Security Analysis - Application Security
»ó¾÷¿ë ¼ÒÇÁÆ®¿þ¾îÀÇ º¸¾È°ú ÁúÀº Áö³ ¸î ³â °£ ¶Ñ·ÇÇÏ°Ô °³¼±µÇ¾î ¿©·¯ ÀϹÝÀûÀÎ °ø°Ý º¤ÅÍÀÇ »ýÁ¸·ÂÀ» °¨¼Ò½ÃÄ×´Ù. ±×·¯³ª ÃÖ±Ù ¿¬±¸ÀÚµéÀº ¾ÖÇø®ÄÉÀÌ¼Ç ·¹º§ °ø°Ý¿¡ ÃÊÁ¡À» ¸ÂÃç Áõ°¡ÇØ¿Â ²ûÁ÷ÇÏ°í ÀáÀçÀûÀÎ ¼ö¸¹Àº Á¾·ùÀÇ °ø°ÝµéÀ» ¹ß°ßÇß´Ù.
ÀÌ·¯ÇÑ Çö»ó¿¡ °üÇÑ °¡»ó ÃÖ±ÙÀÇ ¿¹´Â NGS SoftwareÀÇ µ¥ÀÌÅͺ£À̽º º¸¾È Àü¹®°¡ µ¥À̺ø ¸®Ä¡Çʵå(David Litchfield)°¡ Áö³ 4¿ù ¸»¿¡ ¹ß°ßÇÑ ·¡ÅÍ·² SQL ÀÎÁ§¼Ç(lateral SQL injection)À̶ó ºÒ¸®´Â °ø°ÝÀÌ´Ù. ÀÌ ±â¼ú·Î °ø°ÝÀÚµéÀº µ¥ÀÌÅͺ£À̽º¿¡¼ ÀÓÀÇÀÇ ¸í·ÉÀ» ¼öÇàÇϵµ·Ï ¿À¶óŬ(Oracle)ÀÇ PL/SQL ¾ð¾îÀÇ Æ¯Á¤ÇÑ µ¥ÀÌÅÍ À¯ÇüÀ» Á¶Á¾ÇÒ ¼ö ÀÖ´Ù. ¹®Á¦´Â ³¯Â¥(DATE)³ª ¼ýÀÚ(NUMBER)¿Í °°Àº µ¥ÀÌÅÍ À¯ÇüÀº ¾ÈÀüÇÏ´Ù°í »ý°¢µÇ¾îÁ³¾ú´Ù´Â Á¡ÀÌ´Ù.
¸®Ä¡Çʵå´Â ¡°¿¹¸¦ µé¾î ÀÌ°ÍÀº Á÷Á¢ÀûÀÌ ¾Æ´Ï¶ó À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÅëÇÑ SQL ÀÎÁ§¼Ç °áÁ¡ µîÀ» ÅëÇØ ¿ø°ÝÀ¸·Î Á¶Á¤µÉ ¼ö ÀÖ´Ù¡±¸ç ¡°¿ì¼±, ÀÓÀÇÀÇ SQLÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â Ã˸Š±â´ÉÀ» ½ÇÇàÇϱâ À§ÇØ »ðÀÔ ÁöÁ¡À» ÀͽºÇ÷ÎÀÌÆ®ÇÑ ÈÄ ÀÌ ±â¼úÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
¶ÇÇÑ Áö³ 4¿ù IBMÀÇ ISS X-Force ÆÀ ¿¬±¸¿ø ¸¶Å© ´Ù¿ìµå(Mark Dowd)´Â ³í¹®À» ÅëÇØ ¾ÖÇø®ÄÉÀ̼ǿ¡¼ ³Î Æ÷ÀÎÅÍ µð·¹ÆÛ·±½º(NULL pointer dereference)¸¦ ÀͽºÇ÷ÎÀÌÆ®ÇÏ´Â ±â¼úÀ» Áõ¸íÇß´Ù. ÀÌ ±â¼úÀº ÀÌÀü¿¡´Â ¾ÈÀüÇÏ´Ù°í »ý°¢µÇ¾ú´ø °ÍÀ» ÀͽºÇ÷ÎÀÌÆ®ÇÑ´Ù´Â ¸é¿¡¼ ¸®Ä¡ÇʵåÀÇ °Í°ú °°´Ù. ´Ù¿ìµåÀÇ °ø°ÝÀº º»·¡ ¾îµµºñ Ç÷¡½Ã(Adobe Flash)ÀÇ °áÁ¡À» ÀͽºÇ÷ÎÀÌÆ®Çϱâ À§ÇØ °í¾ÈµÇ¾úÀ¸³ª ´Ù¸¥ ¾ÖÇø®ÄÉÀ̼ǵéÀÇ À¯»çÇÑ °áÁ¡¿¡ ´ëÇؼµµ Àû¿ëµÉ ¼ö ÀÖ´Ù.
¸¶Å¸»ç³ë ½ÃÅ¥¸®Æ¼(Matasano Security)ÀÇ Ã¥ÀÓÀÚ Åè Æļ½(Tom Ptacek)Àº ¡°³Î Æ÷ÀÎÅÍ´Â ¼º¿ª°úµµ °°Àº Á¸Àç¿´´Ù. ¿Ö³ÄÇÏ¸é ¿ì¸®´Â ±×°ÍÀ» Ç×»ó º¸°í Àֱ⠶§¹®ÀÌ´Ù¡±¶ó¸ç ¡°¸¶Å© ´Ù¿ìµå°¡ Çس½ °ÍÀº ´Ù¸¥ ¸ðµç Ãë¾à¼º ¿¬±¸ÀÚµéÀÌ ¸·Çû´ø °÷¿¡¼ ÇÑ °ÉÀ½, ¾Æ´Ï ±×º¸´Ù ´õ ¸Ö¸® ³ª¾Æ°£ °ÍÀÌ´Ù. ³î¶ó¿î ÀÏÀÌ´Ù. ÀÌ·¯ÇÑ °í(ÍÔ) ·¹º§ÀÇ ¾ð¾îµéÀÌ Ãë¾àÇÏ´Ù´Â ¹ß°ßÀº ¾öû³ °ÍÀÌ´Ù¡±¶ó°í ¸»Çß´Ù.
Àü¹®°¡µéÀº ¼ÒÇÁÆ®¿þ¾î ¾÷üµéÀÌ °è¼ÓÇؼ ¾ÈÀüÇÑ ÄÚµù ¹æ¹ýÀ» »ç¿ëÇÏ¸ç °³¹ßÇÏ°í µµÀÔ Àü¿¡ º¸¾È ¸®ºä¸¦ °ÅÄ¡´Â ¾ÖÇø®ÄÉÀ̼ÇÀ» »ý»êÇÔ¿¡ µû¶ó ÀÌ¿Í °°Àº ±³¹¦ÇÑ »õ·Î¿î °ø°Ý ºÎ·ùµéÀÌ ¾ÕÀ¸·Î º¸´Ù ÀϹÝÀûÀ¸·Î »ç¿ëµÉ °ÍÀ̶ó°í ¸»Çß´Ù. ÀÌ·¯ÇÑ ¹æ¹ýµéÀº °¡Àå ÀϹÝÀûÀÎ ÄÚµù ¿¡·¯µéÀ» Àâ¾Æ³»±â À§ÇØ °í¾ÈµÇ¾î °ø°ÝÀÚµéÀÌ ÀͽºÇ÷ÎÀÌÆ®Çϱ⠰¡Àå ½¬¿î ±æÀ» Á¦°ÅÇÏ°í ÀÖ´Ù. ±×·¯³ª ÀÌ·¯ÇÑ ÀÔ±¸µéÀ» Æó¼âÇÔ°ú ´õºÒ¾î »õ·Ó°í º¸´Ù ´«¿¡ ¶çÁö ¾Ê´Â ¹®µéÀÌ ¹Ýµå½Ã ¿¸®°Ô µÉ °ÍÀÌ´Ù.
<±Û¡¤µ¥´Ï½º ÇǼÅ(Dennis Fisher)>
Copyright ¨Ï 2006 Information Security and TechTarget
[Á¤º¸º¸È£21c Åë±Ç 96È£(info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>