웹 보안은 정보 접근 방법이 다양해 지고 손쉬워 지면서 점점 그 중요성이 커지는 분야입니다. 우리나라는 공인인증서라는 독특한(?) 솔루션을 바탕으로 키보드 보안, E2E, 개인 방화벽등 ActiveX 또는 OS 레벨에 설치되는 실행 프로그램을 통해 정보 보안을 처리하는 형태로 거의 20여년 동안 유지되고 있습니다.
문제는 이러한 방식이 모바일 환경이나 표준 웹 방식에서는 전혀 이용할 수 없는 비표준 방식이기 때문에 앞으로 공인인증서 기반의 보안은 없어질것으로 조심스럽게 기대해 봅니다.
그럼 모바일 환경이나 표준 웹 환경에서 보안을 강화하기 위한 웹 표준 방법으로 어떤것이 있는지 알아보겠습니다.
1.통신 보안
웹에서 통신보안의 기본은 SSL 입니다. Secure Socket Layer Protocol 기반으로 대부분의 전송 데이터 보안을 처리하기 위한 표준방법입니다. 국내에서도 다행스럽게 기존 ActiveX 방식의 통신 구간 암호화 방식에서 표준 SSL 방식으로 대다수 사이트가 바뀌고 있는 상황입니다. 아직도 ActvieX 기반의 통신방식이 SSL 방식보다 속도면에서 빠르고 좋다고 생각하는 경우가 더러 있지만, ActiveX의 문제점과 브라우저상에서 overhead를 생각하면 표준 SSL 방식보다는 좋은 점은 전혀 존재하지 않습니다.
아래 통계에서와 같이 2007년 대비 2015년 주요 보안 취약점은 이처럼 데이터 전송단의 보안 취약점이 1위를 차지하고 있습니다.
초기 설정이 필요합니다.
2007년 웹 보안 취약점 통계
(출처:http://projects.webappsec.org/w/page/13246989/Web%20Application%20Security%20Statistics)
2015년 웹 보안 취약점 통계
(출처:https://www.whitehatsec.com/statistics-report/featured/2015/05/21/statsreport.html)
2. 웹서버 보안
통신구간상 보안 문제가 없다 하더라도, 웹서버의 보안 취약점을 통해 해커는 주요정보를 탈취 할 수 있습니다.
이러한 보안 문제를 해결하기 위해 OWASP라는 협회의에서 10대 웹 보안 취약점을 발표하고 그에 대응 하기위한 ESAPI 라는 보안 모듈을 만들어 배포하고 있습니다.
모든 10 대 보안 이슈를 ESAPI를 통해 모두 해결할 수 는 없지만 상당부분 ESAPI 의 도움을 받아 처리 할 수 있습니다.
OWASP - ESAPI
3. 키보드보안
- 패스워드 정보처럼 민감한 정보는 키 로그와 같은 key 입력을 가로채는 악성 프로그램을 통해 유출 될 소지마 있습니다. 따라서 국내 금융권 사이트에서는 키보드 보안 ActiveX을 통해 입력 키를 가로채지 못하게 하는 프로그램 설치를 강요하고 있습니다. 하지만 모바일 환경에서는 이러한 방식으로 사용할 수 없기 때문에 가상 키패드 제품을 통해 키입력을 가로채는 방법을 막아야 합니다. CyberImagination에서도 가상키패드 솔루션을 개발 완료하고 정식 출시를 준비하고 있습니다. 하나의 솔루션으로 모든 디바이스 보안을 강화할 수 있기때문에 타사 대비 저렴한 가격으로 보안성을 강화할 수 있을것으로 기대합니다.
4. 데이터 변조
정상적으로 로그인한 사용자가 HTTP의 통신하는 데이터를 변경해서 다른 정보를 알고자 한다면 어떤 식으로 막아야 할까요?
이러한 경우 client 검증만 신경쓰고 server 단에서 데이터 검증을 하지않으면 보안상 이슈가 발생할 수 있습니다.
특히 웹이나 앱 등에서 api 방식으로 데이터 호출이 많은 경우 해커가 api 의 정보를 알아내어 자신이 원하는 값으로 변경하여 호출하는 경우 문제가 발생할 수 있습니다.
이러한 경우 HMAC (Hash-based Messsage Authentication Code)방법으로 메세지의 키와 값들을 모두 모아 hash 값을 생성해서 그 값을 같이 전송하는 기법을 이용할 수 있습니다.
일반적으로 javascript 상에서 HMAC를 적용하기 쉽도록 library 도 있습니다.
표준 웹 보안 기술 활성화를 바라며...
기타 H/W 적인 솔루션이나 FDS와 같은 이상거래감지 시스템과 같은 솔루션을 통해 보안을 강화할 수 있습니다. 보안은 웹이 존재하는 한 숙명처럼 항상 해결해야 되는 문제입니다. 이러한 문제를 해결하기 위해 현재 우리나라에서만 통용되고 있는 ActiveX 기반의 보안 솔루션들은 하루 빨리 웹표준에 준수하는 방식으로 교체되길 기대해 봅니다.
'프론트엔드' 카테고리의 다른 글
Micro Service Architecuture Trade-Offs (0) | 2015.10.08 |
---|---|
Micro Service Architecuture 의 중심 API Server (0) | 2015.10.01 |
ActiveX 및 NPAPI 이용현황 (0) | 2015.08.17 |
비단결처럼 부드러운 사이트를 만들기 위해 (0) | 2015.08.13 |
Java Multi Process Programming (0) | 2015.07.30 |