Q. 스마트폰의 등장으로 모바일 웹페이지는 선택이 아닌 필수가 되었습니다. 하지만 데스크톱에 대한 웹페이지 보안은 강력하나 모바일 웹페이지는 아직도 취약점을 많이 노출하고 있습니다. 모바일 웹 페이지 개발 시 반드시 참고해야 하는 팁이 있다면 소개해 주세요.

A-1. OWASP(Open WebApplication Security Project)에서는 웹 애플리케이션 보안 위험과 관련된 위협, 공격, 취약점, 보안관리, 기술적인 영향, 비즈니스에 미치는 영향을 세분화해 평가하고, 이중 최상위 위험 10가지를 선정해 OWASP TOP 10을 발표했습니다.

모바일용 웹사이트는 제한적 기능을 가진 모바일용 웹브라우저를 통해 이용해야 합니다. 그러나 모바일용 웹사이트라고 해서 해커가 모바일 단말기 환경에서 공격을 시도하지는 않을 것입니다.

공격자는 기존에 즐겨 사용하는 파워풀한 해킹 툴과 유용한 공격기법들을 이용하여 모바일용 웹사이트의 취약점을 발견하고 공격을 시도하게 됩니다. 모바일용 웹사이트가 전통적인 웹사이트의 구조와 기술을 계승하여 구축됐기 때문에 OWASP의 10대 보안 위험에 대한 점검이 필요합니다.

삽입공격은 모바일 기기로부터 전달되는 파라미터에 시스템 명령이나 조작된 쿼리를 삽입하게 되는데 이렇게 파라미터로 전달된 데이터에 대한 특수문자 제거, 화이트 리스트 입력 검증 등을 필수로 수행해야 합니다. XSS를 방지하기 위해 사용자의 입력을 텍스트로 취급하여 태그나 자바스크립트 코드 등을 제거합니다.

인코딩된 입력은 디코딩하여 길이, 문자, 포맷, 데이터 등을 검증해야 합니다. Ajax 등의 웹2.0 기술의 활용으로 자동 검증 및 방지가 어려운 상황입니다.

모바일 기기가 안전하지 않은 공개 AP를 통해 웹사이트에 접속하게 될 경우 계정, 패스워드, 세션ID 등이 노출될 위험에 놓이게 됩니다. 무선 환경에서 쉽게 패킷 스니핑이 가능함으로 SSL/TLS 접속을 통해 패스워드, 세션ID, 기타 식별정보과 전송되도록 해야 합니다. CSRF 공격을 방지하기 위해서는 사용자의 모든 요청이 공격자에 의해 쉽게 위조될 수 있다고 가정해야 합니다.

세션, 쿠키, 소스IP 등의 정보가 위조된 요청에 포함되기 때문에 이러한 인증 정보로 요청을 신뢰할 수 없습니다.

각 요청의 신뢰성을 확인하기 위해서는 요청별 고유한 토큰을 부여해야 하고, 각 공격에 대한 검토와 방어체계를 구축하는 것이 필요하지만 기존 웹 애플리케이션에 보안을 추가하는 것보다 모바일용 웹사이트 개발 및 구축 단계에서 보안을 설계하는 것이 비용 측면에서 효율적입니다. 또한, 사이트의 변경에 따른 지속적인 코드 리뷰와 자동화 툴을 이용한 검증 노력이 필요합니다.

(허진성 한국산업기술보호협회 관제운영팀 연구원/iqsecurity@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>