Web Security Solution All Guide

신뢰할 수 있는 인터넷 환경 조성해야

지금 전 세계는 초고속 통신망을 기반으로 컴퓨터, 통신, 가전, 방송 등이 하나의 디지털 미디어로 통합되어가고 있다. 이러한 기술의 발전은 독특하고 새로운 사회적 패러다임으로 변화를 가속시키고 있다.

사용자는 웹 기반의 다양한 서비스를 이용할 수 있으며 인터넷을 이용하여 기업 활동을 하거나 상거래를 하고자 하는 수요 또한 늘어나고 있다. 이는 인간의 삶에 큰 변화를 가져올 것이며 우리의 삶을 편리하고 풍요롭게 만들 것이라 예측된다. 유비쿼터스 컴퓨팅 환경 측면에서도 정보기술의 발전과 이를 활용한 비즈니스 환경의 변화는 개인과 기업 모두에게 편의성과 신속성, 가용성과 효율성 등 다양한 이익을 제공하지만, 정보보호의 측면에서 개인 정보의 노출 및 중요 시스템의 해킹, 유해 정보 및 바이러스의 유포 등 간과할 수 없는 ‘정보시스템의 역기능’을 함께 내포하고 있다. [표 1]은 OWASP가 분석한 웹 어플리케이션의 취약점을 10가지로 분류하여 나타낸 것 이다.

개인 정보 보호

다양한 웹 기반의 취약점 들 중에서도 첫 째로 요즘 가장 화두고 되고 있는 문제인 개인 정보의 유출 및 오·남용 등의 문제에 대하여 알아보고자 한다. 정보통신부와 한국정보보호진흥원의 2006년 조사 결과에 따르면 인터넷 이용자들이 가장 우려하는 정보화 역기능은 ‘개인정보와 프라이버시 침해’인 것으로 나타났다. 개인정보 및 프라이버시 침해에 대한 우려 또한 44.4%에서 55.7%로 상승하였고 개인정보의 유출 및 도용 등에 대한 사건이 빈번히 발생하고 점차 피해 정도가 심각해지면서 웹 환경 내에서의 개인 정보에 대한 중요도가 점점 증가하고 있다. [표 2]는 다양한 개인정보 침해 유형별  현황을 표로 나타낸 것이다.

국내의 사이트들은 회원 가입 시 주민등록번호 등의 민감한 정보를 대부분 요구하고 있으며 이러한 개인정보의 오·남용으로 여러 가지 금전적인 이득을 취할 수 있는 현실이다. 네트워크가 발달하기 이전까지 “프라이버시”는 ‘혼자 있을 권리(the right to be left alone)’를 나타내는 말이었다. 컴퓨터와 네트워크의 발달로 정보화 사회에 들어서면서 개인의 신상 정보에 관한 수집·분석·검색·복제·유통이 훨씬 용이해졌고 개인 정보 또는 프라이버시의 개념은 ‘자신에 관한 정보를 통제할 수 있는 권리’로 확장됐다.

즉, 한 개인이 자기에 관한 정보를 언제, 어떻게, 어느 정도 타인에게 유통시키느냐를 스스로 결정하는 권리로서 이해되기 시작되었다는 것이다. 그러나 이러한 개인정보의 부적절한 사용으로 인한 개인정보 침해 문제는 정보 통신 기술의 발전이 가져다 줄 긍정적인 효과를 반감시키는 데 결정적인 요인이 될 수 있기에 개인정보의 보호는 중요하다.

웹 페이지 공격으로 인한 피해

다음으로 홈페이지 변조 및 해킹, 악성 코드 삽입으로 인한 개인정보 유출, 스팸 발송에 이용 등의 웹 페이지 공격을 들 수 있겠다. 이러한 공격으로 사용자가 피해를 보게 되는 경우 기업은 이미지 실추, 사용자들의 손해 배상 청구, 사용자의 피해 등 많은 부작용이 발생하게 된다.

특히 최근에는 웹페이지 해킹이 최종 목적이 아닌 악성코드 삽입, 웹에서 보유하는 개인정보 탈취 등을 위한 중간 공격의 형태로 발전하여 이러한 공격이 결국에는 금전적인 이익을 취하기 위한 악의적인 해킹으로 발전되고 있다. 특히 메일을 통해 은행계좌정보나 신용카드번호 등 개인의 금융정보를 빼내는 ‘피싱(Phishing)’과 허위사이트로의 접속을 유도해 정보를 절취하는 ‘파밍(Pharming)’등 다양한 위협들이 등장하고 있어 전자 금융 거래에 대한 이용자들의 불안감과 위험이 증대 되고 있다.

이들은 최근 보안 범죄 분야에서 가장 큰 이슈로 부상되고 있는 것으로 이전의 바이러스나 웜과 같이 시스템을 직접 공격하는 것이 아니라 시스템에 접근하기 전에 고객의 정보를 가로채기 때문에 철저한 보안을 자랑하는 금융시스템도 속수무책일 수밖에 없다. 또한 사용자에게는 늘 이용하는 사이트로 착각하게 하여 의심하지 않고 자발적으로 민감한 정보를 제공하도록 하여 금전적인 피해를 입히기 때문에 이를 막을 수 있는 시급한 대응 방안이 필요하다.

콘텐츠 보안

마지막으로 웹 상에서의 개인정보 보호 못지않게 중요한 것이 콘텐츠 보안이다. 인터넷의 대중화, 가전제품의 지능화 및 네트워크화, 무선 네트워크의 활성화, 그리고 모바일 기기의 활용 증대와 함께 다양한 서비스와 디지털 콘텐츠의 융합에 따른 디지털 콘텐츠 서비스 기술이 하루가 다르게 발전하고 있다. 국내 디지털 콘텐츠 산업의 매출 규모는 조사를 처음 시작한 2001년 2조 8,722억원을 기록한 이래 연평균 25.8%의 높은 성장률을 기록하며 2006년에는 9조 597억원에 이른 것으로 나타났다.

그러나 디지털 정보는 무한대의 복사에도 원본과 동일한 품질 상태를 유지할 뿐만 아니라 초고속망을 통해 광범위한 지역으로 신속하게 배포가 가능하고 정보의 변경이 용이하다는 특성으로 인해 불법복제 및 위/변조 등과 같은 각종 보안 위협에 쉽게 노출되어 있다. 또한 통방융합, 디지털 홈, 디지털기기의 다기능화 등 디지털 기술의 컨버전스 가속화가 이루어지고 있는 상황에서 디지털 콘텐츠 산업을 보다 활성화하기 위해서는 다양한 콘텐츠 서비스 모델과 사용자 환경을 지원할 수 있는 콘텐츠 보호 기술이 필요하다.

이 밖의 다양한 웹 환경 내에서의 취약점 들은 서비스 이용자가 유·무선 컴퓨팅 환경의 서비스 이용을 기피하는 주요한 원인이 될 수 있으며 성장의 걸림돌로 작용 할 수 있다. 그러므로 지속적으로 발전되고 연구되고 있는 컴퓨팅 기술이 단지 개인 생활의 윤택과 제공 가능한 서비스의 창출에 포커스를 맞추어 개발되는 것이 아니라, 개인정보를 보호하고 신뢰할 수 있는 인터넷 환경을 조성할 수 있는 방향으로 개발되어야 한다.

웹 애플리케이션 취약 내용

XSS취약점은 콘텐츠를 암호화나 검증하는 절차 없이 사용자가 제공하는 데이터를 애플리케이션에서 받아들이거나, 웹 브라우저로 보낼 때마다 발생한다. XSS는 공격자가 희생자의 브라우저 내에서 스크립트를 실행하게 허용함으로써 사용자 세션을 가로채거나, 웹 사이트를 손상하거나 웜을 심는 것 등을 가능하게 할 수 있다.

인젝션 취약점, 특히 SQL 인젝션 취약점은 웹 애플리케이션에서 매우 흔하다. 인젝션은 사용자가 입력한 데이터가 명령어나 질의문의 일부분으로 인터프리터에 보내질 때 발생한다. 악의적인 공격자가 삽입한 데이터에 대해 인터프리터는 의도하지 않은 명령어를 실행하거나 데이터를 변경할 수 있다.

<글·홍승필 성신여대 교수(philhong@sungshin.ac.kr)>

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>