[한국인터넷진흥원][정보보호] 웹서버 보안 강화 안내서 (2018.06)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 웹서버 보안 강화 안내서 (2018.06) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 웹서버 보안 강화 안내서 (2018.06)

○ 발행일 : 2018년 06월

○ 주관부처 : 한국인터넷진흥원, 과학기술정보통신부

---

[개요]

□ 추진배경

• 본 안내서는 웹서버 보안 강화를 위한 기본적인 보안설정, 공개 웹 방화벽 설치, KISA 보안 서비스를 안내하여 중소기업에서 안전하게 홈페이지를 운영할 수 있도록 마련되었다.

본 안내서의 구성은 다음과 같다.

• 제2장에서는 대표적인 홈페이지 침해사고 사례인 홈페이지 변조, 악성코드 유포, 디도스 공격에 대해서 다룬다.
• 제3장에서는 홈페이지 해킹에 자주 악용되는 파일 업로드, XSS, SQL 인젝션 등 3가지 보안 취약점에 대한 조치 방법과 기본적인 웹서버 보안 설정 방법, 공개 웹 방화벽에 대해서 소개한다.
• 제4장에서는 한국인터넷진흥원에서 제공하는 무료 보안 서비스에 대해 소개한다. 보안 투자가 어려운 중소기업은 다음의 4가지 보안 서비스를 이용해 보안을 강화할 수 있다. 첫 번째로 원격 웹 취약점 점검 서비스를 통해 무료로 점검 받을 수 있다. 두 번째로 휘슬(Whistl) 프로그램을 통해 웹서버에 설치된 웹셸 (해킹도구)을 탐지할 수 있다. 세 번째로 캐슬(Castle)을 통해 기본적인 웹해킹 공격을 차단 할 수 있다. 마지막으로 디도스 사이버대피소를 이용해 디도스 공격을 방어할 수 있다.

본 안내서는 최소한의 해킹사고 예방을 위해 대표적인 웹 취약점 3종과 간단한 보안 설정 방법에 대해서만 다루고 있으며, 이외에도 OWASP TOP 10 등 더 많은 웹 취약점에 대한 보안 조치가 수행되어야 한다.

---

웹서버 보안 강화 안내서.pdf

4.48MB

웹서버 보안 강화 안내서 (2018.06) : 한국인터넷진흥, 과학기술정보통신부

---

[목차]

제1장 개요 

• 1.1 안내서 목적 및 구성 

제2장 홈페이지 침해사고 사례 

• 2.1 홈페이지 변조 
• 2.2 악성코드 유포 
• 2.3 디도스 공격 

제3장 웹 보안 강화 

• 3.1 홈페이지 보안 
• 3.2 웹서버 보안 
• 3.3 공개 웹 방화벽 설치 

제4장 중소기업 정보보안 지원 서비스 

• 4.1 웹 취약점 점검 
• 4.2 휘슬(웹셸 탐지도구) 
• 4.3 캐슬(웹방화벽) 
• 4.4 DDoS 사이버대피소 

별첨

• 별첨1. ModSecurity를 활용한 Apache 웹서버 보안 강화 
• 별첨2. WebKnight를 활용한 IIS 웹서버 보안 강화 
• 별첨3. 웹보안 강화를 위한 한국인터넷진흥원 안내서