimmy Wales) 가처음만들었으며, 위키미디어 라는비영리재단이운영을맡고있음 운영방식 하나의주제를가지고다양한사람들이내용을작성및공유하는체계 서비스예 해외및국내에서도관련서비스제공 22 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 제 2 장 ( 그림 2-3) 위키피디아 에서의정보제공예 ( 한국어판 ) 4. SNS SNS(Social Network Service) 는취미나특정행위를공유하는사람들의온라인커뮤니티로정의됨 즉, 사이버공간에서인적네트워크를구성하게하는인터넷서비스로서국내에서는인맥구축서비스라는의미로사용됨 서비스개요 배경및동향 컴퓨터를매개로하는커뮤니티형식의소셜네트워크 (Social Network) 는새로운것이아님 연대 (trust-base) 와친분 (friendship-base) 이라는서로다른형식의소셜네트워킹이시도되고, 이것을서비스로잘묶어낸마이스페이스나페이스북등 SNS 사이트의등장으로주목받는서비스가됨 23
최근에는이미구축된인적네트워크를기반으로한새로운서비스가개발되기도하는데, 가상주식거래서비스, 구직서비스, 제품판매등이있음 특히, 최근에는이동통신서비스와의결합으로서비스의범위가넓혀지고있음 주요특징 사용자의프로필을스스로생성하고관계성을찾아친구맺기가이루어짐 프로필을열람하여연결할수있는권리를선택적으로관리하도록하기도함 A와 B가친구이며, B와 C가친구라면, A와 C는친구관계가되어인맥의범위가넓어짐으로써공통의관심사등으로그룹을만들수있음 승인절차가필요한경우도있음 장 단점 온라인을통해쉽게인맥을관리하고생성할수있다는점에서인맥을중시하는국내현실과맞아떨어짐 네트워크에포함된사람들의근황이나일상사를공유하여인간관계를풍성하게할수있음 반면, 개인사생활침해가발생할가능성이상존함 24 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 대표사례 싸이월드 국내의대표적인 SNS 사이트 제 2 장 ( 그림 2-4) SNS 포털사례 : 싸이월드 페이스북 국외의대표적인 SNS 사이트 ( 그림 2-5) SNS 포털사례 : 페이스북 25
제 3 절 전자정부활용사례 정부 공공기관의 Web 2.0 기술의도입이확대됨으로인해기관과국민또는각기관간의정보흐름이가속화되어보다효율적인의사소통이가능해짐 본절에서는국외의전자정부의사례를중심으로활용가능성을살펴봄 개요 Web 2.0 기반서비스와정부업무와의관계 EC(European Commission) 산하의 JRC(Joint Research Centre) 의연구결과, Web 2.0은다음과같은연관관계를보이고있음 ( 표 2-2) Web 2.0 과정부업무범위간의연관관계 Back office Front office 규제프로세스의개선기관간의협업지식관리 정치적참여와투명성서비스제공법의집행 향후전망 국민의자발적인참여및집단지성을통한의견개진을통해참여민주주의가활성화될것으로기대 정부부처간은물론, 공공및민간간협업을통한신규서비스가확산될것으로기대 26 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 규제프로세스의개선 배경 OECD 보고서 (2005) 에따르면, 정부의역할이직접적인서비스제공보다개인적이고영리적인서비스로전환되고있으며, 사회 경제적분야에대한규제자로서의역할이강조되고있음 이러한역할을수행하기위해서는다양한전문지식이필요하며, 이를습득하기위해서는집단지성을활용하는것이보다효율적임 제 2 장 Peer-to-Patent 사이트사례 뉴욕로스쿨에서특허검토절차를개선하기위해만든 Web 2.0 사이트로미특허청 (US Patent Office) 에서승인을얻음 특허신청이급증함에따라특허로써의기준을충족하는지등의여부를판단하기어려워짐에따라 1차검토기법으로활용 지원자들에위해특허를검토하여정부차원의비용이절감되는한편, 검토결과에대해전문가로써등급부여를통해지원자들의의욕을고취함 ( 그림 2-6) 전자정부활용사례 : Peer-to-Patent 27
기관간의협업 배경 조직간내부분화등에의해흔히이야기되는사일로효과 (Silo Effect) 가발생하여정부전체의효율성이저하되는경우가많이발생함 美 9 11 테러, 카트리나등위급상황발생시정부부처간협력문제등대두 따라서, 기관간의협력강화, 즉 Join-Up Government 가정부조직의새로운키워드로제시되게됨 인텔리피디아사례 인텔리피디아 (Intellipedia) 는위키기반의플랫폼으로계층화되지않은전문가간의비공식정보공유의장으로미국국가정보국장실에서운영하는사이트임 내부보고에따르면, 인텔리피디아가만들어진 16개월후, 2/3의분석전문가들이사용했으며매일수많은신규게시물및파일첨부가이루어진다고함 이로인한민감정보의유출가능성이있으나, 중요한것은위험을피하는것이아닌위험을관리하는것으로인식하고있음 지식관리 배경 지식관리는정부의효율성과효과성을개선하기위한중요요소임 민간기업의경우, Web 2.0은다음과같은용도로활용되고있으며, 이러한질문은정부에서도동일하게이루어질수있음 오늘아침상사가가장관심을가질기사는무엇인가? 친한동료들이사용할만한뉴스피드 (Newsfeed) 는무엇인가? 프로젝트팀에서가장뜨겁게논의될주제은무엇인가? 특정주제에대해전문가인사람은누구인가? 28 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 Allen and Overy 사례 Allen and Overy 는 1930년창립된 19개국 4,500여직원을가진국제법무법인으로사내정보흐름을개선하기위해 Web 2.0을도입함 즉, 무형의정보공유를통해누가무엇을하고있는지이해하며, 신규입사자에대한교육프로세스로활용함 그룹블로그, 그룹태그, 소셜북마킹, 그룹뉴스피드를제공하고, 사용자개개인이블로그운영과자발적으로북마크및콘텐츠를태깅함 제 2 장 정치적참여와투명성 배경 공공분야에서의시민참여의감소는현대정부들의주요도전으로인식되고있으며, Web 2.0은이에대응한전략적인도구로고려되고있음 E-Petitions 사이트사례 E-Petitions는영국국무부에서운영하고있는 Web 2.0 사이트로국민들이수상에게직접진정을제출하고다른사람들이서명에동참할수있는구조를제공함 수상과국민간의보다강한관계를구축하고자함 사용자는진정을올릴수있으며, 타인이올린진정에대해사인하거나반대하는경우엔이유를작성할수있음 6개월간 210만명이방문, 하나의진정이 180만서명을받기도함 사용자편의를위해약한인증을실시 (blog-style) 29
( 그림 2-7) 전자정부활용사례 : E-Petitions 서비스제공 배경 국민기대의증대와함께줄어드는예산에대응한고품질의편리한제공하는것은현대정부에게중대한도전이되고있으며, 지난몇년간정보통신기술이중요하게인식된것도이러한측면에기인함 각국의 E-Government 전략에있어서온라인서비스의제공은주요목적중하나였으나사용편의성이나검색편의성측면에서는국민을만족시키지못했음 (Ramboll, 2004) PatientOpinion 서비스사례 영국의국가건강서비스를개선하기위한비영리사이트로서공공건강의품질향상및사용자요구사항을이해하기위해운영 30 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 건강서비스에대한피드백을공유함 9 개월간 3,000 개의코멘트가등록되었으며, 38 개의료기관이피드백결과를수신하고있음 제 2 장 ( 그림 2-8) 전자정부활용사례 : PatientOpinion 법의집행 배경 Web 2.0의도입은법을집행하는데있어자발적인시민의참여유도등여러가지이익을얻을수있음 주요사례 Caughtya 는주차위반한사진과글을시민이작성하여법집행을도와줌 FixMyStreet 은거주지역의문제점을게시함으로써현안을토론하고개선될수있도록함 Chicagocrime 은시카고의지역범죄에대한정보를구글지도와통합하여제공함 31
( 그림 2-9) 전자정부활용사례 : FixMyStreet 32 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e 1 2 3 4 1 2 3 4???????? 제 2 장. 기술및서비스이해 제 4 절 주요기술 Web 2.0 은개방 공유 참여의장을제공하는플랫폼을의미하며, 특정기술에국한되지않는특성이있음 본절에서는이러한 Web 2.0 환경의구현을위해현재까지가장많이활용되고있는기술을중심으로주요특성을소개함 제 2 장 1. AJAX AJAX(Asynchronous Javascript And XML) 는 Web 어플리케이션과의대화식 (interactive) 환경을제공하기위해사용자단말측에서사용되는기술의집합체임 XML, CSS, DOM, XSLT, Javascript 등이사용됨 기술개요 개념및특성 AJAX는하나의기술이아닌, 사용자입력을실시간으로서버와송 수신하여, 사용자요구에대화식으로대응하도록도와주는기술들의총합임 대표적으로네이버등포털사이트검색창에서의연관검색등에적용되어있음 ( 표 2-3) 전통적인방식과 AJAX 방식의비교 전통적인방식구분 AJAX 방식 사용자인터페이스를통한사용자요청웹서버로의 HTTP Request 생성서버는데이터검색, 수처리, 여러레거시시스템들과의통신등의내부프로세스를수행클라이언트에게 HTML 페이지를반환 동작순서 사용자인터페이스를통한사용자요청웹서버로의 HTTP Request 생성서버는 AJAX 코드를사용자에게전송 ( 전통적인웹어플리케이션과동일 ) 이후사용자요청과그결과만을백그라운드에서 XML 통신 사용자요청내용에관계없이요청시마다해당페이지를모두다운로드받음으로써최근이미지데이터가다수인환경에서처리속도가극도로저하 대화식어플리케이션으로활용하기에는사용자요구충족불가능 장 단점 페이지이동없이고속으로화면을전환 서버처리를기다리지않는비동기요청가능 서버에서의연산처리를 PC 에분산가능 수신하는데이터의양을줄일수있음 실시간인터렉티브성능이올라감 33
활용서비스 대화식검색서비스등에활용 사용자가입력한검색어와관련된연관검색어제시등동적인처리지원 ( 그림 2-10) AJAX 를도입한네이버의검색창 2. XML 및 XHTML XML(eXtensible Markup Language) 은 HTML 을개선하여정보를공유할수있도록만든차세대언어임 XHTML 은새로운인터넷표현방식인 XML 에맞추어 HTML 을업그레이드한일종의퓨전언어라고할수있음 기술개요 XML 34 HTML이데이터베이스처럼구조화된데이터를관리하기힘든반면, XML은사용자가정보화된데이터를조작하여이용할수있는장점을제공 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 XHTML XHTML(eXtensible HTML) 은 HTML과동등한표현능력을지닌마크업언어로, HTML보다엄격한문법을가짐 웹콘텐츠가다양한장치 ( 이동기기등 ) 에서이용되기시작하면서, 부정확한 HTML을지원하는데필요한자원이부족한환경때문에생겨남 ( 표 2-4) HTML과 XML의비교 HTML 항목 XML 불가능, 제한적 사용자정의태그사용 가능 불가능 문서의재사용 가능 단순한구조의문서및소량의홈페이지 응용분야 방대한내용과구조를요하는기술적인문서 제 2 장 간단하고용이함논리구조작성의어려움 효과적검색어려움 문서작성 문서검색 전용에디터에의한작성논리구조작성용이함정확한검색이가능문서구조에대한검색이가능 활용서비스 다양한콘텐츠제공기능지원 이러한기술의활용은사용자를위한콘텐츠제공을보다풍요롭게도와줌 3. RSS 및트랙백 RSS 는 Really Simple Syndication 의약자로콘텐츠배급및수집에관한표준포맷을의미함 즉, 블로그를통해작성한글을주고받을때에글을어떻게받고보낼것인가를정의한데이터표준규약임 트랙백은블로그환경에서제공하는독특한댓글기능으로서역방향링크를자동생성해주는역할을담당함 즉, 링크와댓글이합쳐진개념으로댓글을상대방글에다붙이는것이아니라내블로그에붙이는것임 35
기술개요 RSS 개요 RSS는실시간으로갱신된정보를보내주는기술이라고할수있음 내블로그를방문한사람이계속내블로그의정보를보고싶다면, 내블로그의 RSS 주소를복사해서자신의 RSS 리더기에등록하면됨 이후부터는내가새로운글을올릴때마다내 RSS 주소를자신의 RSS 리더기에등록한사람들에게실시간으로전송됨 ( 그림 2-11) RSS 를통한정보유통구조 ( 표 2-5) RSS 사용의장점 구분내용 선택적구독빠른구독히스토리관리콘텐츠의자동화된연동콘텐츠재사용성커뮤니케이션방식의변화 사용자가원하는토픽과정확히일치하는채널선택동시에다양한채널소스접근다양한채널의과거기록들의보관이가능 syndication/aggregation 구조화된 XML 데이타로손쉬운변환및처리가가능 1:1 에서 1:N 으로동시접속 원격댓글 로의트랙백 댓글로쓰고싶은내용을내블로그에쓴후에상대방글의트랙백주소를내글에갖다붙이면됨 이렇게하면상대방의글아래에내가쓴글의제목이댓글처럼달리며, 이를 트랙백을걸었다 라고표현함 이른바 원격댓글 로서블로거들만의독특한커뮤니케이션방식임 36 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 거대한네트워크를형성하는블로그 비슷한주제의글을쓰는블로거들은트랙백을통해서로얽혀서자신도모르게거대한네트워크를형성하게됨 단순하게보면블로그는 1 인미디어지만, 블로그의파워가거대한것은이같은네트워크때문임 트랙백의부작용 제 2 장 트랙백의부작용으로는광고성내용이담긴스팸트랙백이대표적임 대다수블로그툴이스팸트랙백을막는기능을제공하지만, 트랙백방지기능이이를완전히근절시킬수는없음참고자료 RSS는브라우저로유명한넷스케이프사의 NetCenter에서출발한개념으로유명신문사의기사를손쉽게제공하기위해처음으로고안됨 활용서비스 관심사이트에서자주업데이트되는정보의자동확인 RSS 리더의등록만으로가능 ( 그림 2-12) RSS 리더예 37
4. 매시업및오픈 API 매시업 (Mash-up) 은인터넷에서제공되고있는서로다른다양한서비스를합쳐서새로운서비스를만드는것을의미함 즉, 서로다른웹사이트에서제공하는콘텐츠의기능을합치고, 응용함으로써새로운콘텐츠를창출함 기술개요 개요 웹에서제공하는다양한정보와서비스를융합하여새로운소프트웨어및서비스, 데이터베이스등을만드는것을의미 구글지도에부동산정보를조합한하우징맵스 (HousingMaps) 서비스가붐을일으키면서시작됨 매시업의유형 외부데이터와자체데이터를결합하여새로운형태의서비스를제공 외부데이터들을결합하여새로운형태의서비스를제공 자체데이터에서사용자참여를활용함으로써다양한정보를사용자에게보여줄수있는플랫폼환경을제공 ( 그림 2-13) 매시업의다양한서비스결합방법 38 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 매시업의사례 ( 비디오 사진 ) 플릭커가공개한사진공유관련 API 를이용하여구글지도와결합된서비스가등장 ( 검색 쇼핑 ) 이베이, 아마존등자사의콘텐츠에프로그래밍방식으로접근할수있는 API 를개발하여제공 활용서비스 제 2 장 다음의지도서비스 명소, 가게, 시설물등의위치를확인함과동시에관련된블로거들의메시지를함께제공하여정말자신이원하는곳인지함께확인할수있도록함 ( 그림 2-14) 매시업으로구현된다음의지도서비스 플릭커의사진공유 이미지와관련된메타데이터를통해이들이미지를다른정보와통합하여제공 39
( 그림 2-15) 대표 SNS 사이트의하나인플릭커 5. REST REST(Representational State Transfer) 는월드와이드웹과같은분산하이퍼미디어시스템을위한소프트웨어아키텍처의한형식임 단순화된주소만으로특정사이트에신속하게접근하는것을지원함 기술개요 개요 넓은의미의 REST는 네트워크아키텍처원리의모음 이나 Web 2.0에서는 도메인지향데이터를 HTTP 위에서 SOAP이나쿠키를통한세션트랙킹같은부가적인전송레이어없이전송하기위한간단한인터페이스 라는협의의의미로주로사용함 2005년 6월, 구글지도의 API 공개이후로주목을받음 REST 의장점 URI 텍스트를브라우저 URL에입력하면홈페이지로바로접근이가능 REST에준거하여설계된홈페이지는리소스와그상태로단순화되어웹시스템의장점인빠르고저렴함을실현할수있음 40 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 2 장. 기술및서비스이해 REST 아키텍처에적용된 6 가지제한조건 클라이언트 / 서버구조 : 기존웹구성을활용, 사용자인터페이스와데이터의저장장소를분리하여서버를단순화 무상태 (Stateless) : 서버가세션상태를관리하지않고처리에필요한모든정보를사용자측이가지도록하여데이터교환을단순화 캐시허가 : 클라이언트가응답을캐시함으로써트래픽을감소 Uniform Interface : 클라이언트 / 서버간인터페이스 (GET/POST) 를통일 제 2 장 계층화시스템 : 시스템을복수의계층으로분할하여인접하는층이외에는의존관계를가지지않도록함 Code-On-Demand : 클라이언트측에서코드를다운로드하여실행하는구조 활용서비스 구글지도 API REST 와웹서비스 (SOAP/WSDL) 의연계한서비스제공 구글지도 API 를사용하면자바스크립트를통해구글지도를사용자고유의웹페이지에삽입가능함 Amazon E-Commerce Service 4.0(2004) 아마존에서판매되는상품정보에대한액세스를제공하는서비스 간단한 REST API 제공을통해상품접근중 80% 이상이이를경유함 ( 그림 2-16) 구글지도 API 예 41
정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
보안위협및침해사고동향 제 3 장 제 1 절웹보안현황및침해사고동향 제 2 절웹보안침해사고사례
제 3 장 보안위협및침해사고동향 제 1 절 웹보안현황및침해사고동향 2009 년 OECD 의발표에따르면우리나라가 OECD 회원국중세번째로해킹위험이높은나라이지만, 이러한사이버보안사고를막아주는보안수준은세계 14 위에불과한것으로조사되어웹보안에대한침해사고대응이시급함 또한 WHID(Web Hacking Incedents Database) 의 2009 년상반기웹침해사고분석에따르면, 금년에는 Web 2.0 사이트들이해커들의주요목표가되고있음. 하지만, 대부분의웹사이트는이러한웹공격에대응한로그분석조차어려워할정도로보안대책을강구하지못하고있음 특히, 최근의공격은서버에대한공격이아닌사용자단에서공격이이루어지고있으며, 공격의방법이나침투수단이보다다각화되고있는특징이있어문제가심각해지고있음 국내의웹보안현황 우리나라, OECD 회원국중해킹위험 3위 2009년 8월 12 일 OECD가발표한 2009 커뮤니케이션아웃룩보고서 에서 2008년 4분기에해킹등의트래픽공격이가장많이발생한나라로 OECD 회원국중 1위미국 (22.8%), 2위스웨덴 (10.7%), 3위한국 (2.5%) 로발표됨 청와대등 35 개웹사이트를마비시킨분산서비스거부 (DDoS) 공격같은사이버테러에악용될수있는악성바이러스 ( 봇 ) 에감염된 PC 는미국은 68만대, 우리나라는 9만대로매우심각한수준임 우리나라, 보안수준은 14 위로매우심각한상태 한국이사이버테러의위험이높음에도불구하고보안서버보유대수의순위는 14 위에불과함 44 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 3 장. 보안현황및침해사고동향 OECD는영국보안업체넷크래프트의조사결과를인용, 한국기업등이보유한보안서버는 4,992대로미국 (34만 3164대 ), 일본 (5만5660대), 영국 (5만1386대) 에비해크케부족한것으로조사됨 http://www.hankyung.com/news/app/newsview.php?aid=2009081235831&sid=010481&nid=004&type=0 http://www.oecd.org/document/44/0,3343,en_2649_34225_43435308_1_1_1_1,00.html 웹보안침해사고동향 WHID에서분석한자료에의하면 Web 2.0 대상공격이급증하고있음 전체보안사고의 19% 가웹2.0 사이트를대상으로한공격일정도로 Web 2.0 사이트를대상으로한공격이급격하게증가하고있음 대부분의웹사이트들은웹어플리케이션로그를분석할수있는충분한능력을갖추지못하고있으며, 공격에대해적절히대응할수있는관리체계도갖추지못하고있음 제 3 장 공격의형태가웹사이트인증을뚫고들어가는형태보다는웹2.0의주요한특징인사용자가게시하는콘텐츠를이용하는것이대부분임 웹사이트관리자를속이는수단으로단순히웹사이트를변조하는공격형태에서악성코드를배포하는형태로다각화되고있음 웹해킹의주요목적은웹사이트변조및악성코드배포가가장높음 웹해킹의주요목적은웹사이트변조와악성코드배포가 1위 (28%) 를차지하고있으며, 그다음이기밀 / 개인정보유출 (26%) 이차지함 즉, 컴퓨터에보안이강구되지않은인터넷이용자가침해당안웹사이트를방문하는동안에웹사이트로부터악성코드에감염되어, 해커의장난감격인봇으로전락하는예가대표적임 그밖의웹해킹의목적으로는관심분산을위해속이기 (19%), 금전적인목적 (11%), 스팸배포 (4%), 서비스중단 (4%), 피싱 (2%) 등으로나타남 45
웹해킹의주요공격경로는 SQL Injection이 1위이며, 공격의유형도변화하고있음 웹해킹의주요공격경로로는 SQL Injection 공격이 1위 (19%) 이었으며, 그밖의공격경로로는부적절한접근통제 (11%), 콘텐츠위장 (10%), Cross Site Script(8%), 구성 / 관리자설정오류 (8%), Cross Site Request Forgeries(5%) 등으로나타남 최근의공격의특징은다음과같이 4가지로요약할수있음 사용자인증이반드시필요한웹사이트가아니라로그인을하지않고도사용가능한 Web 2.0 환경의웹사이트에대한공격이증가함 자동화된공격도구를사용하여보안이취약한사이트를무차별적으로공격함 CSRF(Cross Site Request Forgeries) 공격이트위터와같은 SNS 네트워크를통해웜을배포하는수단으로활용되고있음 공격경로를알수없는공격의비율이증가하고있는데, 이는각기관의웹트래픽로그분석기술의미보유, 해킹사실의숨김등에기인함 주요공격대상은 Web 2.0 사이트를운영하는 SNS 사이트가 1위 주요공격대상은 Web 2.0 사이트를운영하는 SNS 사이트가 19% 로 1위로나타난것이가장큰특징임 그밖의공격대상으로는미디어 (16%), 쇼핑몰 (12%), 연구소 (12%), 인터넷사이트 (12%), 공공기관 (12%), 게임등오락 (7%), 금융기관 (5%), 교육기관 (5%) 등으로나타남 공격의형태가웹사이트인증을뚫고들어가는형태보다는웹2.0의주요한특징인사용자가게시하는콘텐츠를이용하는것이대부분임 웹사이트관리자를속이는수단으로웹사이트변조와같은일반적인공격형태에서악성코드를배포하는형태로다각화되고있음 http://moonslab.com/732 46 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 3 장. 보안현황및침해사고동향 제 2 절 웹보안침해사고사례 대규모 SQL Injection 공격 중국발대규모 SQL Injection 공격으로 21 만개홈페이지감염 2009년 8월말대규모 SQL Injection 공격이발생하여 21만개홈페이지가감염되었으며, 공격을주도한 IP는중국발로확인됨 기존공격형태에서는전세계에걸쳐다양한 IP 주소들로부터공격이진행되었으나, 이번공격의경우는 IP가중국으로국한된점이특이한사항임 공격방식은다음의두단계로진행되었으며, 이를통해 125만번의악성코드다운로드가이루어짐 - 자동화된공격도구를이용하여 SQL Injection 공격을수행함으로써취약점이있는웹서버에 iframe 형태의코드를자동삽입함 - 인터넷이용자가감염된홈페이지를방문하면, 악성코드가이용자컴퓨터에서실행되어감염됨 자동화된공격도구를이용함으로써 1,000개이상의봇넷이새롭게구축될수있는것을보여준중요한사례임 제 3 장 http://moonslab.com/735 피싱공격및프로그램오류를통한웹메일해킹및피해사고 핫메일, 구글, 야후등웹메일해킹 2009년 10월 1만명의윈도우라이브핫메일 (Windows Live Hotmail) 아이디및비밀번호가인터넷에유출되는사고가발생함 같은기간구글의지메일과야후메일이용자의계정정보도피싱공격을통해유출되는사고가발생함 이사고는피싱공격으로발생하였으며, 이로인해제 3의웹사이트에핫메일이용자의계정정보가공개됨 http://www.idg.co.kr/newscenter/common/newcommonview.do?newsid=59621 47
해킹된핫메일계정, 온라인쇼핑사기에이용됨 웹에유출된핫메일계정정보가가짜중국전자제품쇼핑몰의사기행각에사용됨 이계정을이용해스팸메일이발송되었으며, 메시지는중국의가짜전자제품쇼핑사이트로연결되는데, 이사이트의도메인은합법적인것으로보이지만, 실제 1,200달러 ~1,500달러인맥북프로를 700달러에제공하는등가짜쇼핑사이트임 피해자들은도용된이메일계정을통해친구로부터이메일을수신함으로써쇼핑몰에신뢰를가지고이용하였으며, 사이트이용시추가적으로신용카드번호, 집주소등물품구매를위한추가적인개인정보를제공하여그피해가증가함 http://www.idg.co.kr/review/detail.do?articleid=4851 국내최대웹메일서비스의대규모개인정보유출사고발생 2008년 7월국내최대웹메일사이트업그레이드과정에서 43만여명의이메일제목등이노출되는사고가발생함 이사례는웹메일로그인시다른사람의메일내용이무작위로노출되었으며, 피해확산을위해사고발생시작한시간후에긴급하게서비스를정지하여한시간후서비스오류를복구함 그러나이메일제목과내용, 첨부파일다운로드노출등수백건의피해사례가접수되는등개인정보유출사태가심각한상황에이름 이사고는해킹에의한것이아니라프로그램버그로인한것이지만, 웹사이트개발및수정시오류로정보유출이발생한대표적인사례임 http://www.mediatoday.co.kr/news/articleview.html?idxno=71090 7 7 DDoS 공격 국내주요웹사이트해킹으로 DDoS 공격 48 2009년 7월 4일미국주요사이트에대한 DDoS 공격을시작으로우리나라는 7월 7일네이버메일서비스를시작으로국내주요사이트에대한 DDoS 공격이발생함 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 3 장. 보안현황및침해사고동향 이 DDoS 공격은해커가보안취약점이존재하는다수의웹사이트를해킹하여악성코드를삽입함으로써이웹사이트를방문한이용자 PC 가악성코드에감염되어수행됨 이사례를기존 DDoS 공격과비교할때, 다음과같은차이가있음 - 기존의 DDoS 공격은악성코드에감염된 PC 들이명령제어서버로부터공격목표를전달받아공격을수행하였으나, 이사례에서는감염시생성되는공격목표설정파일을기반으로자동으로공격이수행됨 - 다양한형태의변종악성코드가출현하여웹사이트로부터지속적으로악성코드감염이이루어졌으며, 그종류로는악성코드배포를위한스팸메일자동발송기능, 감염된 PC 의로컬하드디스크를파괴하는기능등다양한기능이포함됨 트위터등소셜네트워크사이트해킹공격 제 3 장 트위터, 지속적인해킹공격으로인한침해사고발생 2009년 1월오바마미국대통령, 팝스타브리트니스피어스, CNN 앵커릭산체스, 폭스TV 뉴스진행자빌오라일리등유명인사 33명의트위터계정해킹피해발생 2009년 5월이메일사용자신상정보를이용해비밀번호를추측해이메일에접속하는매우간단한방법으로트위터의공동창업자인에번윌리엄스의부인이해킹공격을당함 2009년 6월트위터직원의개인이메일해킹으로직원온라인문서시스템인 구글앱스 계정유출사고발생 - 사고의원인은트위터의보안수준이다른인터넷사이트보다취약한것으로클라우드컴퓨팅환경의보안문제로이슈화되고있음 - 클라우드컴퓨팅은 IT 관련기능을서비스형태로제공하는인터넷기반컴퓨팅으로소프트웨어를내부에설치하지않고, 원격지에서인터넷을통해이용하고저장할수있게하는것이나, 이때원격지접속을위한계정정보유출에서보안취약점문제가대두되고있음 2009년 8월 6일 DDoS 공격으로웹사이트가완전차단되어 5시간동안서비스중단사고발생 2009년 8월 11 일두차례의 DDoS 공격으로약 30분동안서비스중단 49
트위터등소셜네트워크사이트가악성코드유포에활용됨 트위터는수차례웜공격을받았으며, 마이스페이스나페이스북등의다른소셜네트워크사이트등도악성프로그램을유포하는데악용되고있음 2007년미국라스베이거스에서열린세계최대의해커행사 데프콘 (Defcon) 에서마이스페이스의보안취약점을이용하여각개인의홈페이지에악성코드를삽입하고, 홈페이지의모든내용및방문자의개인정보를획득하는해킹사례발표 악성프로그램의유포는대부분의경우, 감염된친구의포스트클릭또는해커가명의를도용하여의도적으로올린포스트를클릭함으로써발생함 감염된친구의포스트클릭을통한사례는감염된컴퓨터를가진사용자가소셜네트워크사이트에서악성코드가있는위치로링크를연결 ( 포스팅 ) 하면, 사용자들은친구의컴퓨터가감염되었다는사실을못하는상태에서친구의포스트를클릭함으로써발생함 해커에의한유포는해커가여러개의트위터아이디를해킹하여악성코드를몰래설치하는글을띄우면, 이를자신의친구가올린글이라고생각한트위터이용자들이해당글을아무의심없이클릭하여악성코드에감염되며, 악성코드에감염된 PC 는해커가추가로올린글을자동으로수신하면서인터넷뱅킹암호를빼내는또다른악성코드를실행시킬수있음 트위터가봇넷의컨트롤서버역할사례발견 2009년 9월트위터가악성코드에감염된 PC 의네트워크인봇넷의컨트롤서버역할을하는사례가발견됨 이사례는트위터 RSS 기능을봇넷컨트롤에사용하는사례로해커는명령어를 BASE64 코드형태로인코딩하여자신이생성한트위터계정에올려두고, 악성코드에감염된시스템들은해당트위터계정에 RSS 형태로접근해명령어를전달받음 기존에는봇넷컨트롤서버를구축하기위해다른서버를해킹하는사례가많았으나이번에합법적인트위터계정을이용해봇넷을컨트롤했다는점이특징임 RSS는뉴스나블로그에서새게시물정보를확인할수있도록하는기능으로, 손쉽게메시지를 50 전달받을수있는방식을제공하는소셜네트워크사이트, 블로그사이트등에서널리이용되므로이사이트들이봇넷컨트롤에이용될수있는위험이발견된사례임 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 3 장. 보안현황및침해사고동향 국내최대온라인오픈마켓사이트개인정보유출 이용자 1,081만명의개인정보유출 2009년 2월국내최대온라인오픈마켓사이트해킹으로 1,081만명의개인정보가유출됨 유출된개인정보는이름, 전화번호, 주소, ID, 주민등록번호등이며, 그중 100만명은계좌번호까지유출되어단일웹사이트에서발생한국내최대의보안사고임 http://www.itdaily.kr/news/articleview.html?idxno=12899 CSRF 보안취약점을이용한공격으로정보유출발생 이사고는크로스사이트요청변조 (CSRF) 취약점을이용하여중국해커가공격하여발생한대표적인사례임 중국해커는직접서버를공격하지않고, 사이트운영진들을대상으로악성코드를첨부한메일을대량으로유포하였으며, 운영자중한명이메일을확인하는순간계정정보를획득하고, 이를이용하여서버에로그인하였음 제 3 장 블로그및미니홈피에의한침해사고 메타블로그해킹을통한악성코드유포 2007년 10월국내유명메타블로그의메인화면이해커의공격으로변조되어보안취약점이존재하는불특정다수의접속자들에게신종악성코드를유포하도록하는코드가삽입된사고가발생함 유포된악성코드는특정온라인게임사용자들의개인정보를유출시키도록하는기능을가진게임계정도용목적의트로이목마로확인됨 메타블로그는블로그종류가도구에상관없이 RSS를이용해수많은블로그의글들을모아주는블로그허브사이트로, 메타블로그에등록된사용자는직접접속을하지않아도다양한링크등을통해쉽게글을볼수있으므로수많은이용자가동시에접속을하고있으므로악성코드전파의위험이매우높으므로각별한주의가필요하다는것을확인시켜준사례임 51
스플로그 (Splog) 로인한침해사고 최근블로그가 1인미디어로자리를잡게되자이를광고나스파이웨어배포수단으로악용하는스플로그가등장함 인터넷이용자의자율성을악용하여블로그를이용해스파이웨어를확산시킨대표적인사례임 블로그, 미니홈피해킹을통한침해사고증가 최근유명인의블로그, 미니홈피해킹을통해프라이버시를침해하는사고가급증하고있는데, 이는비밀번호유추등로그인접속시도공격을통해발생 또한국내유명사이트의미니홈피는불법방문자추적기설치증가로인한많은침해사고가발생하고있음 불법방문자추적기는자신의미니홈피를방문한타인의접속정보를획득하는것으로이는크로스사이트스크립트 (XSS) 취약점을이용해텍스트나이미지링크에악성코드를심는방식임 - 특히불법방문자추적기설치시불법프로그램제공자에게본인의 ID와패스워드등웹사이트계정정보를전달하여이를통한금전적피해사례가발생함 블로그가악성코드의숙주서버로악용되는사례발생 야후재팬의개인블로그사이트가악성코드숙주서버로이용된사례가발견됨 또한구글홈페이지서비스가중국발트로이목마은닉사이트로악용된사례가발견됨 - 구글페이지계정이악성코드를숨겨놓는숙주서버로악용되는사례가지속적으로발견됨 - 특히그중한가지사례는악성코드가국내온라인게임계정을훔쳐가는트로이목마로국내게임사이트해킹을통해유포된것임 국내대형포털사이트와사진인화사이트의개인블로그도동일한악성코드숙주서버로악용되는피해사례가발생함 http://www.mt.co.kr/view/mtview.php?type=1&no=2006102211593375562&outlink=1 52 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
보안취약점및대응대책 제 4 장 제 1 절 Web 1.0 보안취약점및대책 제 2 절 Web 2.0 보안취약점및대책 제 3 절개인정보보호관련쟁점및대책
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장 보안취약점및대응대책 제 1 절 Web 1.0 보안취약점및대책 1. 크로스사이트스크립트 (XSS) 취약점 웹서버는홈페이지이용자가홈페이지에게시한악성스크립트에의해서다른홈페이지이용자 PC 가감염되지않도록구축되어야함 홈페이지웹서버는홈페이지이용자가입력한데이터를동적으로생성된홈페이지에포함되어사용자에게재전송할때, 필터링을해야함 홈페이지는홈페이지이용자가게시한스크립트명령어가게시물열람시브라우저에서실행되지않도록구축되어야함 2007,OWASPTop10 (OWASP) 의 크로스사이트스크립팅 (XSS) 항목에명시됨 2010,OWASPTop10RC1 (OWASP) 의 크로스사이트스크립팅 (XSS) 항목에명시됨 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 크로스사이트스크립트 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 악의적인명령실행 (XSS) 항목에명시됨 보호대책 스크립트필터링모듈적용 홈페이지이용자가입력한데이터를필터링하여, 스크립트명령어에관련된특수문자를실행되지않는문자열형태로변환하여등록함 54 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 담당자체크사항 크로스사이트스크립팅기능확인 홈페이지게시판의글쓰기메뉴에서글쓰기에테스트용스크립트를입력하여실행한후, 열람시팝업창이나타나는지확인 팝업창이나타나면크로스사이트스크립트취약점이존재하는것임 스크립트필터링모듈적용 웹서버에입력되는데이터중스크립트명령어입력시스크립트에포함된특수문자를실행되지않는문자열형태로자동변환하도록하는스크립트필터링모듈을적용함 2. 인젝션취약점 웹서버는 ID/PW 를모르는이용자가비정상적인방법으로홈페이지에로그인하는경우가발생하지않도록구축되어야함 웹서버는홈페이지이용자가입력한데이터에포함된명령어나질의문이인터프리터로그대로전달되어실행되지않도록하여야함 제 4 장 2007,OWASPTop10 (OWASP) 의 인젝션취약점 항목에명시됨 2010,OWASPTop10RC1 (OWASP) 의 인젝션취약점 항목에명시됨 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 SQL 인젝션 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 악의적인명령어주입공격 (SQL Injection) 항목에명시됨 55
보호대책 인젝션공격가능성점검 데이터베이스등웹서버에연동되어있는백엔드시스템의제어를위한명령어들을점검하여홈페이지이용자의입력에의해인젝션공격이발생할수있는위치확인 명령어필터링모듈설치 홈페이지이용자가웹서버에데이터입력시명령어에포함되는특수문자가포함되어있는지를검사하여허용되지않는문자열이나문자가포함된경우는에러로처리함 필터링에따른에러처리시에러메시지를홈페이지이용자에게보여주지않도록유의함 데이터베이스등백엔드시스템권한제어 데이터베이스등웹서버에연동되어있는백엔드시스템의접근권한을분리하여인젝션공격을통해서시스템전체에대한제어권을획득하지못하도록설정함 담당자체크사항 웹서버및데이터베이스등백엔드시스템운영구조정비 홈페이지이용자입력을통해인젝션이발생할수있는백엔드시스템확인 데이터베이스등웹서버에연동되어있는백엔드시스템은각기능별로분리하여반드시필요한최소한의이용자만이접근할수있도록권한제어수정 명령어필터링을적용하여웹서버정비 웹서버에발생할수있는인젝션명령어를오류로처리하는기능이동작하되오류메시지는홈페이지이용자에게제공하지않도록웹서버를정비함 56 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 3. 부적절한파라메터허용취약점 홈페이지가제공하는모든서비스영역은정상적인접속에의해서만접근할수있도록해야함 홈페이지웹서버는홈페이지이용자가홈페이지 URL 의파라메터를변조하여시도하는모든비정상적인접속시도를차단해야함 2007, OWASP Top 10 (OWASP) 의 불안전한직접객체참조 항목에명시됨 2010, OWASP Top 10 RC1 (OWASP) 의 불안전한직접객체참조 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 부적절한파라메터 항목에명시됨 보호대책 입력값검증모듈설치 웹서버에입력되는파라메터를검증하여허용된파라메터만을받아들이도록입력값을검증하는컴포넌트나라이브러리설치 제 4 장 웹침입차단시스템구축 웹침입차단시스템 (Firewall) 은입력값검증기능을제공하고있으며, 해당홈페이지에적합한파라메터허용규칙을설정하여구축 담당자체크사항 입력값검증기준마련 입력값검증기준은상세코드분석을통해 HTTP 요청에서정보를받아들이는모든함수에대한조사를기반으로작성 57
입력값검증기준의활용 입력값검증기준을바탕으로다음에관한파라메터검증기준을작성한후, 입력값검증컴포넌트나라이브러리를웹서버에설치 - 데이터유형 ( 문자열, 정수형, 실수형등 ) - 허용하는문자집합 - 문자의최대 / 최소길이 - Null 값의허용여부 - 반드시필요한파라메터 - 중복허용여부 - 숫자의범위 - 타당한데이터목록 - 타당한패턴 웹침입차단시스템구축 앞의입력값검증기준을활용하여해당홈페이지에적합한파라메터허용규칙을설정하여웹침입차단시스템구축 4. 부적절한계정및세션관리취약점 웹서버는홈페이지이용자의계정정보가유출되어불법적으로사용되지않도록구축되어야함 홈페이지는로그인후, 홈페이지이용자가로그아웃하기전까지홈페이지이용자정보를유지하도록하는기능및해당정보가악용되어불법적으로사용되지않도록구축되어야함 58 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 2007, OWASP Top 10 (OWASP) 의 취약한인증과세션관리 항목에명시됨 2010, OWASP Top 10 RC1 (OWASP) 의 취약한인증과세션관리 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 취약한세션관리 항목에명시됨 보호대책 쿠키정보암호화 SSL 와같은기술을이용하여쿠키정보를암호화 세션정보의사용 브라우저에저장되는쿠키정보가아닌웹서버에일부저장하여상호대조하는방식인세션방식을웹서버에적용하여운영함 담당자체크사항 쿠키암호화여부점검 로그인후브라우저주소창에 javascript:document.cookie; 을입력하여접속시도시나타나는내용이암호화되어있는지점검 제 4 장 보안서버구축 로그인접속정보전체를암호화하기위해홈페이지에보안서버구축 세션정보를활용하도록웹서버재구축 쿠키대신세션정보를이용하도록웹서버재구축 세션정보는비활성화후일정시간경과시자동로그아웃되도록타임아웃을설정해야함 59
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 5. 디렉토리리스팅취약점 웹서버는홈페이지이용자가홈페이지에대한비정상적인이용을통해서웹서버에저장된디렉토리및파일에접근하지못하도록구축되어야함 웹서버는권한을갖는이용자만이접근하도록허용하고자하는디렉토리및파일에대해서어떤한경우라도인증을거치지않으면, 접근하지못하도록구축되어야함 2010, OWASP Top 10 RC1 (OWASP) 의 보안설정상의오류 항목에명시됨 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 디렉토리리스팅 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 부적절한환경설정 항목에명시됨. 보호대책 환경설정변경 디렉토리리스팅기능이동작되지않도록웹서버의환경설정을변경함 담당자체크사항 디렉토리리스팅취약점진단 홈페이지주소에포함된모든디렉토리이름을대상으로브라우저주소창에서디렉토리까지포함된해당홈페이지주소및맨뒤에 / 를붙여서접속을시도함 접속결과페이지가존재하지않는경우는디렉토리리스팅취약점이존재하지않음 환경설정변경 디렉토리리스팅취약점을발견하면웹서버의환경설정을변경함 60 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 디렉토리리스팅취약점의제거방법은운영체계에따라다르며, Windows OS 서버는 인터넷서비스관리자 ( 혹은인터넷정보서비스 ) 의속성에서 디렉토리검색 의체크박스를해지한후저장함 Linux 또는 Unix OS의웹서버에서디렉토리리스팅취약점을제거하기위해서는서버에저장된 httpd.conf 파일을열어서 Options 뒤에단어 Indexes 를삭제한후파일을저장하여데몬을다시띄움 6. 접근통제취약점 홈페이지에서특정이용자들에게만접근할수있도록허가해야하는웹콘텐츠나기능등의영역에대해서는접근통제가필요함 특히관리자페이지는웹서비스사용자나데이터, 콘텐츠를손쉽게관리하기위한목적으로다양한기능과권한을갖고있고, 이는홈페이지운영에매우중요한역할을하고있으므로일반사용자가인증을통과하지못하도록해야할뿐아니라, 관리자로그인페이지자체를볼수없도록해야함 2007, OWASP Top 10 (OWASP) 의 URL 접근통제실패 항목에명시됨 2010, OWASP Top 10 RC1 (OWASP) 의 URL 접근통제실패 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 접근통제 항목에명시됨 제 4 장 보호대책 관리자로그인페이지주소정비 관리자로그인페이지주소는일반사용자가유추하기어려운이름으로변경 관리자아이디 / 패스워드변경및관리 관리자로그인페이지에서로그인을위한아이디 / 패스워드는일반사용자가유추하기어려운형태로변경 61
아이디 / 패스워드는모두문자와숫자의조합으로구성하며, 특정단어가포함되지않도록구성 특히관리자로그인을위한패스워드는수시로변경하여관리 관리자페이지의접근제한설정 관리자페이지에접근할수있는 IP 를지정하여 IP 레벨의접근권한설정 관리자페이지보안운용 관리자페이지에대한접근은 SSL 등암호화를적용하여보안서버로구성 외부에서의관리자페이지접근이필요한경우에는 VPN 운용 담당자체크사항 유추에의한관리자로그인페이지접근가능성점검 관리자로그인페이지주소가홈페이지주소를바탕으로유추가능한지점검 특히, 관리자로그인페이지주소에 admin, administration, manager, system 등유추가쉬운일반적인단어가포함되었는지점검 점검후유추가능한주소인경우, 유추가어려운주소로관리자로그인페이지주소변경 관리자아이디및패스워드확인 관리자아이디와패스워드가문자와숫자의조합으로구성되었고, 특정단어가포함되어있지않은지확인 위의사항확인후관리자아이디와패스워드가특정단어가포함되지않은문자와숫자의조합으로구성되도록관리 62 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 관리자페이지접근제한확인 검색엔진을이용하여검색시검색결과중관리자페이지포함여부확인 외부의 PC 에서관리자페이지에대한접근시도수행 관리자페이지에대한접근시도는고정 IP 및유동 IP 를사용하는네트워크환경각각에대해서수시로수행 관리자페이지보안운용강구 관리자페이지를포함한홈페이지에대한보안서버구축 외부에서관리자페이지접근이필요한경우가상사설망 (VPN) 구축 TIP 공공기관홈페이지의보안서버구축확대 보급을위해행정기관과교육기관을대상으로 SSL 인증서를무료발급하고있으며, 행정기관은지역정보개발원, 교육기관은한국교육학술정보원에서발급하고있음 7. 파일다운로드취약점 제 4 장 웹서버는웹서버내의중요파일이인증우회를통해다운로드되지않도록구축되어야함 웹서버는이용자가홈페이지주소를바탕으로유추하여인증절차없이웹서버에저장된중요한파일을다운로드받을수없도록안전하게구축되어야함 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 파일다운로드 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 다운로드 항목에명시됨 63
보호대책 웹서버의다운로드기능수정 다운로드가능한디렉토리를지정하고, 그외에는파일다운로드가불가능하도록웹서버수정 파일다운로드필터링모듈설치 홈페이지이용자의파일다운로드시도시, 불법적인다운로드시도로판단되는홈페이지주소를 필터링하는모듈을웹서버에설치함 담당자체크사항 파일다운로드취약점진단 홈페이지가파일다운로드기능이존재하는지를파악하고, 파일다운로드기능이존재하지않으면, 취약점이존재하지않음을인지함 홈페이지가파일다운로드기능이있는경우, 다운로드를위한홈페이지주소가다운로드스크립트를사용하는지를확인하고, 다운로드스크립트를사용하지않으면, 취약점이존재하지않음을인지함 홈페이지가파일다운로드기능을가지고있고, 다운로드를위한홈페이지주소가다운로드스크립트를사용하면, 스크립트에사용된파라메터를다양하게변경하면서다운로드를시도함 파일다운로드필터링모듈설치 홈페이지이용자의파일다운로드시도시, 홈페이지이용자가입력한데이터가불법적인다운로드시도로판단되는홈페이지주소규칙을체크하여다운로드를차단하는필터링하는모듈을웹서버에설치함 64 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 8. 파일업로드취약점 웹서버는불법적인이용자에의해인증절차없이제어권한이상실되지않도록구축되어야함 웹서버는홈페이지이용자가원격으로실행시킨악성파일에의해서웹서버의권한이제어되지않도록구축되어야함 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 파일업로드 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 업로드 항목에명시됨 보호대책 웹서버의업로드기능수정 파일업로드를통한스크립트업로드및실행금지 업로드파일을위한전용디렉토리를별도로생성한후, 이디렉토리의실행설정제거 업로드되는첨부파일확장자필터링 제 4 장 담당자체크사항 파일업로드취약점진단 홈페이지가파일업로드기능이존재하는지를파악하고, 파일업로드기능이존재하지않으면, 취약점이존재하지않음을인지함 홈페이지가파일업로드기능을가지고있는게시판에서 php, php3, asp, jsp, cgi, inc, pl 등의확장자를갖는샘플파일업로드를시도 위의샘플파일중하나라도파일업로드가성공하면파일업로드취약점이존재함 65
파일업로드필터링모듈설치 파일업로드취약점이존재하는경우, 파일업로드게시판의파일업로드시 php, php3, asp, jsp, cgi, inc, pl 등의확장자는갖는파일은업로드를제한하는필터링모듈설치 웹서버의권한변경 웹서버구동은관리자권한이아닌일반이용자권한으로구동하도록하여외부이용자가첨부파일을이용하여권한을획득하여도최소한의권한만을허용하도록변경 66 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 4 장. 보안취약점및대응대책 < 참고 > 보안취약점안내 (OWASP, 국가정보원, KISA) ( 표 4-1) OWASP 보안취약점 ( OWASP Top 10, 2007) 항목 내용 1. 크로스사이트스크립트 (XSS) 악의적인공격자가타인의브라우저내에서스크립트를실행하도록허용함으로써타인의세션을가로채거나웹사이트를손상하거나웜을삽입하는등을가능하게하는취약점 2. 인젝션취약점 이용자가입력한데이터가명령어나질의문의일부분으로웹서버의데이터베이스나백엔드시스템의인터프리터에연결되어명령어실행및데이터변경이실행되는취약점 3. 악성파일실행 원격으로파일이실행되도록하여악의적인공격자가악성코드나데이터를삽입하도록허용하는취약점 4. 불안전한직접객체참조 파일, 디렉토리, 데이터베이스기록, 키등의내부구현객체에대한참조정보를 URL 또는폼파라메터로노출시켜서악의적인공격자가이를조작하여인증절차없이다른객체에접속할수있도록하는취약점 5. 크로스사이트변조요청 (CSRF) 6. 정보유출및부적절한오류처리 로그온을한이용자의브라우저가사전에승인된요청을웹서버에보내도록함으로써악의적인공격자가의도하는공격을수행하도록하는취약점웹서버가의도하지않게내부의구성정보, 내부의작업정보, 개인정보등을노출함으로써이를이용하여중요한정보를악의적인공격자가가져가거나보다심각한공격을할수있도록하는취약점 제 4 장 7. 취약한인증및세션관리 계정에대한증명과세션토큰이적절히보호되지못함으로인해패스워드나키, 세션쿠키, 다른토큰등을악용하여인증메커니즘을무력화시키거나다른사용자의아이디를추측할수있는취약점 8. 불안전한암호화저장 악의적인공격자라보호되지않은데이터를이용하여명의도용이나신용카드사기등의범죄를저지를수있도록하는취약점 9. 불안전한통신 통신상의오류로중요한정보가암호화되지않아서악의적으로데이터가이용될수있는취약점 10. URL 접속제한실패 URL 에대한직접적인접속으로인증절차없이중요한동작을하도록하는취약점 67
( 표 4-2) OWASP 보안취약점 ( OWASP Top 10(RC1), 2010) 항목 내용 1. 인젝션취약점 이용자가입력한데이터가명령어나질의문의일부분으로웹서버의데이터베이스나백엔드시스템의인터프리터에연결되어명령어실행및데이터변경이실행되는취약점 2. 크로스사이트스크립트 (XSS) 악의적인공격자가타인의브라우저내에서스크립트를실행하도록허용함으로써타인의세션을가로채거나웹사이트를손상하거나웜을삽입하는등을가능하게하는취약점 3. 취약한인증및세션관리 계정에대한증명과세션토큰이적절히보호되지못함으로인해패스워드나키, 세션쿠키, 다른토큰등을악용하여인증메커니즘을무력화시키거나다른사용자의아이디를추측할수있는취약점 4. 불안전한직접객체참조 파일, 디렉토리, 데이터베이스기록, 키등의내부구현객체에대한참조정보를 URL 또는폼파라메터로노출시켜서악의적인공격자가이를조작하여인증절차없이다른객체에접속할수있도록하는취약점 5. 크로스사이트변조요청 (CSRF) 로그온을한이용자의브라우저가사전에승인된요청을웹서버에보내도록함으로써악의적인공격자가의도하는공격을수행하도록하는취약점 6. 보안설정상의오류 어플리케이션, 프레임워크, 웹서버, 어플리케이션서버, 플랫폼에대해서적절한보안설정을유지하지않아발생되는취약점 7. URL 접속제한실패 URL 에대한직접적인접속으로인증절차없이중요한동작을하도록하는취약점 8. 검증되지않은 Redirect와 Forward 웹어플리케이션들은사용자를다른페이지와웹사이트들로빈번하게 Redirect, Forward 하는데올바르게검증하지않아피싱사이트나맬웨어사이트로 Redirect, Forward가발생되는취약점 9. 불안전한암호화저장 악의적인공격자라보호되지않은데이터를이용하여명의도용이나신용카드사기등의범죄를저지를수있도록하는취약점 10. 불안전한통신 통신상의오류로중요한정보가암호화되지않아서악의적으로데이터가이용될수있는취약점 68 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 4 장. 보안취약점및대응대책 ( 표 4-3) 국가정보원의보안취약점 ( 홈페이지보안관리매뉴얼, 2005) 항목 내용 1. 디렉토리리스팅 인터넷이용자에게웹서버내모든디렉토리및파일목록을보여주고, 파일의열람및저장도가능하게하는취약점 2. 파일다운로드 게시판등에저장된자료에대해위치지정에대한제한을부여하지않음으로써웹서버내의비공개자료를다운로드받을수있도록하는취약점 3. 크로스사이트스크립트 (XSS) 게시판에서글쓰기를하는경우, 입력내용중실행코드인스크립트의태그에대한필터링을하지않아서악의적인스크립트등록을통해일반이용자 PC로부터개인정보인쿠키등을유출할수있게하는취약점 4. 파일업로드 게시판에서첨부파일을업로드하는경우, 악성실행프로그램을업로드한후에홈페이지접속방식으로웹서버를원격제어할수있게하는취약점 5. WebDAV 6. 테크노트 WebDAV 도구를이용하여원격으로홈페이지디렉토리에임의의파일을삽입하여화면을변조할수있게하는취약점 ( 윈도우서버에해당 ) 국내에서개발되어무료배포중인게시판제작프로그램 테크노트 의일부 CGI 프로그램취약점을이용하여홈페이지접속방식으로웹서버변조및불법명령실행을할수있게하는취약점 ( 리눅스 / 유닉스, Perl지원윈도우서버 ) 제 4 장 7. 제로보드 국내에서개발되어무료배포중인게시판제작프로그램 제로보드 의일부 PHP 프로그램취약점을이용하여홈페이지접속방식으로웹서버변조및불법명령실행을할수있게하는취약점 ( 리눅스 / 유닉스, PHP지원윈도우서버 ) 8. SQL Injection 웹브라우저주소창, 이용자 ID 및패스워드입력화면등에서데이터베이스 SQL 문에이용되는문자기호입력을필터링하지않아서 SQL 조작에의한입력으로데이터베이스에인증절차없이접근하여자료를무단유출하거나변조할수있게하는취약점 69
( 표 4-4) KISA 의보안취약점 ( 홈페이지개발보안가이드, 2007) 항목 내용 1. 접근통제권한이없는이용자가특정경로를통해권한밖의홈페이지에접근할수있게하는취약점 2. 부적절한파라미터 HTTP 요청시인수를변조하여웹서버를불법적으로제어하는취약점 3. 취약한세션관리쿠키변조에의해불법적인인증을수행하여웹서버에접근하는취약점 4. 악의적인명령실행 (XSS) 게시판에서글쓰기를하는경우, 입력내용중실행코드인스크립트의태그에대한필터링을하지않아서악의적인스크립트등록을통해일반이용자 PC 로부터개인정보인쿠키등을유출할수있게하는취약점 5. 버퍼오버플로우 지정된버퍼의크기보다큰데이터를저장함으로써실행오류를발생시키고이를이용하여웹어플리케이션에조작한입력값을보내어웹서버에접근하는취약점 6. 악의적인명령어주입공격 (SQL Injection) 웹브라우저주소창, 이용자 ID 및패스워드입력화면등에서데이터베이스 SQL 문에이용되는문자기호입력을필터링하지않아서 SQL 조작에의한입력으로데이터베이스에인증절차없이접근하여자료를무단유출하거나변조할수있게하는취약점 7. 업로드 게시판에서첨부파일을업로드하는경우, 악성실행프로그램을업로드한후에홈페이지접속방식으로웹서버를원격제어할수있게하는취약점 8. 다운로드 게시판등에저장된자료에대해위치지정에대한제한을부여하지않음으로써웹서버내의비공개자료를다운로드받을수있도록하는취약점 9. 개발보안관리 개발단계에서시스템운용에관한보안가이드라인을수립하고이에따라개발을진행하지않아발생하는취약점 10. 부적절한환경설정 디렉토리리스팅과같이서버의설정을잘못하여외부자가중요한파일정보에접근할수있도록하는취약점 70 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 제 2 절 Web 2.0 보안취약점및대책 1. Web 2.0 크로스사이트스크립트 (XSS) 취약점 웹서버는홈페이지이용자가홈페이지에게시한악성스크립트에의해서다른홈페이지이용자 PC 가감염되지않도록구축되어야함 홈페이지웹서버는홈페이지이용자가입력한데이터를동적으로생성된홈페이지에포함하여사용자에게재전송할때, AJAX 등스크립트형데이터를필터링해야함 홈페이지는홈페이지이용자가게시한 AJAX 등의스크립트명령어가게시물열람시브라우저에서실행되지않도록구축되어야함 취약점설명 일반적으로 XSS 는특정웹사이트의악성스크립트가피해자의브라우저에실행되어정보를유출시킬수있는취약점을가리킴. Web 2.0 환경에서는 AJAX 를사용하면서웹사이트에서다양한스크립트를이용하고있으며, 이에따라 XSS 취약점이발생할가능성이증가함. 특히최근에는 AJAX 로구성된웹사이트에서 XSS 취약점을이용하여 Yamanner, Samy 등의웜공격이발생한사례발생 제 4 장 AJAX 등의 Web 2.0 기술은자동툴을통해 XSS 탐지하는것을훨씬더힘들게함 보호대책 스크립트필터링모듈적용 홈페이지이용자가입력한데이터를필터링하여, AJAX 등스크립트명령어와관련된특수문자를실행되지않는문자열형태로변환하여등록함 71
담당자체크사항 크로스사이트스크립트 (XSS) 취약점진단 홈페이지게시판의글쓰기메뉴에서글쓰기영역에테스트용스크립트를입력하여실행한후, 열람시팝업창이나타나는지확인 팝업창이나타나면크로스사이트스크립트취약점이존재하는것임 스크립트필터링모듈적용 웹서버에입력되는데이터중스크립트명령어입력시 AJAX 등스크립트에포함된특수문자를 실행되지않는문자열형태로자동변환하도록하는스크립트필터링모듈을적용함 웹서버의안전성체크 웹서버가크로스사이트스트립트취약점에대해안전한지모의해킹을통해검증 게시판의글쓰기메뉴에서스크립트입력후등록시팝업창이나타나지않는지확인 홈페이지내에관리자가의도하지않은불필요한스크립트가포함되었는지를상시점검하고, 불필요한스크립트는삭제 2. Web 2.0 인젝션취약점 웹서버는홈페이지이용자가입력한데이터에포함된명령어나질의문이인터프리터로그대로전달되어실행되지않도록하여야함 Web 2.0 은 XML injection 공격, XPath injection 공격, JSON injection 공격, RSS 피드인젝션공격등다양한형태의새로운공격에많은취약점에노출되어있음 72 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 취약점설명 웹서비스와 AJAX 등 XML 을이용하는기술은 Web 2.0 어플리케이션의핵심적인기술요소임. Web 2.0 에서의대표적인인젝션공격가운데하나로 RSS 피드인젝션공격을들수있음. RSS(Really Simple Syndication) 은각사이트에서제공하는매우간단한배급 (RSS) 주소를 RSS 리더에등록만해두면사용자가직접방문하지않아도자동으로정보가전달되어서손쉽게정보를확인할수있는기술로, 뉴스, 날씨, 쇼핑, 블로그등업데이트가자주일어나는사이트에서흔히이용됨. RSS 피드인젝션공격은 RSS 피드를제공하는게시판등에스크립트를삽입하여해당페이지를구독하는사용자를대상으로악성코드를유포하는공격임 보호대책 인젝션공격가능성점검 데이터베이스등웹서버에연동되어있는백엔드시스템의제어를위한명령어들을점검하여홈페이지이용자의입력에의해인젝션공격이발생할수있는위치확인 제 4 장 명령어필터링모듈설치 홈페이지이용자가웹서버에데이터입력시명령어에포함되는특수문자가포함되어있는지를검사하여허용되지않는문자열이나문자가포함된경우는에러로처리함 필터링에따른에러처리시에러메시지를홈페이지이용자에게보여주지않도록유의함 데이터베이스등백엔드시스템권한제어 데이터베이스등웹서버에연동되어있는백엔드시스템의접근권한을분리하여인젝션공격을통해서시스템전체에대한제어권을획득하지못하도록설정함 73
클라이언트사이드콤포넌트에대한취약점점검 페이지를브라우저에서로드한뒤에사용된스크립트의취약점을점검 (Web 2.0 클라이언트사이 드콤포넌트취약점스캐너도구이용 ) 스크립트필터링이가능한웹침입차단시스템설치 SQL 인젝션등전통적인인젝션공격에대한방어가가능한웹침입차단시스템설치 담당자체크사항 웹서버및데이터베이스등백엔드시스템운영구조정비 홈페이지이용자입력을통해인젝션이발생할수있는백엔드시스템확인 데이터베이스등웹서버에연동되어있는백엔드시스템은각기능별로분리하여반드시필요한최소한의이용자만이접근할수있도록권한제어수정 명령어필터링을적용하여웹서버정비 웹서버에발생할수있는인젝션명령어를오류로처리하는기능이동작하되오류메시지는 홈페이지이용자에게제공하지않도록웹서버를정비함 로그인폼등폼페이지점검 아이디입력란에 문자열을입력해서오류페이지가발생하는지점검 아이디검사를우회할수있는문자열을입력해서우회가능한지점검 패스워드에대해서위와동일한방법으로점검 74 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
1 2 3 4 제 4 장. 보안취약점및대응대책 보안솔루션도입확인 침입차단시스템등의보안솔루션이도입되어있는지확인 도입된솔루션에최신업데이트혹은보안패치가반영되었는지확인 도입된솔루션이네트워크환경, 최근보고된취약점등을반영하여적절하게설정되었는지확인 < 참고 > 인젝션 (Injection) 공격의예 <RSS 피드인젝션공격방법 > 공격자는제작한악성코드를유포할홈페이지에악성코드를업로드함 RSS 피드를제공하는게시판에인젝션을위한새로운글을작성하고, 스크립트를인젝션할지점을선택함 RSS 리더로업데이트된 RSS 피드를받게되면사용자는악의적으로구축된홈페이지에자동접속하게됨악의적인웹페이지에서사용자 PC 로악성코드가설치되어공격자는다양한공격을시도할수있음 ( 그림 4-1) RSS 피드인젝션공격 3. 인증관리취약점 Web 2.0 어플리케이션에서다루는콘텐츠들은많은사용자들에의해서만들어지고관리되기때문에관리자에의해서콘텐츠생성및관리가이루어지는기존환경에비해콘텐츠의신뢰성이떨어진다고할수있음 제 4 장 즉, 사용자들에의해서이루어지는콘텐츠의변경이전체시스템의신뢰성을떨어뜨리는결과를낳고있음 따라서 Web 2.0 서비스에있어서사용자인증의중요성은 Web 1.0 의경우보다더욱강조되어야하나, Web 2.0 서비스의특성상인증이중요성을간과하는경우가매우많음 75
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee????????? 패스워드취약점 취약점설명 Web 2.0 사이트에서는여러사용자들이콘텐츠를함께만들어가게되므로사이트에대한기여가많은사람들에게글, 파일등을업로드할수있도록전체사이트의관리권한을주는경우가빈번하게발생됨. 이경우사용자들이추측이매우쉬운패스워드를사용하거나웹사이트에서간단한패스워드힌트메커니즘을사용하는경우가빈번하게발생함. 특히패스워드힌트메커니즘은검색을통해온라인에서찾아낼수있는질문을이용하는경우가많으므로사용자가콘텐츠작성에기여가많은유명인일경우에는패스워드와관련된정보를더더욱쉽게찾아낼수있음 무차별대입공격 (brute force attack) Web 2.0 사이트에설치된로그인메커니즘이무차별대입공격에취약하다면공격자는이용자나관리자가사용하는패스워드에대한추측이쉬워짐. 이용자가가입후최초로패스워드를설정할때, 3~4 자의짧은패스워드허용하거나숫자로만이루어진패스워드를허용할경우제 3 자에의하여패스워드추측이용이해짐 평문패스워드 AJAX, 위젯, Mash-up 등을사용할때개발자의부주의에의해패스워드가평문그대로전송혹은웹사이트에서관리하지않는다른장소에저장될가능성이존재함. 이경우엔공격자가통신경로에서패스워드도청이용이해짐 Single-Sign-On Web 2.0 의개인화홈페이지, 데스크탑위젯환경등의모든위젯이나어플리케이션에각각로그인하는일은사용자에게불편함을초래. 이런불편함을줄이기위해데스크탑이나네트워크에사용자패스워드 ( 또는인증서등신원을증명할수있는수단 ) 를저장해놓고한위젯이나어플리케이션에로그인하면다른곳에서는별도로로그인할필요가없도록하는 Single-Sign-On 기술이보편적으로사용되고있음이러한기술을통해이용의편리함을증가할수있지만, 패스워드가유출이되면이용자가이용하는모든어플리케이션에접근이가능해지므로패스워드를저장하는방식에따라서노출위험이더욱커지게됨 76 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 4 장. 보안취약점및대응대책 보호대책 관리자권한제한 별도의관리자계정을유지해야하며, 일반사용자에게관리자권한부여를제한 패스워드관리 패스워드에대한길이제한, 영문, 숫자, 특수기호혼합사용등가능한추측이어려운패스워드사용을유도 패스워드저장기능제공제한 패스워드의평문전송을제한하며, 가능하면 SSL/TLS 등의웹보안프로토콜을이용 인증메커니즘 공인인증서기반의인증메커니즘을도입 담당자체크사항 관리자 ID 및패스워드확인 제 4 장 관리자 ID로 admin, administrator 등추측이쉬운단어를사용하고있지않은지확인 관리자패스워드가문자, 숫자, 특수기호등을조합해서사용하고있는지확인 관리자패스워드가 8자이상인지확인 관리자패스워드가사전에나오는단어를포함하고있지않은지확인 관리자패스워드는일정주기내에변경되고있는지확인 관리자권한확인 관리자이외의사용자가웹사이트관리권한을가지고있지않은지확인 77
패스워드보호 SSL/TLS 을이용해서통신경로를보호하고있는지확인 < 참고 > 윈도우에서설정가능한패스워드정책예 패스워드의복잡성 : 패스워드를변경하거나새롭게만들때적용되는패스워드에대한요구사항 - 사용자의계정이름이나연속되는문자 2개를초과하는사용자전체이름의일부를포함하지않음 - 길이가최소한 6자이상이어야함 - 다음네가지범주중세가지의문자를포함해야함 영문대문자 (A - Z) 영문소문자 (a - z) 기본 10개숫자 (0-9) 알파벳이외의문자 ( 예 :!, $, #, %) 최근패스워드기억 : 패스워드변경시최근에사용한패스워드를다시사용하려는시도가있으면패스워드변경불가 최대사용기간 : 시스템에서사용자에게패스워드변경을요청할때까지패스워드를사용할수있는기간 ( 일 ) 을결정 최소패스워드길이 : 패스워드의길이를제한 최소패스워드사용기간 : 사용자가패스워드를변경할수있을때까지패스워드를사용해야하는기간 ( 일 ) 을결정 4. Web 2.0 크로스사이트요청변조 (CSRF) 취약점 웹서버는로그인한홈페이지이용자가의도한사항과다른요청을제 3 자가임의로할수없도록안전하게구축되어야함 웹서버는홈페이지이용자가요청한사항이적합한지를검증한후, 요청에대한응답을처리해야함 홈페이지는홈페이지이용자가게시한 AJAX 등스크립트명령어가게시물열람시브라우저에서실행되지않도록구축되어야함 78 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 취약점설명 웹어플리케이션은웹사이트이용자가인증후웹사이트를이용할때, 매번인증을요청하도록하지않고, 세션이나쿠키등의인증정보를활용함. CSRF 취약점은이를이용하여이용자가신뢰할수있는서비스에로그인한후, 악성코드를가지고있는다른웹사이트를방문할때, 악성코드에의해중요데이터가유출되는취약점임. Web 2.0 에서는 AJAX 등을통해다양한스크립트가웹사이트에활용되고있으므로이에따라 CSRF 보안취약점에대한위험도증가함 보호대책 임의의토큰적용 각각의트랜잭션에추정하기가어려운토큰을포함 담당자체크사항 크로스사이트스크립팅취약점진단 홈페이지게시판의글쓰기메뉴에서글쓰기영역에테스트용스크립트를입력하여실행한후, 열람시팝업창이나타나는지확인 팝업창이나타나면크로스사이트스크립트취약점이존재하는것임 제 4 장 임의의토큰의적용 임의의토큰은특별함수를이용하여각이용자별로방문하는페이지에대해추정하기어려운값이되도록추가적용 79
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 웹서버의위험요소제거 홈페이지이용자의중요한데이터는 GET 방식이아닌 POST 방식처리로변경 웹서버의안전성체크 웹서버가크로스사이트요청변조 (CSRF) 취약점에대해안전한지모의해킹을통해검증 홈페이지이용자의중요한데이터가 POST 방식으로처리되고있는지확인 5. 정보유출취약점 최근의 Web 2.0 을비롯한인터넷문화의발전은사생활과업무의경계를모호하게만들고있음 이에따라사용자의의도와다르게개인정보를비롯한중요정보가유출될위험이커지고있는실정임 특히사용자가정보유출에주의를기울여중요정보의유출이사용자본인에게서발생하지않는다하더라도소량의 중요하지않은정보 가모여져중요정보의유출로이어지는경우도발생할수있음 취약점설명 블로그, 정보공유사이트등과같은소셜네트워크의형태의사이트에서불특정다수의사용자가업로드한정보를통해다양한개인정보와업무관련정보가노출될수있음회사에서운영하는블로그에소개된직원들의프로파일정보를통해서회사의인적구성및업무능력을추측한다거나, 개인이운영하는블로그를통해서개인이속한회사에서최근추진하고있는프로젝트를알아내는등의정보유출이발생할수있음 80 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 4 장. 보안취약점및대응대책 보호대책 개인정보필터링 블로그, 게시판, 위키등에사용자가업로드한정보가운데개인의프라이버시를침해할수있는정보가포함되어있지않은지필터링수행 인트라넷보호 가상사설망 (VPN) 등을통해인트라넷과웹서버를분리함으로서내부정보의외부유출방지 정보보호교육실시 이메일, 회사정보등개인정보및주요정보를블로그등을통해서공개하지않도록정기적 / 비정기적인정보보호교육실시 기관 PC 를이용한개인블로그운영등업무외적인이용금지교육 담당자체크사항 개인정보필터링 제 4 장 개인정보필터링도구를이용하거나도구이용이불가능한환경에서는정기적 / 비정기적수작업을통해서개인정보의노출여부점검 개인정보취급방침고시 개인정보취급방침고시등을통해서개인정보유출에대한사용자경각심고취 네트워크구성점검 네트워크구성을확인하여내부네트워크가직접인터넷에연결되어있지는않은지확인 SSL/TLS 설치를통한통신경로보안성강화 81
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 6. 피싱 (Phishing) 피싱공격에서피해자는민감한정보의입력을요구하는이메일을받거나위장된사이트로접속되며, 피해자가입력한정보는공격자에게전달되게됨 피해자를위장사이트로유도하는데있어서정상사이트와거의동일하게작성함으로써사용자를속이는사회공학적인공격임 Web 2.0 의경우에매시업, 위젯등을이용하는서비스가활성화되고있음에따라위장사이트와정상사이트를구분해내는것이더욱어려움 취약점설명 피싱은사회공학적인공격으로예방교육을통해피싱에대한대처가개선될수있음. 즉, 도메인네임이나 SSL 인증서, 사고사례등을포함한예방교육시킴으로써피싱의피해를줄일수있음. 그러나 Web 2.0 에서는공격자가웹서비스를이용해서위장사이트를다른사이트에끼워넣는다거나, 위젯형태로제공할경우에는도메인네임이나 SSL 인증서와같이정상사이트를확인할수있는방법을감추는것으로위장할수있음 또한사용자의참여가많이이뤄지는 Web 2.0 서비스에서는 XSS 를이용한피싱공격이비교적용이함. 즉, 공격자가생성한콘텐츠가신뢰할수있는사이트로부터업로드된것처럼조작이가능함 보호대책 인증방식강화 패스워드를이용한인증뿐만아니라일회용패스워드 (OTP: One-Time Password), 인증서등추가적인강력한인증방식적용 82 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
제 4 장. 보안취약점및대응대책 ( 그림 4-2) OTP 적용 SSL/TLS 사용 특히주요한사이트라면 SSL 이나 TLS 를사용하도록함 위젯등의 Web 2.0 어플리케이션에인증메커니즘적용 특히사용자 PC 로부터정보를수집하는위젯의경우, 위젯사용자를인증하는메커니즘을적용 제 4 장 담당자체크사항 SSL/TLS 확인 HTTPS로점검사이트에접근하여 SSL/TLS가정상적으로동작하는지확인함 유효기간만료등서버인증서의상태를확인함 위젯인증확인 제공하는위젯과의통신에서위젯인증이적용되고있는지확인함 83
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 7. WSDL 스캐닝 자동으로생성되고공개되는 WSDL 파일에의해의도하지않은웹서비스에대한정보가유출되지않도록점검해야함 취약점설명 WSDL(Web Services Definition Language) 은특정비즈니스가제공하는서비스를설명하고, 개인이나다른회사들이그러한서비스에전자적으로접근할수있는방법을제공하기위해사용되는 XML 기반의언어임웹서비스는 UDDI(universal description, discovery, and integration) 를통해서공개되나 UDDI 가아닌직접적으로웹서비스인터페이스를검색하면원치않은웹서비스정보들이유출될수있음 WSDL 파일은개발툴에의해자동으로생성되기때문에개발자는웹서비스에대한정보가유출될수있다는사실을알지못하는경우가않음 보호대책 WSDL 파일보호 WSDL 파일에대한접근제어 WSDL 파일에의해서공개되는인터페이스점검 담당자체크사항 WSDL 파일점검 WSDL 파일에의해서의도하지않은함수나 API 가공개되고있지않은지점검 84 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 8. 정보의신뢰성에관한취약점 Web 2.0 환경에서는매우많은다양한사용자가정보를공개하기때문에그정보들의신뢰성과무결성을확보하기가매우힘든편임 즉, 악의적인사용자는고의로잘못된정보를공개함으로써혼란을일으킬수있음 취약점설명 대표적인 Web 2.0 서비스형태가운데하나인위키피디아의경우, 글의작성및수정에대한자격이별도로존재하지않고누구나작성할수있음. 따라서전문적인내용부터상식에이르기까지방대한정보가쉽게모일수있는것이장점임. 반면, 부정확한정보가위키피디아를통해서쉽게퍼질수도있음미국의오바마대통령취임식기간동안 2명의상원의원이사망했다는잘못된뉴스가위키피디아를통해서전파된사례가있음 보호대책 글쓰기권한설정 제 4 장 글쓰기를위해서는로그인등의절차를따르도록함 웹사이트가입을위해서는찌그러진글자나숫자를가입폼에적어야하는캡챠 (Captcha) 를사용해서로봇으로가짜계정을만드는악성행위를방지 페이지변조탐지 페이지의변조를수동으로탐지하는데는한계가있음으로자동으로탐지가가능한시스템도입을고려 1 탐지시스템에서관리하는전체페이지에대해접속요청및수집 2 이전에수집하여저장하고있는페이지와비교하여위조또는변조여부를확인 3 페이지가위조또는변조된것으로판단될경우에는관리자 ( 모니터링센터 ) 에공지 85
( 그림 4-3) 웹페이지변조탐지시스템 담당자체크사항 게시판등에서사용자데이터확인 스팸데이터등이업로드되지않았는지수시로확인 전체적으로홈페이지수집후무결성점검 ( 위변조여부확인 ) 홈페이지무결성점검도구 ( 무결성탐지시스템 ) 사용 탐지시스템적용비용을고려하여수동점검을고려 홈페이지내용변경여부를수동으로점검 탐지시스템에의하여서비스제공품질이저하되고있지않은지점검 탐지시스템적용후홈페이지접속속도등성능점검 86 비정기적으로홈페이지접속속도등성능을점검하여사용자증가등특별한이유없이성능저하가발생하는지체크 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 9. 자동화취약점 Web 2.0 어플리케이션에의해서극대화된자동화된인터페이스제공은공격자에게도여러가지이점을제공 예를들어패스워드를알아내기위한무차별대입공격이나 CSRF 취약점을이용한공격, 대량의정보수집계정개시등이이에해당 취약점설명 대량의정보를자동으로배포하는것은 Web 2.0 자동화를이용한대표적인악성행위이며최근들어이러한악성행위를이메일스팸과비교하여웹스팸이라고부름검색엔진에서는웹사이트의인기도조사를위해서해당웹사이트를가리키고있는링크의개수를이용하는데, 무차별적으로링크를업로드하여웹사이트의인기도를높일수있음사용자의계정을자동으로생성함으로써공격자는 Web 2.0의주문형기능 (functionality-on-demand) 을남용할수있으며, 웹사이트에서특정작업을자동화함으로써공격자가이득을취할수도있음 보호대책 제 4 장 회원가입시인증절차강화 글쓰기, 구매등을위해서는로그인등의절차를따르도록함 웹사이트가입을위해서는찌그러진글자나숫자를가입폼에적어야하는캡챠 (Captcha) 를사용해서로봇으로가짜계정을만드는악성행위를방지함 담당자체크사항 회원가입절차확인 회원가입시자동으로정보입력이어렵게되어있는지확인하기위하여시스템에캡챠등의메커니즘이적용되어있는지또는공인인증서를이용하도록되어있는지등을확인함 87