WEB 보안 기초

🔐 1. 정보를 지키는 기술, 암호학 (Cryptography)

암호학은 정보를 보호하기 위해 언어학적, 수학적 방법론을 다루는 학문입니다. 수학을 중심으로 컴퓨터, 통신 등 여러 분야에 걸쳐 연구되고 있습니다.

암호학에서 가장 중요한 두 가지 개념은 **평문(Plain text)**과 **암호문(Cipher text)**입니다.

평문 (Plain text) 누구나 읽을 수 있는 암호화되지 않은 원본 데이터입니다.

암호문 (Cipher text) 평문을 암호화 알고리즘과 암호화 키를 이용하여 암호화한 결과 데이터입니다.

🔑 대칭 암호화 vs 비대칭 암호화

암호화 방식은 키의 관리 방식에 따라 크게 두 가지로 나뉩니다.

• 대칭 암호화 알고리즘
  • 특징: 암호화 키와 복호화 키가 동일합니다.
  • 키 길이: 보통 128비트 길이의 짧은 키를 사용합니다.
  • 기반: 비트 조작 연산을 기반으로 하며, 성능이 상대적으로 우수합니다.
  • 종류:
    • 스트림 암호화: 의사난수를 생성하여 암호화하려는 데이터와 1비트 단위로 XOR 연산을 수행합니다. 하드웨어 구현 시 속도가 빠르고 구조가 단순합니다.
    • 블록 암호화: 평문을 N비트 단위의 블록으로 나누어 암호화를 수행합니다. (예: Feistel 구조, SPN 구조)
• 비대칭 암호화 알고리즘
  • 특징: 암호화 키와 복호화 키가 서로 다릅니다. (하나의 키는 공개: 공개키, 다른 하나는 비밀: 개인키)
  • 키 길이: 보통 1024비트 길이의 긴 키를 사용합니다.
  • 기반: 수학 연산(소인수분해 등)을 기반으로 하며, 성능은 대칭 암호화에 비해 상대적으로 떨어집니다.
  • 대표 알고리즘: RSA, El Gamal, ECC 등

    

 

---

👤 2. 당신은 누구인가요? 사용자 인증과 접근 제어

웹 서비스에서 '누가' '무엇을' 할 수 있는지 정의하는 것은 보안의 핵심입니다.

인증 (Authentication) "당신은 누구인가요?" 사용자의 신원을 확인하는 과정입니다. (예: 로그인)

인가 (Authorization) "당신이 이 작업을 할 수 있나요?" 인증된 사용자에게 특정 자원이나 기능에 접근할 권한이 있는지 확인하는 과정입니다. (예: 관리자 페이지 접근)

🔍 다양한 인증 수단

인증 수단은 크게 세 가지 유형으로 나눌 수 있습니다.

1. Something You Know (지식 기반)
   • 내가 알고 있는 지식을 통해 인증하는 방법입니다.
   • 예: 패스워드, PIN
2. Something You Have (소유 기반)
   • 내가 가지고 있는 것을 통해 인증하는 방법입니다.
   • 예: 신분증, 출입 카드, OTP, 스마트폰 인증 앱
3. Something You Are (특징 기반)
   • 나 자신, 즉 신체의 고유한 특징을 통한 인증(바이오 인증)입니다.
   • 예: 지문, 홍채, 안면, 정맥

     

 

🛡️ 접근 제어 (Access Control)

접근 제어는 적절한 권한을 가진 인가자만 특정 시스템이나 데이터에 접근할 수 있도록 통제하는 것입니다. 이때 가장 중요한 원칙은 **'최소 권한의 원칙'**입니다.

최소 권한의 원칙 (Least Privilege) 사용자는 자신의 업무 수행에 필요한 최소한의 권한만 가져야 한다는 원칙입니다.

예를 들어, 웹사이트 관리자라 하더라도 모든 회원의 개인정보를 자유롭게 열람할 권한은 갖지 않도록 제한하는 것이 이에 해당합니다. 이는 불필요한 정보 접근이나 시스템 변경을 막아 보안 위험을 획기적으로 줄여줍니다.

---

🖥️ 3. 안전한 시스템을 위한 관리

안전한 시스템은 계정, 세션, 로그 등 다양한 요소를 지속적으로 관리해야 유지될 수 있습니다.

🙋‍♂️ 계정 및 세션 관리

• 계정 관리: 시스템을 사용하는 사용자를 고유하게 식별하는 **사용자 계정(User Account)**을 관리하는 것입니다. 이를 통해 누가 시스템을 사용했는지 식별하고 인증할 수 있습니다.
• 세션 관리: 활성화된 연결 단위인 세션을 보호하는 것입니다.
  • 세션 타임아웃: 일정 시간 동안 활동이 없는(유휴 상태인) 세션을 자동으로 만료시켜 비인가자의 접근을 차단합니다.
  • 지속적인 세션 인증: 중요한 작업을 수행할 때마다 사용자 인증을 다시 요구하여 세션을 계속 보호합니다.

    

 

📜 로그 관리

시스템에서 발생하는 모든 활동을 기록하는 로그는 시스템 운영의 전반적인 상태 정보를 기록하는 중요한 자료입니다. 문제가 발생했을 때 원인을 추적하는 핵심 단서가 됩니다.

• Unix / Linux 시스템
  • 로그 경로: /var/adm (구형 유닉스) 또는 /var/log (리눅스)
  • btmp: 실패한 로그인 정보를 기록합니다.
  • history: 사용자가 셸(Shell)에서 실행한 명령어 기록을 저장합니다.
• Windows 시스템
  • 로그 이름: Event Log (이벤트 로그)
  • 관리 도구: **이벤트 뷰어 (Event Viewer)**를 통해 로그를 확인하고 관리할 수 있습니다.
• 로그 서버
  • 대부분의 운영 환경에서는 로그의 위변조를 방지하고 통합 관리하기 위해 별도의 로그 서버를 도입하여 운영합니다.

---

🕵️ 4. 구글 검색을 이용한 해킹 방어 

 강력한 구글 검색 엔진이 역설적으로 해킹에 어떻게 이용될 수 있는지, 그리고 이에 대한 방어 전략을 다룹니다.

구글 해킹(Googledork)은 구글의 고급 검색 연산자를 사용해 웹 서버의 취약점이나 민감한 정보를 찾아내는 기술을 말합니다.

• 구글 해킹의 위험성: 구글 검색은 전 세계적으로 범죄에 이용될 수 있으며, 가장 대중적이고 접근하기 쉬운 해킹 도구 중 하나로 인식되고 있습니다.
• 주요 검색 기술: 에러 메시지, 파일 내 세부 정보, 패스워드 파일, 로그인 페이지, 민감한 디렉터리 등 13개로 분류된 500개 이상의 검색어구가 지속적으로 업데이트되고 있습니다.

❌ 취약점 유형별 정보 획득 사례

• 디렉터리 목록화 (Directory Listing): 웹 서버 설정 오류로 인해 index.php나 index.html 파일이 없는 디렉터리의 모든 파일 목록이 노출되어, 소스 코드나 민감한 데이터가 다운로드될 수 있습니다.
• 서버 기본 페이지: Apache, IIS 등 웹 서버 설치 후 기본 페이지가 그대로 노출되면, 서버 관리가 미비함을 의미하며 다른 취약점이 존재할 가능성이 높습니다.
• 에러 메시지: Oracle DB 예외 처리 오류, DB ID 검색 등을 통해 서버 AP 설치 정보, ID/PW 정보, SQL Injection 공격의 실마리를 제공할 수 있습니다.
• 로그 파일: 다양한 응용프로그램 로그 파일이 구글에 검색될 경우, ID/PW, 시스템 정보, 서비스 정보, DB 정보 등 중요 정보가 획득될 수 있습니다.
• 로그인 페이지: 웹사이트 내에 숨겨진 관리자 로그인 페이지, VNC 원격 데스크톱 로그인, 인트라넷 로그인 페이지 등이 노출되어 공격 대상이 될 수 있습니다.
• 패스워드 파일: DB, AP, 서버, FTP 등에 포함된 패스워드 설정 파일(.env, config.ini 등)이 검색되어 서비스 및 서버 접근 권한을 손쉽게 획득할 수 있습니다.
• 해킹 파일: 해커가 피해 시스템에 심어둔 PHP Shell, Windows cmd Shell, 업로드 실행 파일, 웜, 바이러스 등 해킹 관련 파일이 검색될 수 있습니다.
• CGI 스캐너: 구글 검색을 통해 웹 서버의 오래된 CGI 취약점을 스캔하고 취약한 서버 목록을 수집할 수 있습니다.
• 민감한 데이터: filetype:log history, '대외비' 키워드 검색 등으로 외부 공개가 금지된 Linux Bash Shell History 파일이나 민감한 내부 문서를 검색할 수 있습니다.
• 포트 스캐너: inurl:8080 등 포트 번호를 포함한 키워드로 현재 사용 중인 응용프로그램을 검색하거나, 공개된 웹 포트 스캐너 결과물을 악용할 수 있습니다.
• SQL 데이터 수집: SQL Injection 공격이나 DB 정보 수집을 위해 SQL 로그인 사용자 ID, SQL 스키마, SQL 웹 관리 콘솔, SQL ID/PW 등을 검색할 수 있습니다.
• 인증서 (Certificates): 신뢰된 인증서 검색 후, 신원 우회 공격에 이용될 수 있는 개인 키 파일(*.pem, *.key)을 검색할 수 있습니다.
• 취약점 스캐너: Nessus, GFI LANguard 등 다양한 취약점 스캐너의 결과 보고서가 외부에 노출될 경우, 공격자가 시스템의 취약점 정보를 손쉽게 획득할 수 있습니다.

---

📜 5. 정보보안 기술과 인증 제도

마지막으로, 몇 가지 주요 보안 기술 표준과 국내 인증 제도를 소개합니다.

• S/MIME (Secure/Multipurpose Internet Mail Extensions)
  • 이메일 메시지 데이터(MIME)를 공개키 기반으로 암호화하고 전자서명을 지원하는 이메일 보안 표준입니다.

    

• 주요 보안 인증 제도 (국내)
  • ISMS (Information Security Management System): 정보보호 관리체계 인증입니다.
  • ISMS-P (Personal Information & Information Security Management System): 정보보호 및 개인정보보호 관리체계 인증으로, 기존 ISMS와 PIMS(개인정보보호 관리체계)가 결합된 인증입니다.

    

  • CSAP (Cloud Security Assurance Program): 클라우드 서비스 보안 인증제입니다. 공공기관에 안전한 클라우드 서비스를 공급하기 위한 기준입니다.