웹 응용에서 취약점과 그의 보안

전문가 제언

○ 웹 2.0은 기존의 웹 1.0을 웹사이트의 집합체로 보는 관점과는 달리 웹 응용을 제공하는 하나의 완전한 플랫폼으로 본다. 이 플랫폼은 인터넷 통신 기반구조의 최상위에 복잡한 소프트웨어 계층의 추가에 의하여 구축된다.

○ 이들 소프트웨어 계층에서 취약점은 다수의 보고된 취약점과 실제 공격의 증가에서 드러난다. 이런 공격들은 Google의 Gmail 사용자로부터 접속 데이터를 절취하거나 미국의 Social Networking website인 Myspace의 수백만 사용자에게 worm 바이러스를 퍼뜨린다. 컴퓨터 취약성의 일종인 Cross-site scripting(XSS) 공격은 2007 OWASP(Open Web Application Security Project) 조사에서 상위 10위에 도달하고 있다.

○ 웹 응용은 흔히 버퍼 오버런(buffer overrun) 보다는 현재의 웹 기술에 의하여 제공되는 플랫폼을 다루게 된다. 웹 보안 프로그래밍 기술은 끊임없이 진화하므로 개발자의 역량에 의존하는 것은 현실적으로 불가능하다. 또한 웹사이트에 포함된 모든 URL을 수작업으로 점검하는 것도 불가능하다. 따라서 웹 보안에 대한 지속적인 보안정책이 필요하다. 웹 보안 기법으로는 Javascript, flash 파일 분석에 의한 URL자동 추출, 추출된 URL에 대한 XSS 가능성 점검, SQL 인젝션(injection) 가능성 점검 등의 기능이 요구된다.

○ Gollmann은 이 기술보고서에서 웹 응용(웹 2.0)의 취약점을 검토하고 중요한 공격 패턴인 SQL 인젝션, 크로스사이트 스크립팅, 크로스사이트 요청 위조, Javascript 하이제킹(hijacking) 및 DNS(Domain Name System) 리바인딩(rebinding)에 대한 보안 기술을 제시한다.

○ 전체 인구의 56% 이상(2007년 통계)이 인터넷을 사용하는 우리나라에서 인터넷 보안 문제는 매우 심각하고 해킹과 같은 범죄 수단은 날로 증가하고 있다. 더구나 개방, 공유, 참여를 지향하는 웹 응용의 진화에 따르는 보안 문제는 앞으로 더욱 연구할 대상으로 좋은 참고 논문이다.

저자

Dieter Gollman

자료유형

학술정보

원문언어

영어

기업산업분류

정보통신

연도

2008

권(호)

13

잡지명

Information Security Technical Report

과학기술
표준분류

정보통신

페이지

1~9

분석자

김*기

분석물

• 웹 응용에서 취약점과 그의 보안.pdf [379,168 byte]

이미지변환중입니다.