올 한해도 웹 애플리케이션 취약점 공격 여전히

윈도우-보안뉴스 2009/01/28 16:13

최근 보안뉴스 자료에 의하면 올해도 웹 애플리케이션 취약점 공격이 더 다양화가 될 것으로 내다 보고 있다.
웹 애플리케이션 공격은 100% 막을 수 있다고 한다. 그러나 그에 관해서 업체에서도 해 주어야 할 것이 많으며, 관련해서는 관련소스 수정 및 취약점에 대한 필터링 정책을 세워야만 한다고 말한다.

국내 공급되고 있는 상용/비사용 웹방화벽이 그 역할을 일부 채워줄 것이라고 한다.


[보안뉴스 -  “알려지지 않은 취약점 노린 해킹공격 증가할 것” ]
예를 들어, 파일 업로드 시 발생 가능한 취약점에 대해 업로드가 불가능한 확장자 보다는 가능한 확장자를 체크 하는 것이 안전하며, 업로드 파일의 저장장소 및 네이밍 규칙을 확립하는 등의 대응책을 마련하는 것이 필요하다”고 강조했다. 아울러 이 팀장은 SQL 인젝션·XSS 공격 등에 대한 개요 및 그에 따른 대응방법을 발표했다.

[보안뉴스 - “2009년도 해킹, 공격기법 더욱 교묘해질 것”  ]
이 날 윤 컨설턴트는 “최근 발생하는 보안사고 유형이 점차 애플리케이션에 대한 취약점을 이용한 악성코드 유포지로 사용되는 추세”라며, 작년에 발생한 보안이슈로 “▲ SQL 구문 삽입을 통한 악성코드 유포 사이트 변조 ▲ 맞춤형 악성코드 공격기법 ▲ 다양한 종류의 악성코드 은닉기법 등장 등의 자동화된 패키지 공격이 증가했다고 발표하는 한편 ▲ 네이버 일부 카페 접속 장애사고 ▲ 미래에셋, 한나라당 등 사이트 및 악성코드를 이용한 DDoS 공격 등이 증가했다”고 설명했다.

[보안뉴스- 웹방화벽 이슈, 도입→관리로...관제서비스 니즈↑ ]
그 이유는 바로 벤더사와 사용자간 기대수준의 차이에 있다. 웹방화벽은 보안정책 설정이 기존 IPS보다 힘들다. 웹 애플리케이션 종류에 따라 관리자가 설정을 달리해야 하고 웹서버가 리눅스냐 윈도우냐에 따라서도 보안설정이 달리 돼야 한다. 즉 보안관리자가 신경을 쓰지 않으면 제대로된 성능을 기대할 수 없는 솔루션이기 때문이다.
따라서 사 용자측 관리자는 벤더사가 지속적으로 보안설정과 업데이트 등을 관리 해주길 바라고 있는 반면, 벤더사는 대부분 3개월 정도 보안설정 과정이 끝나면 그때부터는 관리자가 알아서 웹방화벽 정책을 설정해줘야 한다는 입장이다. 여기서 괴리가 발생한다.


관련 자료 참조

저작자 표시

'윈도우-보안뉴스' 카테고리의 다른 글

윈도우 7 제품별 비교 문서  (0) 2009/02/13
한번 해킹 당했다면 절대 감출 수 없다 - 해킹된 사이트 리스트 제공  (0) 2009/02/05
올 한해도 웹 애플리케이션 취약점 공격 여전히  (0) 2009/01/28
홈페이지 보안 강화 도구(CASTLE) 보급 안내  (0) 2009/01/21
윈도우 7 베타, 첫 번째 패치 발표  (0) 2009/01/15
cookie, declear 구문 - SQL Injection  (0) 2009/01/14
Posted by 혜민아빠
TAG , , ,
트랙백 0, 댓글 0개가 달렸습니다

트랙백 주소 :: http://ntfaq.co.kr/trackback/4310 관련글 쓰기

댓글을 달아 주세요