http://blog.naver.com/p4ssion/50024269739 -> 여기의 첨부파일에 전체적인 내용들이 들어 있습니다.
2007년 11월에 본 블로그에 게시한 내용입니다. 현재 발생된 DDos 관련된 이슈도 동일선상에서 볼 수가 있습니다.
좀 더 상세한 내용들은 별도 컬럼으로 게재합니다. 지난 2년 가까운 시간동안 얼마나 아래 지적한 개선 방안들이 진행 되었는지 뼈저린 반성이 필요할 것입니다. DDos 관련된 내용 발췌 및 확인 된 내용, 추정, 그리고 예상들을 바탕으로 개인적인 컬럼을 곧 게재 하겠습니다.
첨부파일을 다운 받아서 보기 어려운 분들은 게시물 링크를 활용 하시면 순차적으로 볼 수 있습니다.
위험성이 높은 수준에 도달 하였음은 이미 일전에 파악된 내용입니다.
http://blog.naver.com/p4ssion/50023711687 (1) IT서비스의 현재 위험과 Security
http://blog.naver.com/p4ssion/50023916686 (2) IT 서비스 보호를 위한 제안- 위험요소들
http://blog.naver.com/p4ssion/50024118288 (3) IT서비스 보호를 위한 제안 , 최종
그럼.
향후를 위한 대응
* 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 도구의 상실을 기획 하여야 함
-> 전역적인 대응 체제 구성의 절대적 필요성
사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함
-> ISP 와 분석기관 , 대응 기관의 절대적 협업 필요
정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요
-> 개인 PC 환경의 획기적인 보안성 강화 필요
트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요
전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성
-> Secure한 웹서비스를 위한 Validation check 서비스의 일반화
국내 웹 App의 80% 이상이 URL 인자 단위의 문제를 포함하고 있음
( XSS , SQL Injection 등) 따라서 악성코드 유 포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요
단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수
장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등
이상과 같이 정리가 됩니다.
대응체제 정립이 안될 경우 이제 더 큰 위험들에 IT서비스 부분이 직접 노출이 될 것으로 예상 됩니다.
이 위협은 전 세계의 모든 서비스가 해당이 될 것입니다.
'Security Indicator > Insight' 카테고리의 다른 글
(1) 상상하기 어려운 위협-디지털 페스트 (0) | 2010.04.27 |
---|---|
Web 2.0의 위험요소와 대비 문서 (0) | 2010.04.27 |
해외진출 시의 보안 가이드 (0) | 2010.04.27 |
하-Vista의 보안과 온라인게임 (0) | 2010.04.27 |
풀어쓴 SQL Injection 공격 (0) | 2010.04.27 |