최근 여러 매체를 통해 웹해킹에 대한 기사를 많이 접해 보셨을거라 생각 됩니다.
이전에도 웹해킹 이슈가 있었지만, 최근처럼 자동화된 툴을 이용해서 대량으로 웹해킹이 일어난 적은 없었던 것 같습니다.

 

웹해킹에서 가장 우려되는 것은 전통적인 보안 솔루션으로는 막을수 없다는 것이고, 웹 서비스는

누구든지 항상 접근이 되어야 하며, 웹해킹으로 웹페이지에 악성코드나 악성 프로그램 삽입이 되

었을 경우 해당 웹페이지에 접근하는 End User에게 피해가 돌아간다는 점입니다.

, 고객님의 웹 서비스를 이용하는 이용자까지 피해를 입게되어 이를 통해 이용자의 개인정보 유출의 원인이 되며, 옥션등과 같이 소송이나, 사이트의 신뢰를 떨어뜨려 사업에도 영향을 미칠수 있습니다.

최근에는 Database SQL-Injection을 통하여, <script src=http://악성코드사이트> 가 삽입되고 있습니다. 이 구문이 삽입된 게시물을 클릭한 이용자들은 패치여부에 따라 악성프로그램이 자동 설치되고 이를 통해 개인정보가 유출될 수 있습니다.

 

[최근 웹 해킹 관련 기사]

속수무책 ‘웹해킹’, 이용자 정보 노린다.

대량 SQL인젝션 공격 급증…국내사이트 감염증가!

중국 크래커들, 한국에 보복성 해킹공격 급증 주의

 


[공격 트랜드의 변화]

최근 해커들의 트렌드가 바뀌었습니다. 과거 실력을 자랑하거나, 목표 서버를 공격하기 위해 공격 지점을 숨기기 위해 다른 서버 시스템을 장악하던 해킹에서 금전을 요구할 목적으로 서비스를 방해하는 분산서비스거부공격(DDoS) 이나, 현금화 할 수 있는 개인정보 탈취로 바뀌었습니다.

                    <그림 1. 사이버 범죄 상품/서비스별 가격 자료출처:symantac>

 

 [방어 체계의 변화의 필요성]

서두에서 언급한 것과 같이 웹은 서비스를 위해서 모든 불특정 다수의 접근을 허용하고 있고, 사용자의 정보가 보관되어 있는 데이터베이스(DB)와 직접 혹은 간접적으로 연결되어 있습니다. 전통적인 방어 솔루션인 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS)은 가용성이 최우선인 웹서비스를 위해서 웹 서비스에 대한 탐지하고 있거나 일부만 탐지하고 있어, 웹 공격에 효과적으로 대응할 수 없습니다공격자들은 방화벽등의 보안솔루션으로 차단되어 있어 침투하기 어려운 시스템 자체를 공격하는것 보다는 개방되어 있는 웹에 대한 취약점에 대해 공격을 시도하게 되었고, 과거 보안을 고려하지 않고 개발 되어진 웹사이트들이 공격 대상이 되고 있으며, 현재 운영되고 있는 웹사이트의 상당수가 취약한것으로 확인되고 있습니다.

 

 

[개인정보보호법 강화로 인한 책임 증가]

5 22일 국회를 통과한 정보통신망법에 따르면, 개인정보보호법이 강화되어, 개인정보의 위탁, 해지한 고객정보 무단이용, 유출된 사실을 알고도 고객정보(DB)를 매입하여 마케팅에 활용하면 형사처벌(5년이하의 징역이나 5천만원 이하의 벌금), 최근 옥션의 경우처럼 기술적 보호조치를 제대로 이행하지 않아 개인정보가 침해되었을 경우 과태료 3천만원에, 개인정보 침해에 따른 책임으로 2년이하의 징역이나 1천만원 이하의 벌금을 받게 됩니다. (출처 : inews24.com 기사 참고)

 과거 개인정보의 무단이용, 고객정보(DB)의 매입 및 기술적 보호조치의 경우 미 이행에 따른 과태

료만 부과 되던 것이, 심하다 싶을 정도로 (형사 처벌) 강화 된 것이 눈에 띕니다.

 

 

[어떻게 대응할 것인가?]

가장 좋은 방법은 보안을 고려하여 웹사이트를 제작하는 것입니다.

웹사이트로 입력되는 모든 값들은 정상적이지 않은 값으로 생각하고 입력되는 모든 값들에 대해서 필터링 하는 것는 것입니다.

또한, 게시판에서는 html이 실행되지 않게 하는 등의 주의도 필요합니다.

하지만, 작은 사이트의 경우에는 가능할지 모르지만, 어느정도 규모가 있는 웹사이트의 경우 모든 입력 변수를 찾는 것이 어려울 뿐만 아니라, 프로그래밍을 변경하는 것 또한 쉽지 않습니다이때는 웹 취약점 스캔을 통해서 취약점이 있는 Page나 변수에 대해서 확인하고, 이를 수정하는 방법을 사용하시는 것이 도움이 됩니다. 그리고, 웹사이트에 대한 공격 기법 역시 진화되기 때문에, 웹방화벽을 사용하시는 것을 권장해 드립니다.


 

[웹 및 보안 참고사이트]

1)     Open Web Application Security Project 포럼 : www.owasp.org

2)     인터넷침해사고대응지원센터 : www.krcert.or.kr

è  웹보안 4종 가이드공개 웹방화벽을 이용한 홈페이지 보안 가이드 및 툴 제공

3)     국가사이버안전센터 : www.ncsc.go.kr

è  사이버위협정보 와 동향정보 제공

4)     Securiteam : Securiteam.com

è  보안관련기사와 보안툴 OS별 취약점 정보 제공

5)     WindowSecurity : WindowSecurity.com

è  윈도우 보안에 관련된 보안 문서 제공

6)     MBSA : Download http://technet.microsoft.com/ko-kr/security/cc184924(en-us).aspx

è  Microsoft Baseline Security Analyzer (MS에서 제공하는 MS 보안권고에 따라 시스템을 점검하고 Reporting 해주는 툴)