최근 Website Security Statistics Report(웹사이트 보안 통계 보고서) 2010년도 판이 공개되었습니다. 이 보고서는 올해 10번째로 발간된 것으로 보안 전문 기업인 WhiteHat Security에서 작성되었습니다. 

보고서에 관련된 슬라이드는 아래 링크에서 다운로드할 수 있습니다.



문제는 보고서의 내용 자체가 매우 충격적인 것으로, 이러한 사례는 이미 수년 전부터 보고되어 왔지만, 여전히 그대로라는 것이 가장 문제가 아닐 수 없습니다.

<그림 1. 통계에 사용된 회사, 웹사이트 등의 기초 자료>

통계를 위해 사용된 기초 정보는 약 350 이상의 기업으로 미 포춘의 기업을 주축으로 선정하였으며, 총 2천개 이상의 웹사이트와 32천개 이상의 웹 관련 취약점을 검토하였습니다. 또한, 이 정보는 2006년 1월부터 2010년 9월까지 꽤 오랜기간 모은 것으로 꽤 신뢰성이 있다고 볼 수 있습니다.

<그림 2. 웹 공격의 유형>

통계에서 분류한 공격의 유형에는 사람이 직접 조사한 공격과 자동화에 의한 공격 등 다양합니다.

<그림 3. 업계에 따른 중요한 취약점의 평균 개수>

업종으로 구분할 경우에는 IT 분야가 가장 많은 취약점을 가진 것으로 나타났으며, 전체적으로 약 12개 정도의 취약점을 가지고 있습니다.

<그림 4. 취약점의 순위>

가장 많은 취약점을 보이는 것은 바로 Cross-Site Scripting 으로 약 71%나 차지했습니다. 그리고, Information Leakage, Content Spoofing과 같이 데이터 누출이 그 뒤를 차지했습니다. 다행히도, SQL Injection 취약점은 15% 정도로 낮았지만, 이로 인해 데이터의 손실이 발생하는 효과는 매우 크게 되므로, 주의가 요망됩니다.

<그림 5. 문제 해결에 걸리는 시간>

가장 흥미로운 그래프라고 볼 수 있는데, 바로 업종 별로 문제점이 발견될 때에 이를 해결하는데 걸리는 시간을 나타낸 것입니다. 가장 재빠른 조치를 위한 은행 및 금융권은 문제점을 해결하는데 약 43주 정도 걸린 것으로 나타나고 있습니다. 하지만, 소매나 보험업종에서는 1년반 이상 소요된 것으로 나타납니다.

<그림 6. 문제 해결에 걸리는 시간>

따라서, 업종과 취약점의 개수를 이용하여 한번 더 산출해 보면, 취약점 당 해결에 걸리는 시간을 어림잡아 알 수 있으며, 아래와 같습니다.
  • 은행(45주) / 취약점( 4.95개) = 9주
  • 금융(41주) /  7.7 = 5.3 주

가장 빠른 대처를 보인 업종인데도 불구하고 한 개를 해결하는데 7-9 주 정도가 소요된다는 것을 봤을 때에 문제점을 파악하여 해결하는 것이 얼마나 어려운 것인지 가늠할 수 있습니다.

<그림 7. 문제 해결 비율>

더 큰 문제는 일부 업종에서는 취약점을 해결하는데 많은 노력을 기울이는 것으로 보이지만, 대부분의 업종에서는 그리 높은 해결 의지를 가지지 않은다는 것입니다. 심지어 SNS에 관련된 업종에서는 문제 해결비율이 떨어지는 결과를 보입니다.

이렇게 해결되지 않는 이유를 다음과 같이 정의내리고 있습니다.
  • 조직 내에서 코드를 유지보수하거나 이해할 만한 위치에 있는 사람이 없음.
  • 개발 그룹이 취약점을 이해하지 못하거나 반영하지 못함.
  • 보안 상의 문제점 해결보다 기능 향상을 더 우선시함.
  • 문제점 해결을 위한 예산 부족
  • 취약점에 관련된 코드를 책임이 없는 서드파티 벤더가 가지고 있음.
  • 웹사이트가 없어지거나 빠른 시일 내에 교체될 예정임.
  • 취약점 자체가 용인됨.
  • 비지니스 용도에 관련된 솔루션과 상충됨.
  • 관련 법령(PCI-DSS 외)의 부재

지금까지 웹 보안에 대한 통계 정보를 간단히 요약해 봤습니다. 여전히 나오는 얘기지만 보안 의식 부재뿐만 아니라 개인정보의 중요성에 대해서 우리나라를 위시해서 미국에서도 마찬가지라는 점을 확인했을 뿐입니다.

감사합니다.






reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    웹 보안에 관련되어 다양한 문서들이 인터넷에 공개되어 있거나 책으로 판매됩니다. 이중에서 가장 널리 인용되는 자료는 바로 OWASP Top-10이며, 이 문서는 최신의 보안 경향을 반영하기 위해 약 1-3년 주기마다 업데이트됩니다.


    이 문서에 따르면 가장 위협이 되는 취약점은 INJECTION, XSS(Cross-Site Script) 순으로 분류되어 있습니다.

    이 중에서 SQL Injection 취약점은 그 공격의 결과가 서버의 장악이나 데이터베이스(데이터) 손상이 발생하기 때문에 상대적으로 보안 관리자가 인식하기가 쉽습니다.

    하지만, XSS 공격은 실제로 취약점이 있는 웹서버를 공격하는 것이 아니라 제 3자를 공격하는 공격 경유지 성격을 띠고 있기 때문에 취약점으로 인해 공격이 발생하는지 알아차리기가 쉽지 않습니다.

    XSS 취약점을 이용하여 공격자는 웹 애플리케이션에 접근하는 다른 사용자에게 자바스크립트를 실행할 수 있게끔 허용함으로써 공격이 시작됩니다. 즉,  사용자는 위험할 수도 있다는 생각은 전혀 하지 않은 상태에서 교묘하게 조작된 악성 스크립트가 실행되어 이로 인해 크나큰 피해가 발생할 수 있습니다.

    XSS 공격의 예로 가장 대표적인 것이 계정 정보를 빼내는 기술입니다. 아래와 같은 방식으로 공격이 진행되며 최후의 단계에서는 공격자가 피해자의 정보를 도용하여 로그온할 수 있게 됩니다.

    1. XSS 취약점이 있는 게시판, 검색(입력 부분), 매개변수에 교묘하게 조작된 스크립트를 작성하여 글로 게시합니다.
    2. 사용자가 해당 웹서버에 로그온한 후에 공격자가 미리 올린 글을 읽습니다.
    3. 사용자의 쿠키 값을 웹프록시와 같은 방법을 써서 전송받습니다.
    4. 공격자는 사용자의 쿠키 값을 이용하여 로그온하고, 그외의 공격을 진행합니다.

    이러한 방식은 지난 2008년 9월에 작성된 보고서의 일부분으로, 전북대학교 건지인사랑방에서 발생한 예입니다. (관련 자료 다운로드: http://iscert.springnote.com/pages/1770388/attachments/775186 )

    아래 화면은 엘에이타임즈(LA Times, http://www.latimes.com ) 웹사이트의 특정 URL에서 발견된 XSS 취약점에서 alert("문자열") 스크립트를 실행한 화면입니다. 이외에도 이 사이트에는 다수의 XSS 취약점이 존재할 것으로 생각됩니다.



    만약, 은행과 같은 금융권, 쇼핑몰, 적립금을 적립/충전하여 사용할 수 있는 사이트에서 이러한 XSS 취약점을 이용하는 공격이 발생할 때에는 치명적인 결과를 나을 수 있습니다.

    결론적으로, 로그온이 사용되는 웹사이트에서는 XSS 공격에 대해 충분한 검토하여 문제점을 미리 파악하여 해결해야 합니다. 물론, 로그온이 안되는 경우에도 다양한 공격이 이뤄질 수 있지만, 계정 정보 노출이 가장 중요한 것임은 분명합니다.

    감사합니다.
     

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      웹서버의 보안을 진단하는 웹 스캐너 중의 하나인 Nikto 의 최신 버전이 공개되었습니다. 이 버전에서는 기존 버전에서 발견된 버그와 같은 문제점을 해결하였으며, 일부 기능도 향상되었으며 자세한 사항은 아래와 같습니다.

      • 대화형 검사 상태 보고서 지원.
      • 설정을 자세하기 볼 수 있도록 변경.
      • 메모리/속도 향상
      • 뮤테이션 검사시 메모리 사용량 감소.
      • 모든 응닶 값속에서 문자열 찾기 기능 제공.
      • 인증 코드 재작성.
      • 서버의 요청을 최소화하기 위해 캐시 사용.
      • Frank Breedijk이 제공한 Nessus NBE 보고서 형식.
      • 명령행에서 플러그인 선택 기능 향상.

      보다 자세한 사항은 아래 링크를 참고하십시오.

      감사합니다.




      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        어제 디지털타임즈에 웹보안의 계층적 방어 체계라는 기사가 올라와서 한마디 덧붙이고자 한다.


        (사진 출처: http://www.dt.co.kr/contents.html?article_no=2010061602011860746002)

        위 사진에서 처럼 막강한 자금 및 인력을 동원하여 웹 보안 아니 엔터프라이즈 보안을 유지할 수 있는 기업이 얼마나 될 지 의문이다.

        외국의 SP500과 같이 국내 한 100대 기업에서나 가능하지 않을까 싶다.

        즉, 현실적으로 국내 중소기업이 하기에는 정말로 불가능에 가깝다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          OWASP(Open Web Application Security Project)는 매년마다 웹 애플리케이션의 취약점 중에 가장 많은 영향을 미치는 위협 요소에 대한 보고서를 발간해 오고 있습니다. 기존에 발표된 보고서는 아래 링크를 참고하십시오.

          지난 11월 13일 경에 OWASP는 2010년도에 발표할 보고서의 RC1(Release Candidate 1) 판을 발표했습니다. 원문은 아래 링크를 참고하십시오.

          가장 중요한 변경사항을 살펴 보면, 기존의 10대 위협 요소 중 일부 항목이 제외되고 순서도 바뀌었습니다.

          새롭게 추가된 부분은 다음과 같이 2가지 입니다.
          • A6 - Security Misconfiguration. 웹애플리케이션, 운영체제, 프레임워크 등 다양한 부분들의 보안을 적절하게 구성하지 못하여 이를 이용하는 위협 요소를 말합니다.
          • A8 - Unvalidated Redrects and Forwards. 사용자가 웹사이트를 이용할 때에는 다양한 웹페이지로 이동하게 됩니다. 이러한 이동시에 적절하게 확인 절차를 거치지 않는 경우에 공격자는 피싱 페이지와 같은 공격을 가할 수 있습니다.


          제외된 부분은 다음과 같이 2가지 입니다.

          • A3 - Malicious File Execution.
          • A6 - Information Leakage and Improper Error Handling.

          현재 발표된 보고서는 RC1으로 내년에 정식 발표되는데, 특정한 내용이 변경될 수 있다는 점을 유의하시기 바랍니다.

          OWASP 2010 RC1 보고서 다운로드

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory