본문 바로가기

Security Indicator/Insight

Web 2.0 시대의 위험요소와 대책

< O'Reily의 Web 2.0 Image>

 

 

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

 

 

 

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

 

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

 

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

 

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

 

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

 

실제 문제 사례 :

 

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

 

 

-서비스 기업으로서의 보호:

 

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

 

n   Filtering Method

u 개인정보 침해 관련 사안의 조정  댓글 ,게시글

u 악성코드 실행 부분  게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목  성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

 

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

 

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립  고객센터부터 실 서비스 부서까지 빠른 대응 필요

 

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화  전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

 

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

 

 

-        사용자 관점에서의 보호

 

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

 

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

 

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증  기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

 

 

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

 

좋은 하루 되세요.