31주차 과제 - 웹 취약점 (2)

지난시간에 이어 주요 웹 취약점의 종류 에대하여 더 알아보도록 하겠습니다.

31주차 과제 - 침해대응 & CERT 과정 8.pptx

1.19MB

 과제 발표에 사용한 PPT 파일을 첨부합니다. 만약 지금 제가 거치고 있는 AI 스쿨 교육과정이 더 궁금하시다면 다음 링크를 통해 자세한 정보를 확인해 주세요.
https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

---

본문

 이번 과제 발표에서 알아볼 웹 취약점은 취약한 파일 존재, 계정 관리, 실명 인증, 전송 시 주요 정보 노출 입니다. 해당 취약점 리스트는 행정안전부에서 배포하는 웹 취약점 표준 점검 항목을 참고하여 작성되었습니다.

 

취약한 파일 존재 취약점

 서버 운영 중 내부 문서, 백업 파일, 로그 파일, 압축 파일 등이 존재할 경우에 발생하는 취약점입니다. 이 경우 해커는 서버 내부에 있는 파일의 이름을 알아내고 직접 요청하여 해킹에 필요한 서비스 정보를 획득할 수 있습니다.
 이 취약점을 해결하기 위한 방안으로 다음을 제시할 수 있습니다.

 - 정기적으로 파일 점검 후 불필요한 파일 제거하기
 - 웹 서버에 해당 파일이 존재해야만 하는 경우, 웹 사용자가 접근할 수 없도록 조치하기
 - 개발 환경과 운영 환경의 분리하기

 

계정 관리 취약점

 회원 가입을 할 때 패스워드 규칙이 너무 간단하면 생길 수 있는 문제점입니다. 위의 이미지에서 드러나듯이 너무 간단한 비밀번호(123456과 같은)를 설정한다면 브루트 포스 공격에 1초 안에 파훼될 수 있습니다.
 이런 취약점에 대응하기 위한 해결책으로 다음을 제시할 수 있습니다.

 - 패스워드 규칙을 강화합니다.
 - 계정 잠금 정책을 설정하여 브루트 포스 공격을 어렵게 하기

 

실명 인증 취약점

 실명 인증 절차의 보안이 취약하기에 발생할 수 있는 취약점 입니다. 이 취약점은 실명 인증이 마무리 된 순간의 페이지를 조작하여 제 3자로 위장하는 등의 활용이 가능한 취약점입니다. 
 실명 인증 취약점은 다음과 같은 방안으로 대비할 수 있습니다.

 - 실명 인증 과정에 암호화 적용하기

 

전송 시 주요 정보 노출 취약점

 비밀번호 등 민감한 데이터를 평문으로 통신하는 경우를 일컫는 취약점 입니다. 이 취약점이 존재할 경우 공격자가 통신을 엿듣는 것 만으로 쉽게 데이터를 탈취하여 활용할 수 있습니다. 
 이 취약점을 해결하기 위한 방안은 다음이 있습니다.

 - 중요한 정보 전송시 SSL(TLS) 프로토콜 적용하기
 - TLS 최신 버전으로 업데이트하기