Q. À¥ Ç¥ÁØÈ°¡ ¿ÀÈ÷·Á »ç¿ëÀÚÀÇ ºÒÆíÇÔ°ú º¸¾È Ãë¾à¼ºÀ» °¡Áß½ÃŲ´Ù´Â ¹®Á¦Á¡µµ Á¦±âµÈ´Ù°í µé¾ú´Ù. ½ÇÁ¦ À¥ Ç¥ÁØ È¯°æ¿¡¼ º¸¾ÈÀÌ ´õ Ãë¾àÇÑ°ÇÁö, ±×·¸´Ù¸é ±× ÀÌÀ¯´Â ¹«¾ùÀÎÁö ±Ã±ÝÇÏ´Ù.
A-1. À¥ Ç¥ÁØÀ¸·Î ÀÎÇØ »ç¿ëÀÚÀÇ ºÒÆíÇÔ°ú º¸¾È Ãë¾à¼ºÀ» °¡Áß½ÃŲ´Ù´Â ¹®Á¦Á¡ÀÌ ÀÖ´Ù´Â ¾ê±â´Â ÀϺΠ¿ÀÇØ¿¡ ÀÎÇÑ °ÍÀ¸·Î »ý°¢µÈ´Ù.
À¥ Ç¥ÁØÀ» ÁöŲ´Ù°í Çؼ À¥ º¸¾È¿¡ ¹«Á¶°Ç ¾ÈÀüÇÏ´Ù´Â °ÍÀº ¾Æ´ÏÁö¸¸ À¥ Ç¥ÁØȸ¦ ÅëÇØ PC, ¸ð¹ÙÀÏ, TV µî µð¹ÙÀ̽º¿Í ºê¶ó¿ìÀú¿¡ °ü°è¾øÀÌ ÀÏ°üÀûÀÎ ÇüÅ·ΠÀ¥À» »ç¿ëÇÒ ¼ö Àֱ⠶§¹®¿¡ »ç¿ë¼ºÀº ´õ ¿Ã¶ó°¡°Ô µÇ¾î ´õ¿í Æí¸®ÇØÁú °ÍÀ¸·Î ¿¹»óµÈ´Ù. À¥ Ç¥ÁØÀ» ÁöÅ°Áö ¾Ê°í ÀÚü ±¸ÇöÇßÀ» °æ¿ì ÀÌ·Î ÀÎÇÑ Ãë¾àÁ¡µµ »ý±æ ¼ö ÀÖ´Ù.
°¡Àå ´ëÇ¥ÀûÀÎ ¿¹°¡ À¥ Ç¥ÁØ°ú º¸¾È »çÀÌ¿¡ ÀÖ´Â ActiveX¶ó°í ÇÒ ¼ö ÀÖ´Ù. ¿©·¯ °¡Áö ÀÌÀ¯¿¡ ÀÇÇØ Ç¥ÁØ°ú´Â °Å¸®°¡ ¸Õ ActiveX°¡ º¸¾ÈÀ» À§ÇØ ¸¹ÀÌ »ç¿ëµÅ ¿ÔÁö¸¸, ÀÌ·Î ÀÎÇÑ ¹®Á¦Á¡µéÀÌ ¸¹ÀÌ µµÃâµÇ¸é¼ ActiveX´Â º¸¾ÈÀÇ Å« °ñÄ©µ¢ÀÌ°¡ µÇ¾ú´Ù.
(Á¶¹ÎÀç ÄíÆÎ º¸¾È¾ÆÅ°ÅØóÆÀ)
A-2. À¥ Ç¥ÁØ È¯°æÀÇ ¹®Á¦Á¡Àº 2 ÆÑÅÍ(Factor) ÀÎÁõÀ» ¼öÇàÇÏÁö ¾ÊÀ» °æ¿ì À¥ ºê¶ó¿ìÀú ½º½º·ÎÀÇ º¸¾È ±â´É¿¡ ÀÇÁ¸ÇÏ°Ô µÈ´Ù´Â °ÍÀÌ´Ù. ¹®Á¦´Â À¥ ºê¶ó¿ìÀú¸¦ °³¹ßÇÏ´Â ±â°üÀº º¸¾È¾÷ü°¡ ¾Æ´Ï±â ¶§¹®¿¡ Å°·Î±ë, HTML Code Injection, ¸Þ¸ð¸® ÇØÅ·, ¿ª°øÇÐ µîÀÇ °ø°Ý¿¡ Ãë¾àÇÒ ¼ö ¹Û¿¡ ¾ø´Ù.
(±è¼±Á¾ ÀÌ´ÏÅØ Â÷Àå/seonjong.kim@initech.com)
A-3. À¥ Ç¥ÁØÈ ±â¼ú HTML5¸¦ »ç¿ëÇÑ´Ù°í °¡Á¤ÇÏÀÚ. HTML5¸¦ »ç¿ëÇÏ¸é º°µµÀÇ Ç÷¯±×ÀÎ ¾øÀÌ ÀÚüÀûÀ¸·Î 3D, µ¿¿µ»ó µî °í±Þ ±â´ÉÀ» ±¸ÇöÇÒ ¼ö ÀÖ°í, HTML5 Ç¥ÁØÀ» ÁؼöÇÏ´Â À¥ ºê¶ó¿ìÀú¸¦ ÀÌ¿ëÇÏ¸é ±â±â ¶Ç´Â Ç÷§Æû¿¡ °ü°è¾øÀÌ ±¸µ¿ÀÌ °¡´ÉÇÏ´Ù. ÀÌ·¯ÇÑ °¡¿îµ¥, 2012³â Blackhat¿¡¼ HTML5¿¡ ´ëÇÑ Ãë¾àÁ¡ À¯Çü 10°¡Áö¸¦ Á¦½ÃÇߴµ¥ ´ÙÀ½°ú °°´Ù.
1. CORS(Cross-Origin Resource Sharing) °ø°Ý ¹× CSRF(Cross-Site Request Forgery)
2. ClickJacking, CORJacking ¹× UI Ãë¾àÁ¡ °ø°Ý
3. HTML5 ű×, ¾ÖÆ®¸®ºäÆ® ¹× À̺¥Æ®¸¦ ÀÌ¿ëÇÑ XSS
4. Web Storage ¹× DOM Á¤º¸ ÃßÃâ
5. SQLi ¹× Blind ¿°Å
6. Web Messaging ¹× Web Worker ÀÎÁ§¼Ç
7. HTML5 ¹× MessagingÀ» ÀÌ¿ëÇÑ DOM ±â¹Ý XSS
8. ¼µåÆÄƼ / ¿ÀÇÁ¶óÀÎ HTML À§Á¬ ¹× °¡Á¬
9. Web Socket °ø°Ý
10. HTML5¸¦ ÀÌ¿ëÇÑ ÇÁ·ÎÅäÄÝ/½ºÅ°¸¶/API °ø°Ý
ÀÌó·³ À¥ Ç¥ÁØÀ» ÁؼöÇÑ´Ù´Â °ÍÀº À¥ ºê¶ó¿ìÀú/±â±â Â÷º° ¾øÀÌ ´©±¸µçÁö À¥ ÄÜÅÙÃ÷¸¦ »ç¿ëÇϵµ·Ï ÇÏ´Â °ÍÀÌÁö À¥ Ç¥ÁØÀ» »ç¿ëÇÑ´Ù°í Çؼ º¸¾È¼ºÀÌ ÁÁ¾ÆÁö´Â °ÍÀº ¾Æ´Ï¶ó°í »ý°¢ÇÑ´Ù.
ActiveXµµ Windows¿¡¼¸¸ ±¸µ¿ÇÒ ¼ö ÀÖ´Ù´Â Á¦¾à¸¸ ¾ø¾ú´õ¶ó¸é À¥ Ç¥ÁØÀÌ µÉ ¼ö ÀÖ¾úÀ» Áöµµ ¸ð¸¥´Ù. ÆíÀǼº¿¡ ´ëÇؼ ¸»ÇÏÀÚ¸é, ƯÁ¤ À¥»çÀÌÆ®°¡ ¸ðµç À¥ ºê¶ó¿ìÀú¡¤±â±â¿¡¼ ½ÇÇàµÇ´Â HTML5 ±â¼úÀÌ ¾Æ´Ñ ƯÁ¤ ¿î¿µÃ¼Á¦¡¤±â±â¡¤À¥ ºê¶ó¿ìÀú¿¡¼¸¸ ½ÇÇàµÇ´Â ActiveX µî ºñ À¥ Ç¥ÁØ ±â¼úÀÌ Æí¸®ÇÏ´Ù°í »ý°¢ÇÏÁö ¾Ê´Â´Ù.
(Àü½ÂÁØ Çѱ¹»ê¾÷±â¼úº¸È£Çùȸ °üÁ¦¿î¿µÆÀ ¿¬±¸¿ø/sjun@kaits.or.kr)
[±èÁö¾ð ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>