<À¥¹æȺ® Àü¹® '´åÅ¥¾î' ´ëÇ¥ ¼Õ û>
¹Ð¸®´Ï¾ö½Ã´ë°¡ µÇ¸é¼ IT ¾÷°è´Â ÇØÄ¿·ÎºÎÅÍ ¼¹öħÅõ¸¦ º¸È£ÇÏ´Â ¹æȺ® ÀåºñÀÇ Æ¯¼ö¸¦ ´©·È´Ù. ³×Æ®¿öÅ© º¸¾ÈÀº ÀÌÈÄ ±Þ¼ÓÇÏ°Ô ¹ßÀüÇÏ¿´°í ±× °á°ú ÇØÄ¿µéÀº À¥ ¾îÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÏ´Â »õ·Î¿î ¹æ¹ýÀ» »ç¿ëÇϱ⠽ÃÀÛÇß°í ÀÌ·¯ÇÑ ÇÇÇØ°¡ º¸°íµÇ¸é¼ »õ·Î¿î º¸¾ÈÀåºñÀÇ Çʿ伺ÀÌ ´ëµÎµÇ¾ú´Ù. ±×°ÍÀÌ ¹Ù·Î À¥ ¹æȺ®ÀÌ´Ù. Áú¹®Àº °£´ÜÇÏ´Ù. ´©°¡ ÀÌ°ÍÀ» ÇÊ¿ä·Î ÇÒ °ÍÀΰ¡?
Áö³ 8³â µ¿¾È IT»ê¾÷ÀÌ °É¾î¿Â ±æÀ» º¸¸é ¾ó¸¶³ª ºü¸£°Ô ÀÎÅͳÝÀÌ ¹ß´ÞÇßÀ¸¸ç ±×·ÎÀÎÇÑ °æÁ¦ÀûÀÎ È¿°ú¿Í ±Ô¸ð°¡ ¾î´À Á¤µµÀÎÁö »ìÆ캼 ÇÊ¿ä°¡ ÀÖ´Ù. ¼ö¾ï¸íÀÇ ÀÎÅÍ³Ý ÀÌ¿ëÀÚ, ȸ»ç°¡ »ý°å°í 1000Á¶ ÀÌ»óÀÇ °æÁ¦±Ô¸ð¸¦ Çü¼ºÇÏ¿´´Ù. ¹°·Ð ¸ðµç µ·°ú Á¤º¸°¡ ³×Æ®¿öÅ©¸¦ ÀÌ¿ëÇØ Àü´ÞµÇ´Â °ÍÀº ¾Æ´ÏÁö¸¸ ÀÎÅͳÝÀº ÇØÄ¿µé¿¡°Ô º¸¹°»óÀÚ³ª ´Ù¸§¾ø´Ù. Áö³ ¸î ³â µ¿¾ÈÀÇ ÁÖ¿äÇÑ ÀÎÅÍ³Ý Ä§ÇØ»ç°í¸¦ º¸¸é ÀÌ ¹®Á¦µéÀÌ ¾ó¸¶³ª ½É°¢ÇÑÁö ¾Ë ¼ö ÀÖ´Ù.
ÇØÅ·Àº ³îÀÌ¿¡¼ »ó¾÷ÀûÀ¸·Î ¸ñÀûÀÌ ¹Ù²î¾ú´Ù. ¿¹Àü¿¡´Â ÇØÅ·ÀÌ ´Ü¼øÇÑ Àç¹Ì ¶Ç´Â È£±â½É ÃæÁ·, ±×¸®°í ÇØÄ¿ÀÚ½ÅÀÇ ½Ç·ÂÀ» °¡´ÆÇÏ´Â ÆòÆÇÀ» ³ôÀ̱â À§ÇØ ÀÚÇàµÇ¾úÀ¸³ª ÀÌÁ¦´Â ÇØÅ·À» ÅëÇØ ¾òÀº µ¥ÀÌÅÍ°¡ °¡Ä¡¸¦ ¶ç°Ô µÇ¸é¼ ÀÌÀÍÀ» À§ÇÑ µµ±¸°¡ µÈ °ÍÀÌ´Ù.
90³â´ë Ãʸ¸Çصµ ¹æȺ®¸¸ ¼³Ä¡Çϸé ÀÎÅͳÝÀ» ÅëÇÑ ¸ðµç À§Çè¿¡ ¹æ¾îÇÒ ¼ö ÀÖ¾ú´Ù. ³×Æ®¿öÅ© Àü¹®°¡µéÀº º¸¾ÈÀ» À§ÇØ ÀϹÝÀûÀÎ ³×Æ®¿öÅ© ¹æȺ®(Firewall), ħÀÔ¹æÁö½Ã½ºÅÛ(IPS), ħÀÔŽÁö½Ã½ºÅÛ(IDS), °¡»ó»ç¼³¸Á(VPN), SSL ¾ÏÈ£È µîÀ¸·Î ¿©·¯ ´Ü°èÀÇ Àåºñ¸¦ ±¸ÃàÇÏ°í ÀÖ´Ù.
ÀÌ·¯ÇÑ º¸¾ÈÀåÄ¡µéÀº ÇØÄ¿µéÀÌ ´õ ÀÌ»ó ½±°Ô ³×Æ®¿öÅ©¿¡ ħÅõÇÒ ¼ö°¡ ¾ø°Ô ¸¸µé¾ú´Ù. °á±¹ ÇØÄ¿µéÀº »õ·Î¿î ¹æ¹ýÀ» ¸ð»öÇÏ°Ô µÇ¾ú°í, À¥¾ÖÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ÇØÅ·ÀÌ ±Þ°ÝÈ÷ ´Ã°Ô µÇ¾ú´Ù.
À¥¹æȺ®(Web Application Firewall)Àº À¥Å¬¶óÀ̾ðÆ®¿Í À¥¼¹ö »çÀÌ¿¡¼ OSI ·¹À̾î7 ´Ü°è¿¡¼ Æ®·¡ÇÈÀ» ºÐ¼®ÇÏ°Ô µÈ´Ù. ÀϹÝÀûÀ¸·Î µöÆÐŶÀνºÆå¼Ç(DPI, Deep-Packet Inspection)À¸·Î ºÎ¸£±âµµ Çϴµ¥ ¿Ö³ÄÇϸé À¥¹æȺ®Àº HTTP/HTTPS/SOAP/XML-RPC/Web ¼ºñ½º ·¹À̾ ´ëÇØ ¸ðµç ¿äû°ú ÀÀ´äÀ» üũÇϱ⠶§¹®ÀÌ´Ù.
À¥¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÇùȸ¿¡ µû¸£¸é ±¹Á¦Àü¹®°¡Áý´Ü, ¾÷°èÀü¹®°¡µî°ú ¿ÀǼҽº¿Í ¾÷°è¿¡¼ Ç¥ÁØÀ¸·Î ÀÎÁ¤¹ÞÀº ¿ùµå¿ÍÀ̵åÀ¥¿¡ ´ëÇÑ º¸¾È¿¡ ´ëÇÏ¿© 31,373°³ÀÇ »çÀÌÆ®¸¦ Á¶»çÇÑ ÈÄ °¡Àå ¸¹Àº 5°¡ÁöÀÇ À¥ ¾îÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡À» ¹ßÇ¥ÇÏ¿´´Âµ¥ Ãë¾àÁ¡ ±¸Á¶¸¦ ºÐ¼®Çغ¸¸é °¡Àå Å« ¹®Á¦´Â ÆÐÅ°Áö°¡ ¾Æ´Ñ ÃÖÁ¾ °³¹ß´Ü°è¿¡¼ ¸¸µé¾îÁø À¥ ¾îÇø®ÄÉÀ̼ǵ鿡¼ ¹ß»ýÇÏ´Â °ÍÀÌ´Ù.
Ãë¾àÁ¡ÀÌ ¾ø´Â ¿ÏÀü¹«°áÇÑ º¸¾È¿¡ ¿Ïº®ÇÑ ÇÁ·Î±×·¥À» °³¹ßÇÑ´Ù´Â °ÍÀÌ Çö½ÇÀûÀ¸·Î ºÒ°¡´ÉÇÏ°í, ¶ÇÇÑ Ãë¾àÁ¡ ºÐ¼®ÅøÀ» ÀÌ¿ëÇÏ¿© º¸°í¼¸¦ °¡Áö°í ÀÖ´õ¶óµµ À̸¦ ´Ù½Ã ¼öÁ¤ÇÏ°í º¸¿ÏÇϴµ¥ ÇÊ¿äÇÑ ½Ã°£À» ÃæºÐÈ÷ È®º¸Ä¡ ¸øÇÑ °æ¿ì ±×´ë·Î ³ëÃâµÉ ¼ö ¹Û¿¡ ¾ø´Ù´Â °ÍÀÌ´Ù. ÀÌ·¯ÇÑ ÀÌÀ¯·Î Àü¹®°¡µéÀº À¥¾îÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡ÀÌ °¡Àå À§ÇèÇÑ ¿ä¼Ò¶ó°í °æ°íÇÏ°í ÀÖ´Ù.
ÀÌ·¯ÇÑ Á¡µéÀ» Á¾ÇÕÇغ¼ ¶§ À¥¹æȺ®Àº ¹ÙÀÌ·¯½º ¹é½Åó·³ ¸ðµç ¼¹ö¿¡ Àû¿ëÀÌ µÇ¾î¾ß ÇÒ °ÍÀÌ´Ù. À¥ ¾îÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ¸ðµÎ º¸¿ÏÇÏ°í ¿Ïº®ÇÏ°Ô ¸¸µå´Â °ÍÀº °³¹ßÀÚµéÀÇ ²ÞÀÌÁö¸¸ Çö½ÇÀûÀ¸·Î ºÒ°¡´ÉÇÑ ÀÏÀ̱⠶§¹®ÀÌ´Ù.
Source : Web Application Security Consortium(WASC 2007)
À¥¹æȺ®ÀÇ ±âº»ÀÌ µÇ´Â ¾îÇø®ÄÉÀÌ¼Ç º¸¾ÈÀÇ Çʼö¿ä¼Ò¸¦ »ìÆ캸¸é ´ÙÀ½°ú °°´Ù.
¾îÇø®ÄÉÀÌ¼Ç ·¹º§ÀÇ °ø°ÝÀº À¥¼¹ö¿¡ ¿äûµÇ´Â Æ®·¡ÇÈÀÇ ³»¿ëÀ» ºÐ¼®ÀÌ ¼±ÇàµÇ¾î¾ß °¡Àå Àß ¹æ¾îÇÒ ¼ö ÀÖ´Ù. µû¶ó¼ ¾îÇø®ÄÉÀÌ¼Ç º¸¾È ¼Ö·ç¼ÇÀº ´ÙÀ½°ú °°Àº ±â´ÉÀ» °¡Áö°í ÀÖ¾î¾ß ÇÑ´Ù.
¡áEncryption - À¥¼¹ö¿¡ ´ëÇÑ ¸ðµç ¿äûÀ» ÀÐÀ» ¼ö ÀÖ¾î¾ß Çϸç, SSL ¾ÏÈ£ÈµÈ ¿äûÀ» ¿ÀÇÂÇÏ¿© ¾È¿¡ ´ã±ä ÄÁÅÙÃ÷ÀÇ ³»¿ëÀ» ¾Ë ¼öÀÖ¾î¾ß ÇÑ´Ù.
¡áContents - Çì´õ¸¦ Æ÷ÇÔÇÏ¿© ÄÁÅÙÃ÷ÀÇ ¸ðµç ¿äû³»¿ëÀ» ¾Ë¼ö ÀÖ¾î¾ß ÇÑ´Ù.
¡áApplication - ¿ÀŽÀ» ¹æÁöÇϱâ À§ÇÏ¿© ¾îÇø®ÄÉÀ̼ÇÀÌ ½ÇÇàµÇ¸é¼ »ç¿ëµÇ´Â Á¤È®ÇÑ FormÀ» ºÐ¼®ÇÏ°í ÆÇ´ÜÇÏ¿©¾ß ÇÑ´Ù.
¡áÀ§Çè¿ä¼ÒÆÇ´Ü - »õ·Î¿î °ø°Ý¿¡ ´ëÇÑ ¹æ¾î°¡ Áï½Ã ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù.
À¥ ¾îÇø®ÄÉÀÌ¼Ç º¸¾È ¼Ö·ç¼ÇÀº ¿ÜºÎ¿¡ °ø°³µÈ À¥»çÀÌÆ®»Ó ¾Æ´Ï¶ó ³»ºÎ ¾îÇø®ÄÉÀ̼ǰú ¿ÜºÎ ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇؼµµ º¸È£°¡ µÇ¾î¾ß ÇÔÀº ¹°·ÐÀÌ´Ù.
À¥ ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ º¸¾ÈÄÚµùÀ» ¿Ïº®ÇÏ°Ô ÇÒ ¼ö ¾ø´Ù¸é À¥¹æȺ®ÀÇ µµÀÔÀº ȨÆäÀÌÁö¸¦ ¹æ¹®ÇÏ´Â °í°´µéÀ» À§Çؼ ÇʼöÀûÀÎ ¼±ÅÃÀÌ µÇ¾î¾ß ÇÒ °ÍÀÌ´Ù. À¥¹æȺ®ÀÌ È¨ÆäÀÌÁö º¸¾È¿¡ Àý´ëÀûÀÎ ´ë¾ÈÀÌ µÉ ¼ö´Â ¾ø´Ù. ¶ÇÇÑ º¸¾ÈÁ¦Ç°¿¡ ¿Ïº®À̶ó´Â ´Ü¾î´Â Á¸ÀçÇÏÁö ¾Ê´Â´Ù. ±×·¯³ª ÃÖ¼ÒÇÑÀÇ ¿ïŸ¸®´Â °®Ãß°í ´õ ÀÌ»ó ÇØÄ¿µéÀÇ º¸¹°»óÀÚ ¿ªÇÒÀÌ µÇ´Â °ÍÀº ¸·¾Æ¾ß ÇÏÁö ¾ÊÀ»±î?
[±Û¡¤¼Õ û ´åÅ¥¾î ´ëÇ¥]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>