»ç¿ëÀÚ, ¸®±×¿Àºê·¹Àüµå °Ô½Ã¹° »ç¿ë ½Ã Ŭ¸¯ ÁÖÀÇ, Æ˾÷ Â÷´ÜÇؾß
¶óÀ̾ù °ÔÀÓÁî, Á¶¼ÓÇÑ Á¶Ä¡...ÇöÀç ÆÐÄ¡ÀÛ¾÷ ¿Ï·á
[º¸¾È´º½º ±èÅÂÇü] ±¹³» À¯¸í ¿Â¶óÀÎ °ÔÀÓÀÎ ¡®¸®±× ¿Àºê ·¹Àüµå(League of Legneds)¡¯¿¡¼ XSS(Cross Site Scripting) º¸¾È Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾î ÇØ´ç »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ƯÈ÷ XSS °ø°ÝÀº SQL ÀÎÁ§¼Ç °ø°Ý°ú ÇÔ²² °¡Àå À§Ç輺ÀÌ ³ôÀº Ãë¾àÁ¡À¸·Î ±¹Á¦ À¥ º¸¾È Ç¥Áرⱸ¿¡¼ °æ°íÇÏ´Â 10´ë À¥ º¸¾ÈÃë¾àÁ¡¿¡¼ ¼öÀ§¸¦ Â÷ÁöÇÑ´Ù.
À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡Àº HTML ű׿¡ ´ëÇÑ ÇÊÅ͸µÀÌ Á¦´ë·Î ÀÌ·ç¾îÁöÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â Ãë¾àÁ¡À¸·Î ÇØ´ç ¼ºñ½º »ç¿ëÀÚ´Â CSRF, ¾Ç¼ºÄÚµå ¹èÆ÷, ÇÏÀÌÀçÅ· °ø°Ý µî 2,3Â÷ ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖ¾î °¢º°È÷ ÁÖÀÇÇØ¾ß ÇÑ´Ù.
À̹ø º¸¾È Ãë¾àÁ¡À» ¹ß°ßÇÑ ±¹Á¦ Á¤º¸º¸¾È±³À°¼¾ÅÍ(I2sec) °û±â¿ë ¾¾´Â ¡°À̹ø¿¡ ¹ß°ßÇÑ XSS Ãë¾àÁ¡Àº HTML ű׿¡ ´ëÇÑ ÀûÀýÇÑ ÇÊÅ͸µÀÌ ÀÌ·ïÁöÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â Ãë¾àÁ¡À¸·Î »óȲ¿¡ µû¶ó CSRF, ÇÏÀÌÀçÅ·, ¾Ç¼ºÄÚµå ¹èÆ÷·Î À̾îÁú ¼ö ÀÖ¾î »ç¿ëÀÚµéÀº ÁÖÀÇÇØ¾ß ÇÑ´Ù¡±¸é¼ ¡°ÇöÀç ¶óÀ̾ù°ÔÀÓÁîÄÚ¸®¾Æ Ãø¿¡ ÀÌ·¯ÇÑ Ãë¾àÁ¡ ³»¿ëÀ» Àü´ÞÇÑ »óȲ¡±À̶ó°í ¼³¸íÇß´Ù.
ÀÌ¾î¼ ±×´Â ¡°¶óÀ̾ù °ÔÀÓÁîÄÚ¸®¾Æ°¡ ¿î¿µÇÏ´Â ¸®±× ¿Àºê ·¹Àüµå ȸ»ç´Â ±¹³» ÃÖ´ëÀÇ °ÔÀÓ È¸»ç·Î½á ¸¹Àº ÀÌ¿ëÀÚµéÀÌ ¸Å¿ì ¸¹´Ù. ÀÌ¿¡ °æ°¢½ÉÀ» °®°í ºü¸¥ ´ëÀÀ Á¶Ä¡¸¦ ÃëÇØ¾ß ÇÒ °ÍÀÌ´Ù¡±¶ó°í µ¡ºÙ¿´´Ù.
À̹ø ¸®±× ¿Àºê ·¹Àüµå °ÔÀÓÀÇ XSS Ãë¾àÁ¡À» »ìÆ캸¸é ¾Æ·¡¿Í °°´Ù.
¡ã ½ºÅ©¸³Æ®¸¦ ÀÔ·ÂÇÑ´Ù
¡ã ÇØ´ç ½ºÅ©¸³Æ®°¡ Á¤»óÀûÀ¸·Î µ¿À۵Ǵ °ÍÀ» È®ÀÎ ÇÒ ¼ö ÀÖ´Ù.
¡ã °Ô½Ã¹° »èÁ¦ÄÚµå ÀÔ·ÂÇÑ´Ù
¡ãÁ¤»óÀûÀ¸·Î »èÁ¦µÇ´Â °ÍÀ» È®ÀÎ ÇÒ ¼ö ÀÖ´Ù
À§ ±×¸²Ã³·³ ÇØ´ç ½ºÅ©¸³Æ®¸¦ ÀÔ·ÂÇÏ°Ô µÇ¸é °Ô½Ã¹°À» µî·Ï ÇÒ ¼ö ÀÖ´Ù. ±×·± ´ÙÀ½ »ç¿ëÀÚ³ª ¿î¿µÀÚ°¡ °Ô½Ã¹°À» ÀÐ°Ô µÇ´Â °æ¿ì ÇØ´ç ºê¶ó¿ìÀú¿¡¼ ÇØ´ç ½ºÅ©¸³Æ®°¡ Á¤»óÀûÀ¸·Î µ¿À۵Ǵ °ÍÀ» È®ÀÎ ÇÒ ¼ö ÀÖ´Ù.
±¹Á¦ Á¤º¸º¸¾È±³À°¼¾ÅÍ ÃøÀº ¡°À̹ø Ãë¾àÁ¡ÀÇ ÇØ°á ¹æ¾ÈÀ¸·Î´Â »ç¿ëÀÚÀÇ ¿ìȸ °ø°ÝÀÌ °¡´ÉÇÑ Å±׸¦ ±ÝÁöÇÏ°í ´ÙÀ½ Ãø¿¡¼ Á¦°øÇÏ´Â ¿¡µðÅ͸¦ ÅëÇؼ¸¸ ÄÜÅÙÃ÷¸¦ ¸µÅ©ÇÒ ¼ö ÀÖµµ·Ï ¼³Á¤ÇÏ´Â ¹æ¹ý µîÀ¸·Î º¸¾ÈÀ» °ÈÇÒ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
ÇöÀç ¶óÀ̾ù °ÔÀÓÁîÄÚ¸®¾Æ Ãø¿¡ ÀÌ¿Í °°Àº Ãë¾àÁ¡¿¡ °üÇÑ ³»¿ëÀ» Àü´ÞÇßÀ¸¸ç, ¶óÀ̾ù °ÔÀÓÁîÄÚ¸®¾Æ ÃøÀº ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡ ÀÛ¾÷À» ÁøÇà ÁßÀÎ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ÀÌ¿¡ »ç¿ëÀÚµéÀº ¸®±×¿Àºê·¹ÀüµåÀÇ °Ô½Ã¹° »ç¿ë ½Ã Ŭ¸¯À» ÁÖÀÇÇÏ°í Æ˾÷ Â÷´Ü ¼³Á¤ µîÀ» ÅëÇØ º¸¾È¿¡ °¢º°È÷ ½Å°æ½á¾ß ÇÒ °ÍÀ¸·Î º¸ÀδÙ.
ÀÌ¿Í °ü·ÃÇØ ¸®±×¿Àºê·¹Àüµå ÃøÀº ¡°ÇØ´ç »çÇ׿¡ ´ëÇØ º¸¾ÈÁ¶Ä¡¸¦ ¿Ï·áÇß´Ù. ÃßÈÄ¿¡µµ ÀÌ·¯ÇÑ º¸¾È Ãë¾àÁ¡¿¡ ´ëÇؼ´Â Á¶¼ÓÇÑ Á¶Ä¡¸¦ ÅëÇØ ÀÌ¿ëÀÚµéÀÇ ºÒÆíÀÌ ¾øµµ·Ï ÃÖ¼±À» ´ÙÇÒ °Í¡±À̶ó°í ¸»Çß´Ù.
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>