[한국인터넷진흥원][정보보호] 홈페이지 개발 보안 안내서 (2010.01)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 홈페이지 개발 보안 안내서 (2010.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 홈페이지 개발 보안 안내서

○ 발행일 : 2010년 01월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

□ 추진배경

• 본 안내서에서는 최근 대부분의 홈페이지 관련 사고의 원인이 게시판 등 웹 어플리케이션 자체의보안취약점에있으므로, 웹어플리케이션의보안대책을중점적으로다루고자한다.
• 홈페이지는 단순한 홍보 목적뿐만 아니라 사이버공간에서 상거래를 위한 주요 수단으로 자리 매김하고 있고, 내부 DB와 연동되어 다수의 고객 정보를 보유하고 있다. 이러한 홈페 이지의 변조는 피해기관에게 금전적인 손실을 야기 시킬 수 있을 뿐만 아니라 국가 위상까 지 저하시킬 수 있다.
• 웹 어플리케이션 취약점을 이용한 사고의 주요 원인은 국내 공개 게시판인 제로보드 등 PHP 기반 어플리케이션의 보안 취약점과 Windows IIS 환경 하에 개발된 홈페이지에 존재 하는 SQL Injection 취약점을 이용한 것으로 확인되고 있다. '04년 연말 이후 해외 주요 보 안 사이트에 국내 웹 어플리케이션의 보안 취약점이 알려지면서 국외 해커들에 의한 국내 홈페이지 변조사고가 급속히 증가하였고, 특히, 최근에는 SQL Injection이라고 불리는 공 격방법에 의해 많은 공격이 이루어지고 있다.

---

홈페이지 개발 보안 안내서.pdf

3.26MB

홈페이지 개발 보안 안내서 (2010.01) : 한국인터넷진흥원, 방송통신위원회

---

□ 적용 대상

○ 홈페이지 개발자

• 안내서를 활용하여 홈페이지 개발자가 자체적으로 웹 어플리케이션이나 웹 컨텐츠를 개발할 때 활용할 수 있으며, 홈페이지 운영자가 주요 공개 웹 어플리케이션의 취약점 정보를 파악함으로써 안전한 운영을 하는데도 활용할 수 있을 것이다.

---

□ 구축의 필요성

• 홈페이지 서버를 포함한 정보시스템의 정보보호를 제공하는 방법은 일반적으로 추가 (Add-on) 방식과 내장(embedded) 방식의 두 가지 방법이 있다.
• 추가 방식은 정보시스템의 설계 또는 구축 이후에 정보보호 제품이나 정보보호 시스템 을 추가 구현하는 방식이다. 홈페이지 서버 보안을 위해서도 웹 방화벽과 같은 추가적인 보 안장비를 도입하는 것이 추가방식이라 할 수 있다.
• 이 방법은 정보보호 요구사항이 시스템 설계에 충분히 반영되지 않았을 경우 적용할 수 있는 방법이지만 정보보호 제품과 정보 시 스템 간의 상호운용성 문제로 정보보호 제품 및 운영 중인 정보시스템의 변경이 요구되는 등 성능 및 비용 측면에서 비효율성이 야기될 수 있는 문제점이 있다.
• 하지만 이미 구축되어 있는 많은 웹 서버가 보안이 고려되지 않았으며 최근 공격대상이 웹 서버에 집중되고 있는 점을 고려한다면 추가방식에 의한 웹 보안도 고려할 만하다.
• 둘째, 내장 방식은 정보시스템 계획 단계에서부터 정보보호 요구사항을 파악하여 정보시 스템 분석 및 설계에 정보보호 기능을 구현하는 방식으로, 초기에는 정보보호 요구사항 파 악 및 기능 구현을 위한 시간과 노력이 요구되나 다른 정보시스템 기능과 원활한 상호운용 성을 제공할 수 있어 결과적으로 비용효과적인 방식이라 할 수 있다.
• 많은 웹 개발자들은 홈페이지를 구축할 때 효율성 및 편의성에 치중하여 설계∙구축 단 계에서 정보보호를 고려하지 못하고 있다. 또한, 홈페이지의 특성상 외부에 공개될 수 밖에 없고, 일반적인 침입차단시스템에 의해서 보호받지 못하고 있어 최근 많은 해킹사고가 발생 되고 있다. 해커에 의해서 뿐만이 아니라 업체의 모의 해킹 시에 주요 공격 대상이 되고 많 은 취약점이 발견되는 곳이 홈페이지 서버이다.
• 이미 구축되어 있는 홈페이지 서버의 보안취약점을 수정하는 것은 기존의 운영되고 있는 서비스에 영향을 미칠 수 있을 뿐만 아니라 많은 비용이 수반될 수밖에 없다.
• 정보보호 전문가에 의하면 추가 방식이 내장 방식에 비하여 10배의 추가 비용이 발생하 는 것으로 나타났으며(Woods, 1996), MIT 경제학자 Hoo et al의 연구(Tangible ROI through Secure Software Engineering, 2001)에서도 정보시스템 개발 초기부터 정보보 호 요구사항을 반영하면 유지 보수 과정의 많은 비용을 절감할 수 있는 것으로 나타났다.
• 특히, 이 연구는 정보보호 투자 수익율(Return On Security Investment)을 밝히기 위해 정보 시스템 개발의 각 단계에서 정보보호 취약성을 수정하는데 드는 비용의 절감 효과를 측정한 것으로, 연구 결과 아래 그림과 같이, 정보시스템 개발의 각 단계 중 설계 단계에서 정보보 호가 고려될 경우 21%, 구현 단계에서는 15%, 시험 단계에서는 12%의 비용이 절감될 수 있 음이 실증적으로 확인되었다.
• 홈페이지 서버의 경우도 이미 구축∙운영되고 있는 서버에서 정보보호를 반영하기 위해 서는 보다 많은 비용이 수반될 뿐만 아니라 해킹사고 발생으로 인해 서비스 장애로 인한 영 업손실, 기업 이미지 실추, 고객 정보유출 등의 피해도 발생될 수 있음을 감안해야만 할 것이다.

---

[목차]

개 요

제1절 개 요

제2절 정보보호를 고려한 홈페이지 구축의 필요성 

홈페이지 해킹 현황 및 사례

제1절 국내 홈페이지 해킹현황

• 1. 홈페이지 변조 현황
• 2. 악성코드 유포/경유 사고 현황
• 3. 피싱사고 현황 

제2절 국내 홈페이지 해킹사례 

• 1. 제로보드 취약점 피해 사례 
• 2. 테크노트 취약점 피해사례 
• 3. 피싱 사고 피해사례 

홈페이지 개발시 보안 취약점 및 대책

• 제1절 접근통제 취약점 
• 제2절 부적절한 파라미터
• 제3절 취약한 세션 관리(Cookie Injection)
• 제4절 악의적인 명령 실행(XSS)
• 제5절 버퍼 오버플로우
• 제6절 악의적인 명령어 주입 공격 (SQL Injection) 
• 제7절 업로드 취약점 
• 제8절 다운로드 취약점
• 제9절 개발 보안 관리 
• 제10절 부적절한 환경설정 (서버 설정관련) 

결 론 

• 참고문헌 
• <부록 1> 웹 보안관련 주요 사이트 리스트 
• <부록 2> 대규모 홈페이지 변조 예방을 위한 권고(안) 
• <부록 3> 개인정보의 기술적∙관리적 보호조치 기준 

---

[표 목차]

• <표 2-1> 루트킷 환경설정 파일
• <표 3-1> 설정별 제공되는 헤더 정보 
• <부록표 1> OS 벤더별 보안사이트 
• <부록표 2> 주요 보안관련 사이트
• <부록표 3> 동적 컨텐츠 보안 사이트 
• <부록표 4> 아파치 웹 서버 보안 사이트 
• <부록표 5> IIS 웹 서버보안사이트

---

[그림 목차]

• <그림 1-1> 정보시스템 개발 단계별 비용 절감 효과
• <그림 2-1> ’06년 웹 서버별 악성코드 유포/경유 사고 분류
• <그림 2-2> netstat를 이용한 백도어 포트 확인 
• <그림 2-3> 삭제된 백도어 프로그램 확인 
• <그림 2-4> 공격 프로그램에 의한 CPU점유
• <그림 2-5> 변조된 홈페이지 화면
• <그림 2-6> 미국 ebay사 위장 사이트(피싱 사이트) 
• <그림 2-7> E-mail을 통해 전달된 금융정보
• <그림 3-1> 관리자 페이지 인증을 우회한 화면
• <그림 3-2> IP 주소별 접근제한
• <그림 3-3> Argument 변조를 통한 명령 실행
• <그림 3-4> 제3자의 Cookie 정보 탈취 
• <그림 3-5> 사용자 입력 부분에 악성코드 삽입
• <그림 3-6> 수집된 Cookie 인증 정보 
• <그림 3-7> 악의적인 SQL Query문 삽입 
• <그림 3-8> 게시판에 악성 스크립트 파일 업로드
• <그림 3-9> 웹 서버 권한으로 시스템 명령어 실행 
• <그림 3-10> IIS 보안 설정
• <그림 3-11> 상대경로를 이용한 시스템 설정파일 다운로드
• <그림 3-12> .inc, .lib 확장자를 웹 사이트에서 처리하도록 설정 
• <그림 3-13> 백업 파일 노출로 인한 소스 코드 열람 
• <그림 3-14> 디렉토리 구조 노출
• <그림 3-15> phpinfo 정보
• <그림 3-16> 관리자 history 파일 내용
• <그림 3-17> Error Message 숨기기