웹 애플리케이션 취약점 분석과 차단으로 피해 최소화

웹 애플리케이션 취약점을 이용한 해킹은 점차 다양해지고 이로 인한 개인정보 유출사고는 특히 각 기업과 기관 그리고 개개인들에게 커다란 피해를 주고 있다. 이렇게 해킹으로 유출된 개인정보는 이를 필요로 하는 이들에게 다시 판매되고 있다. 이에 웹 애플리케이션 보안에 대한 인식이 확대되고 웹 해킹 방어와 차단이 가능한 웹 방화벽과 웹 스캐너, 그리고 취약점분석 툴, 소스코드 보안 등의 웹 보안과 관련된 솔루션에 대한 관심이 높아지고 있다. 특히 웹 방화벽은 기존의 침입탐지시스템(IDS), 침입방지시스템(IPS)이 탐지할 수 없는 웹 관련 공격들을 분석하고 필터링을 통해 차단·방어하기 때문에 각 금융기관과 공공기관, 그리고 온라인 비즈니스 기업 등에서 대부분 도입해 운영하고 있다. 이 외에 웹 스캐너, 취약점분석 툴, 소스코드 보안 관련 솔루션을 통해서도 웹 보안을 한층 더 강화할 수 있다.

안전한 웹 서비스 위한 애플리케이션 보안 필요성 확대

대부분의 해킹은 웹 애플리케이션 취약점을 공격하는 것이다. 최근에도 웹 애플리케이션 취약점을 이용한 해킹과 정보유출 사건은 자주 일어나고 있다. 특히 중국발 해킹, 온라인 주식투자 계정 해킹, 게임머니 해킹, 공공기관 홈페이지의 개인정보유출, 온라인 뱅킹 해킹 등 끊이지 않는 웹 애플리케이션 취약점을 이용한 해킹 공격이 급증하고 있어 각 기업과 기관의 보안담당자들은 골치를 앓고 있다.

해킹의 대부분이 웹 애플리케이션 취약점을 공격하고 최근에도 이를 이용한 해킹, 정보유출 등의 보안 위협은 날로 증가하고 있어 이를 간과할 수 없다. 특히 몇 년 전부터 현재까지 중국발 해킹, 리니지 명의도용사태, 온라인 주식투자 계정 해킹, 게임머니 해킹, 공공기관 홈페이지의 개인정보유출, 금융기관 해킹, 온라인 뱅킹 해킹 등 웹 애플리케이션 취약점을 이용한 해킹 공격이 증가하고 있다.

 

이러한 가운데 웹 보안과 웹 애플리케이션 방화벽에 대한 인식이 확대되고 있다. 기존의 네트워크 보안제품으로는 80포트, 443포트 차단이 어렵다는 점에 착안해 등장한 웹 애플리케이션 방화벽은 지난 2006년 하반기를 기점으로 공공기관 부문 주도로 본격 도입되기 시작됐다. 웹 애플리케이션 방화벽은 애플리케이션 계층 분석기술과 정규화 기술을 바탕으로 기존의 침입탐지시스템(IDS), 침입방지시스템(IPS)이 탐지할 수 없는 웹 관련 공격들을 분석과 필터링, 보안관리의 기능으로 방어와 차단이 가능하다. 암호화·인코딩된 트래픽을 처리 및 검사, 웹 애플리케이션 코드 자체의 취약점을 보호하는데 기존 네트워크 보안 시스템으로는 한계가 있기 때문이다.

 

최근 인터넷의 사용이 대중화되면서 웹을 통한 다양한 서비스와 비즈니스 분야가 기업과 공공기관 등에서 다양한 서비스로 제공되고 있으며 특히 초기의 단순 자료 검색에서 전문화된 서비스와 애플리케이션 제공으로 그 분야의 다양화 및 부가가치가 날로 높아지고 있는 추세다. 그러나 이러한 발전과 더불어 IT 인프라와 관련된 보안사고와 취약점은 날로 증가하고 있으며 그 방법도 다양해졌다. 특히 최근에는 웹 관련 보안 사고들이 급격한 증가세를 보이고 있다.

 

과거부터 IT보안에 대한 관심은 계속되어 왔으며 특히 최근의 보안 이슈가 개인정보보호와 정보유출방지 등을 포함한 애플리케이션 분야로 확대되고 있다. 그러나 아직도 대부분은 웹 애플리케이션 보안보다는 IT 인프라 보안에 대한 투자와 관심을 우선시 하는 경향이 높다. 하지만 점차 전문화된 영역과 깊이 있는 보안 수준을 추구하고 안전한 웹 서비스와 같은 새로운 요구조건이 등장하면서 애플리케이션 보안에 대한 필요성이 증가하고 이에 대한 관심이 더욱 고조되어 공공기관과 금융기관 등에서 웹 애플리케이션 보안에 대한 투자가 확대되고 있다.

 

특히 웹 방화벽은 공공기관에서 대기업, 금융기관, 교육기관 등으로 도입이 확대되고 있는 추세다. 공공기관에 비해 대기업과 금융기관은 성능, 서비스 가용성 등을 문제점으로 지적하고 도입을 미루어 왔지만 최근 웹 방화벽의 필요성의 확대와 대기업들의 핵심기술 유출, 금융기관들의 인터넷뱅킹 해킹사례 등으로 도입이 확대되고 있다. 특히 기업대상 웹 방화벽 시장은 대기업과 금융기관, 대형 포털 기업 등을 중심으로 확대되고 있다. 이와 같이 기업 대상의 사업 규모가 커짐에 따라 웹 방화벽 업체들은 기업의 요구에 맞는 고성능 제품으로 업그레이드시키고 있으며 융겫므?보안 기술을 접목한 신제품 개발에도 박차를 가하고 있다.

웹 방화벽, 웹 애플리케이션 보안에 최적

웹 방화벽은 애플리케이션의 계층분석 기술과 정규화 기술을 바탕으로 특화된 검사 엔진을 탑재해서 URL에 따른 접근 제어 기능과 SSL 트래픽을 자체적으로 복호화 검사하여 처리하기 때문에 기존의 보안 시스템과는 다른 차별성을 가지고 있다.

분석해야 할 자료를 어디에서 얻는지에 따라 네트워크 기반과 웹 서버 기반으로 나누는데 네트워크 기반의 방화벽은 HTTP/HTTPS 트래픽을 분석함으로 웹 서버의 종류와 상관없이 보호가 가능한데 비해 웹 서버 기반은 웹 서버가 제공하는 API 기반으로 구현되어 해당 웹 서버(IIS/아파치)의 플러그인 형식으로 탑재된다. 웹 애플리케이션의 모델은 포지티브 시큐리티 모델과 네거티브 시큐리티 모델로 구분하는데 포지티브 시큐리티 모델은 안전하다고 정의된 것만 허용하고 네거티브 시큐리티 모델은 위험하다는 것만 거부하고 나머지는 모두 허용하는 모델이다.

 

포지티브 시큐리티 모델이 먼저 URL 접근제어나 특정 방법의 수행 여부 허가 등, 접근 및 사용이 허가된 목록을 기준으로 필터링을 수행한다. 필터링이 수행되고 난 이후 네거티브 시큐리티 모델이 패턴 매칭, 입력 값에 대한 검증, 비정상 침입탐지 기능을 구현하여 애플리케이션 레벨에 대한 공격을 탐지한다.

 

웹 2.0은 대화형 웹 프로그램을 사용하여 자바스크립트(AJAX) 같은 기술의 사용이 급증하였기 때문에 보안상 문제점이 현재 많이 존재하고 있고 악성코드를 침투시키거나 데이터 조작을 통해 기존의 서비스에 영향을 끼치는 여러 가지 공격이 가능하다. 이러한 보안상의 문제로 인해 미국의 마이스페이스닷컴은 웜바이러스에 공격당하고 야후닷컴에서는 야후배너가 각각 자바스크립트로 인한 허점으로 공격을 받기도 했다. 이러한 허점을 없애기 위해 기존의 모든 웹 코드를 수정하는 것에는 시간이 걸릴 뿐더러 기존의 방화벽으로는 이러한 공격에 대응하는 것이 부족하기에 웹 방화벽의 필요가 더욱 더 절실해 지고 있다.

 

웹 방화벽은 웹 서버에서 보내는 정보에 대한 컨텐츠 필터링 기능이 있어서 그 컨텐츠의 내용을 해석하여 무단으로 정보가 노출되는 것을 막는 역할도 한다. 가령 웹서버에 연결된 데이터베이스에서 에러가 발생할 때 나오는 데이터베이스 고유 에러 메시지는 개발자 측면에서는 개발시에 필요한 중요한 정보를 담고 있는데 이 정보는 침입하려는 측에게도 중요하게 사용되기에 이러한 정보가 전송되는 것을 막는다.

 

또한 주민등록번호나 신용카드번호의 유출을 막는 기능도 하며 필터링 이후에는 쿠키에 대한 무결성 검사나 히든 필드의 변조를 막기 위한 암호화를 수행한다. 웹 방화벽은 기존의 소스코드 검사 도구와 달리 현재 운용중인 시스템에 기존 웹 애플리케이션의 수정 없이 구축할 수 있어 웹 애플리케이션의 보안을 위한 가장 좋은 방어 대책으로 부상하고 있다.

보안 시스템의 한계 극복

최근 기업이나 공공기관 애플리케이션 전산 환경은 하루가 다르게 웹 기반으로 바뀌고 있다.

이는 언제, 어디서나 내부망 접속이 가능하며 다양한 정보를 손쉽게 공유할 수 있는 편리함 때문이다. 그러나 이러한 환경은 웹 특성상 서비스를 위해 80포트(HTTP)나 443포트 같은(HTTPS)같은 통로를 열어놔야 하는 구조상 근본적인 취약점을 안고 있다.

 

이에 따라 이곳을 통해 웹 프로그램의 설정 오류나 개발 오류로 인한 웹 애플리케이션 자체의 취약점을 이용한 홈페이지와 웹 서버 해킹이 시도될 수도 있는 것이다. 이러한 서비스 포트를 통한 침입 공격의 유형의 85% 이상이 웹 애플리케이션 서비스 포트를 통한 공격이다. 실제로 웹 고객 정보를 빼돌리거나 콘텐츠 변조, 서비스거부 공격(DoS), 홈페이지 위·변조, 내부 중요 시스템의 침입 등 해킹사고가 최근 들어 눈에 띄게 늘고 있다.

 

이러한 웹 애플리케이션을 통한 보안 사고는 PHP 취약점 및 제로보드·그누보드·코웹로그 등 웹 게시판 프로그램의 취약점을 이용한 해커그룹이 홈페이지를 무차별 변조하면서 발생한 현상으로 전 세계적으로 ‘주의경보’발령과 더불어 즉각적인 수정 및 패치 업그레이드를 권장하고 있다. 당시 구글 등 인터넷 검색엔진을 이용해 관련 취약점이 패치되지 않은 웹 서버들을 찾아 해킹한 것으로 판단되며 단시일 내에 700여 개 홈페이지가 변조되었고 이중 450개는 한 해커그룹에 의해 이뤄지기도 했다. 이는 하나의 취약성으로 인해 얼마나 많은 시스템이 피해를 입을 수 있는지를 보여준 사건이었다.

 

이와 같은 사건에 대한 웹 보안 강화방법으로 제일 먼저 고려할 수 있는 것은 개발자의 웹 프로그래밍 시 코드상의 오류를 근본적으로 고치는 것이다. 하지만 대부분의 웹 애플리케이션프로젝트에서는 서비스의 편의성 및 기능 구현을 중요시하는 풍조, 프로젝트 오픈 완료 일정에 따른 소스 보안검증의 부실함으로 인해 개발자 스스로도 취약성을 인지하면서도 보안성 강화를 무시하여 많은 취약성을 가진 웹 애플리케이션이 구축되는 경우가 많다. 그러나 시스템 오픈 후 취약성이 존재하는 소스를 일일이 찾아내어 고친다는 것은 많은 시간과 비용을 필요로 하며 보안성강화를 통한 프로세스의 변경 및 재개발, 성능 저하에 대한 우려를 이유로 대부분의 웹 사이트가 사고 발생 전까지 무방비상태로 놓이게 되며 큰 사고로 연결되기도 한다.

 

초기 보안시스템의 이슈는 방화벽으로부터 시작해 침입탐지시스템(IDS)또는 침입방지시스템(IPS)을 웹 서버의 앞 단에 구축해 불법적인 침입을 막는 역할을 했다. 이러한 보안 시스템은 1세대 또는 2세대 보안 시스템으로서 불특정한 침입자에 대한 보안을 하기 위한 것으로 네트워크 레벨에서 사용하지 않거나 인증되지 않은 포트를 차단하고 패킷에 대한 필터링을 통해서 비정상적인 침입자를 차단하기 위한 기능이 주였다.

 

그러나 여기에는 커다란 문제가 존재한다. 웹의 특성상 방화벽을 설치하더라도 사용되는 서비스 포트는 항상 개방해야 하기 때문에 웹 서비스 포트를 통한 공격에 대해서는 무방비 상태로 노출된다는 것이다. 최근 지원영역을 애플리케이션 단까지 확장한 DPI (Deep Packet Inspection) 방화벽이나 IPS가 출시되고 있으나 네트워크 레벨 기반의 보안 시스템에서 애플리케이션 레벨의 방어를 하는 데는 한계를 갖고 있을 수 밖에 없다.

 

이들은 주로 시그니처에 의존한 패턴 매칭기술을 기반으로 애플리케이션 영역의 ‘이미 알려진 공격’만을 차단하기 때문에 패턴데이터에 저장되지 않은 웹 애플리케이션 공격을 탐지하거나 기업에서 자체적으로 개발한 웹 애플리케이션의 취약점을 이용한 시그니처를 제공하지 못하는 한계가 있다. 이에 따라 기존 보안 시스템의 한계를 극복하기 위해 등장한 보안 시스템이 웹 방화벽이다.

 

이충우 펜타시큐리티 부장은 향후 웹 방화벽 시장에 대해 “앞으로 웹 방화벽은 공공시장에서 민수시장으로 확대될 것으로 전망하다”며 “도입하기를 꺼려했던 고객들의 도입이 시작되고 있고 대기업 계열사부터 언론사, 제조업 분야 등으로 전 산업분야로 확대되고 있는 추세”라고 설명했다.

 

그리고 그는 올해가 지나면 웹 방화벽의 시장경쟁구도는 시장 점유율로 봤을 때 상위 1위 업체부터 4위 정도의 업체까지만 살아남고 나머지 업체들은 시장에서 퇴출되거나 사업을 접을 것으로 내다봤다. 기술적인 부분에서는 하이엔드급 장비들이 등장했는데 이는 다중네트워크 지원을 요구하는 대학이나 대기업들을 대상으로 웹서버 바로 앞에만 구축하던 웹 방화벽을 백본단위에 구축하는 경향이 점차 확산되고 있다고 이 부장은 설명했다.

 

또한 그는 웹을 통해 개인정보가 유출되는 보안 이슈로 인해 웹 방화벽의 수요가 증가하고 있고 최종 고객뿐 아니라 SI 업체도 고객들에게 웹 방화벽은 꼭 필요한 보안 솔루션으로 소개하고 있다고 말했다. 웹을 통한 보안 사고를 쉽게 접한 고객들도 이제는 웹 방화벽이 주요 보안 솔루션으로 인식되고 있는 상황이라는 것. 최근 발생한 개인정보 수천만건이 유출된 사건도 몇몇 해당 피해 업체는 웹방벽과 DB보안 솔루션 등이 없었기 때문인 것으로 알려졌다.

지속되는 웹 해킹 사건

● 온라인 뱅킹 해킹 당한 美 기업 ‘파산’ 위기

해킹은 단순한 개인적 문제가 아니라 기업 활동을 포함한 경제행위 전반에 막대한 피해를 줄 수 있는 심각한 문제라는 사실을 입증하는 사례가 지난 2월 미국에서 발생해 충격을 주고 있다. 외신 보도에 따르면 최근 뉴욕의 한 작은 프로모션 회사인 Little & King LLC는 악성코드 감염으로 인한 온라인 뱅킹 사기로 16만 4,000달러(약 1억 9,000만원)의 피해를 입고 파산 위기에 놓이기도 했다.

 

Little & King LLC의 대표인 캐런 맥카시(Karen McCarthy)는 2월 15일 TD 은행에 개설한 기업 계좌에 잔액이 하나도 없다는 사실을 알게 됐다. 그는 즉시 은행에 전화를 했고 2월 10일부터 12일까지 계좌에 있던 모든 돈이 이체된 사실을 확인할 수 있었다. 그는 온라인 뱅킹 사기가 일어나기 직전 OS 파일이 손상돼 PC가 부팅이 되지 않았던 점이 의심돼 PC를 점검한 결과 사이버 범죄자들이 온라인 뱅킹 계좌 탈취 시 쓰는 ‘제우스’ 악성코드에 감염된 것으로 나타났다.

● 대명리조트도 해킹, 80만 건 개인정보 유출

지난 3월 경찰에서 발표한 25개 기업 2천여만 명의 개인정보 해킹과 관련해서 대명리조트에 가입된 고객 중 80만 여만 건의 개인정보가 유출된 것으로 인천 경찰청 사이버수사대의 조사결과 확인됐다. 유출된 정보는 비교적 최근인 2009년 4월 29일 이전의 회원 정보로 유출시점 당시의 개인정보로 이름과 주민등록번호, 아이디, 비밀번호, 연락처 등으로 알려지고 있다. 유출된 사실이 확인되자 대명리조트 측은 시급히 개인정보 유출 파장에 따른 진화 조치에 나섰다. 우선 대명리조트 웹사이트에 개인정보 유출에 대한 공지 사항을 띄웠으며 회원들에게 패스워드와 같은 개인정보를 수정하도록 권고했다.

● 해킹한 개인정보 1,200만건 거래

지난 5월에는 중국 해커들에 의해 최소한 1,200만건에 이르는 국내 개인정보가 유출돼 대출영업 등에 악용된 것으로 드러났다. 군산경찰서 사이버범죄수사팀은 중국 해커들과 공모해 취득한 대출업체 등 금융기관 가입자 개인정보 1,200만건을 이용해 판매한 피의자 42명을 입건했다고 밝혔다.

 

경찰에 따르면 피의자들은 인터넷을 통해 알게 된 중국 해커들로부터 국내 금융기관 등의 개인정보를 취득한 후 인터넷 회선 판매자, 대출중개업체, 대리운전 업체 등에게 개인정보를 건당 10원에서 120원까지 받고 판매를 해온 것으로 확인됐다.

개인정보가 건당 10원에서 120원까지 차이가 나는 것은 최신, 즉 2010년도 개인정보인 경우에는 120원가량에 그렇지 않고 몇 년이 경과한 개인정보에 대해서는 10원 가량에 판매가 됐다는 것.

 

특히 중국 해커들은 국내 구매자들과 직거래 시 접속아이피가 해외라는 주의 문구가 나오자 의심을 피하기 위해 국내 개인정보 판매자들을 모집한 후, 그들의 컴퓨터를 원격으로 접속해 국내에서 거래를 하고 있는 것처럼 가장 하는 치밀함을 보였다고 한다. 또한 구매자 중에는 대출 영업실적을 위해 개인정보를 취득한 금융기관 직원도 3~4명이 포함된 것으로 확인됐다.

웹 해킹 공격 방법

이와 같은 웹 해킹 공격은 지금 현재도 전개되고 있다. 해커들은 침투할 사이트의 지명도는 물론, 운영체제 등도 가리지 않으며 공격 행위를 계속한다. 문제는 이러한 사이버 공격을 자행하는 악의적인 해커들이 내 사이트를 마치 자신의 집 안방에 드나들 듯 하지만 정작 당사자들은 그런 사실을 알지 못한다는 점이다.

이에 전문가들은 웹 해킹에 대한 경각심을 가져야 하며 각종 해킹방법을 조사한 다음 평소에 관련 보안대책을 마련해놓고 있어야 한다고 조언한다. 그렇다면 주요 해킹 기법은 무엇인지 알아보자.

● 파일 업로드

공격자가 공격 프로그램을 해당 시스템에 업로드해서 공격하는 방법으로 공격이 쉽고 영향력이나 파급 효과가 크다는 특징을 갖는다. 공격법은 시스템 내부 명령을 실행할 수 있는 웹 프로그램을 만들어 자료실 등에 업로드하는 것. 파일 업로드 공격에 대응하기 위해선 파일 확장자 이름을 확인하면 된다. 특정 확장자를 가진 파일만 업로드되도록 하는 것 역시 괜찮은 방법이다. 파일이 업로드되는 디렉터리의 실행 권한을 없애는 것도 적절하다고 전문가들은 말한다.

● 디렉터리 탐색

디렉터리 탐색은 웹브라우저에서 확인할 수 있는 경로의 상위로 가서 특정 시스템 파일을 다운로드하는 공격법이다. 이는 전용의 다운로드 프로그램이 파일 이름을 필터링하지 않아 생기는 취약점으로 불린다. 전용 다운로드 프로그램을 사용할 때 ‘..’나 ‘/ ’ 문자열에 대한 필터링이 없으면 공격자는 상위로 가서 특정 파일을 볼 수가 있기에 이들 문자를 필터링해야 한다.

● 디렉토리 리스팅

디렉토리 리스팅은 웹 브라우저에서 웹서버의 특정 디렉토리를 열 경우 거기에 있는 모든 파일과 디렉토리 목록이 나열되는 걸 말한다.

공격자는 이 취약점을 통해 웹서버에 어떤 파일이 있는지 확인할 수 있고 공격 취약점을 추가로 찾을 수도 있다. 하지만 해당설정 내용을 적절하게 바꾸면 막을 수 있다.

● 인증우회

인증우회란 인증이 필요한 페이지의 인증 과정을 거치지 않고 접속할 수 있는 취약점이다. 이 취약점에 노출될 경우 해커가 관리자 권한을 획득, 웹 사이트의 모든 기능을 마음대로 조작할 수 있게 된다. 관련 피해를 막기 위해선 로그인 세션에 대한 검사를 하는 과정을 넣으면 된다.

● SQL 인젝션 공격

어느 사이트든 로그인을 위해선 정상적인 아이디와 비밀번호를 넣어야 한다. 그리고 웹 애플리케이션 개발자는 정상적인 ID와 비밀번호를 넣을 것을 기대하고 프로그래밍에 임한다. 하지만 공격자는 정상적 문자가 아닌 특정 SQL문을 넣어 공격을 감행한다. 그러면 그게 그대로 데이터베이스에 전송돼 공격자가 원하는 일이 벌어진다. 이를 막으려면 사용자의 입력이 SQL 인젝션을 발생시키지 않게 사용자 입력을 필터링하고 데이터베이스 서버에 대한 보안을 설정해야 한다.

● 크로스 사이트 스크립팅(XSS) 공격

공격자는 XSS 취약점이 있는 사이트에 악의적 스크립트를 업로드하는데 이것이 사용자의 컴퓨터에 문제를 일으킬 수 있다. 이 공격으로 사용자 쿠키를 훔쳐 사용자의 권한으로 로그인하거나 브라우저를 제어하는 것이 가능하다. 이 공격을 막으려면 쿠키에 민감한 정보를 담지 않아야 한다. 아울러 스크립트 코드에 사용되는 특수문자를 이해하고 정확하게 필터링을 해야만 한다.

 

개발단계 소스코드 보안은 필수

웹 애플리케이션 기반의 업무가 많아지면서 지난 2000년대 초반부터 웹 보안 사고를 방지하기 위해 출시된 대표적인 제품은 앞서 언급한 웹 방화벽과 웹스캐너 등을 들 수 있다. 그리고 최근 많은 관심을 받고 있는 웹 보안 솔루션 중 하나가 소소코드 분석 제품이다. 소스코드 분석 솔루션은 개발 단계에서 보안을 고려하여 코딩을 하도록 유도하여 개발자 스스로 보안취약점을 사전 조치하도록 하는 것으로 조금씩 그 영역을 넓히고 있다.

애플리케이션 보안은 보안에 개발자가 개입되어 다른 보안 분야와는 다른 특성을 가지고 있다. 애플리케이션 보안 취약점은 웹 방화벽과 같은 제품으로도 방어가 가능하지만 정책 설정의 어려움, 가용성 문제 등 여러 가지 한계가 존재하고 개발자가 소스코드를 수정해야 근본적으로 문제가 제거되는 특성이 있다.

따라서 애플리케이션의 개발 단계부터 보안을 검토해 취약점이 발생할 수 있는 요소를 줄여야만 웹 위협으로부터 보호가 가능한 것이다. 즉 개발자가 애플리케이션 개발시 코드상 보안 문제점이 없는지를 분석하여 보안문제를 사전에 제거하고 확산되지 않도록 함으로써 개발 후에 조치해야 할 보안 취약점을 줄이는 것이다.

보안 전문가들도 기업 애플리케이션이 수많은 위협이 존재하는 웹 환경으로 전환됨에 따라 웹 애플리케이션 보안에 대한 정책수립과 더불어 개발 단계부터 웹 애플리케이션의 취약점을 제거하는 노력이 필요하다고 말하고 있다.

이와 같이 기업에서 웹 보안 강화를 위해서는 웹 환경을 보호하는 웹 방화벽과 소스코드 보안, 웹 애플리케이션에 대한 스캐닝으로 취약점을 알아내는 웹 스캐너 등 직ㆍ간접적인 웹 보안 솔루션이 요구된다. 

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>