|
| 회원가입없이 경제노트를 이메일로 받고 싶으신 분은 이름과 이메일을 입력해 주세요 |
|
|
|
|
|
|
|
| 입력 2006-04-18 오전 12:00:00 |
| 마음에 드는 노트지기의 업데이트 된 글을 내 노트에서 손쉽게 확인할 수 있습니다.
|
|
|
|
 |
|
 |
|
 |
|
 |
|
|
|
|
 3. 주요 데이터 보안
웹의 특징상 페이지간의 전환에서 많은 데이터들이 전달되며, 쿠키 값과 같이 특정한 데이터들을 보관하게 된다. 즉, 바꾸어 말하면 많은 데이터들이 우회적인 공격에 의해 노출될 소지가 있다는 얘기이다. 따라서, 주요 데이터들에 대한 보안작업이 필요하게 된다.
1) 페이지 Referer 체크
일반적으로 웹페이지의 구조상 데이터로직을 가지고 있는 페이지는 이전단계에 폼을 갖는 페이지를 거치게 된다. 따라서, 데이터로직 페이지에서는 이전페이지가 개발자에 의해 작성된 페이지인지를 체크하여 외부에서 의도하지 않은 접근이 이루어 지지 않도록 하여야 한다.
Referer를 체크해야 하는 또 하나의 단편적인 예를 보자. 회원가입 페이지에서 대부분 팝업창을 이용하여 우편번호 검색과 같은 로직을 대부분 갖고 있다. 우편번호 검색페이지와 같이 단순히 SELECT 하는 페이지를 툴을 이용하여 외부에서 끊임없이 호출하는 경우 데이터베이스가 어떤 상황에 처하게 될지 생각해 보라. 따라서, 페이지 유입경로에 대한 검증 작업이 필요하다.
2) 파라미터 이름의 규칙 정의
많은 웹사이트들에서 쿼리스트링으로 전달되는 값들을 보면 UserCode 혹은 MemberCode등 해당 값이 무엇인지 유추할 수 있게 제작되어 있다. 이러한 값들은 URL 확인 만으로도 값을 확인할 수 있게 된다. 누군가 공격하려 할 때 웹의 구조를 쉽게 파악할수 있다는 것이다. 따라서, 쉽게 알아내지 못하도록 해당 파라미터들의 이름을 약어로 사용하거나 암호화 하는 작업이 중요하다.
3) GET 방식의 지양
회원코드, 주민번호와 같이 주요한 데이터를 전송시에 GET 방식을 지양하고 POST방식을 활용토록 하며, POST로 값을 전송할 시에 해당 데이터를 암호화하여 전달하도록 한다. GET 방식을 사용하는 경우 해당 데이터들이 너무나 쉽게 노출되는 경향이 있기 때문이다.
4) 유저 인증정보의 암호화
XSS를 소개하면서 XSS 공격을 통해 페이지에 접근하는 유저들의 정보를 쉽게 획득할 수 있다고 하였다. 유저들이 로그인후 갖게 되는 인증정보는 일반적으로 세션 혹은 쿠키를 이용해 저장되게 된다. 따라서, 세션, 쿠키 값을 생성할 시에 암호화를 하여 저장한다면 해당 데이터를 획득했다 할지라도 복호화해야 하는 작업이 필요하게 된다. 따라서, 유저들의 인증정보를 암호화 하는 작업은 상당히 유용한 작업이다.
5) 기타
이 외에도 크게 의미가 있다고 보지는 않지만, 보안 관련 권장사항을 보면 태그 제어를 통해 상태표시줄에 URL 노출을 방지하는 것과, 마우스 우클릭 제어등이 있다. 그리고, 웹 폴더 및 페이지 이름에 대해서도 네이밍룰에 대한 권장사항이 있다. 보안 점검 툴을 실행하게 되면 찾는 취약점 중 하나가 웹 폴더 및 페이지의 이름 구조이다. Password.asp 같이 너무나 쉽게 탐지할 수 있는 페이지 구조는 취약점으로 판단하게 된다. 참고하기 바란다.
4. 마무리
지금까지 ASP 웹 소스 보안에 대해 살펴보았다. 웹 소스 보안중 중요하다고 판단되는 내용에 대해 소개하였다. 위 방법 말고도 여러가지 접근이 가능하리라 본다. 위에서 소개한 내용은 필자가 현업에서 활동하면서 적용해왔던 방법들이다. 중요한건 웹 어플리케이션을 작성할 시에 보안 로직을 작성하여 모든 소스가 해당 로직을 거치도록 구현해야 한다는 것이다. 어떤 방법을 선택하든 보안작업은 이루어 져야 한다.
다음 회에는 이번 보안 칼럼의 마지막 주제인 데이터베이스 보안에 대해 알아보도록 하겠다. 다음 회에는 어떠한 작업들을 통해 데이터베이스에 대한 보안이 강화되는지에 대해 살펴보도록 하자.
|
|
|
|
|
 예병일의경제노트 추천정보 |
| |
|
|
|
|
 |
|
예병일의경제노트 노트지기 덧글 |
|
|
|
|
|
|
|
|
|
|
 노트 목록으로 이동 |
|
|
|