中, 2020년 12월 정보보안 취약점 1,200여개로 연중 최저치
줄거리
중국에서 지난해 12월 중 정부기관, 기업, 연구소, 학교 등에서 쓰고 있는 정보시스템에서 나타나는 정보보안 취약점이 1,200여개인 것이 나타났다.
지난 한해 가장 적은 취약점 규모이며 한 달 저네 비해 35% 감소했다.
그 중에서 애플리케이션 프로그램 부문 취약점이 가장 많았다. 그 다음은 웹 애플리케이션 부문 취약점이다.
몰랐던 지식
애플리케이션 프로그램 부분 취약점에 대해서 살펴보려고 한다.
애플리케이션 보안
- 정의: 애플리케이션 수명 주기 전체에서 애플리케이션을 위협으로부터 보호하는 것을 목표로 한다.
애플리케이션 보안의 중요성
- 위협 성공 사례 중 대다수가 애플리케이션 계층에 존재하는 취약점을 악용가능한 표적으로 삼고 있다.
- 거의 모든 기업들이 수 백에서 수 천 개에 이르는 네트워크, 웹, 모바일, ERP, 클라이언트 서버 애플리케이션을 사용하며 새로운 애플리케이션들이 쏟아져 나오고 있다.
- 더 이상 기존 방화벽과 침입 차단 시스템(IPS)로 애플리케이션 공격을 차단할 수 없다.
애플리케이션 위협과 공격
|
입력 유효성 검사 |
버퍼 오버플로우, 사이트 간 스크립팅(XSS), SQL 삽입 |
|
소프트웨어 부당 변경 |
비인가된 행위를 수행하기 위해서 애플리케이션의 런타임 행위를 수정한다. 익스플로잇이나 바이너리 패킹, 코드 대체 또는 코드 확장을 통해 가능해진다. |
|
인증 |
네트워크 도청, 무차별 대입 공격, 사전 공격 |
|
인가 |
권한 확대, 기밀 자료 폭로 |
|
민감한 정보 |
민감한 코드나 자료에 대한 접근, 네트워크 도청 |
|
세션 관리 |
세션 하이재킹, 중간자 공격 |
|
암호화 |
취약한 키 생성과 관리 |
|
파라미터 조작 |
쿼리 문자열 조작 |
|
예외 관리 |
서비스 거부 공격 |
애플리케이션 보안 테스트
- 보안테스팅기법: 취약점이나 결점을 위해 만들어졌으며, 보안 테스팅은 전체 소프트웨어 개발 프로세스(SDLC) 동안에 구현되는 것이다.
- 소프트웨어 애플리케이션의 새로운 버전 또는 업데이트된 버전에 보안 취약점이 없는지 확인하고 일회성이 아닌 반복적이고 주기적인 활동을 해야한다.
- 정적분석: 소스 코드를 정해진 규칙으로 스캔해서 취약점을 발견
- 동적분석: 수행할 만한 요청을 웹 애플리케이션에 보내 응답을 파악하며 취약점을 판단하는 방식
참고
ko.wikipedia.org/wiki/%EC%95%A0%ED%94%8C%EB%A6%AC%EC%BC%80%EC%9D%B4%EC%85%98_%EB%B3%B4%EC%95%88
'Security > 보안뉴스요약' 카테고리의 다른 글
| [210119] 언택트 시대 급성장한 클라우드 환경... SECaaS 보안을 주목하라 (292) | 2021.01.19 |
|---|---|
| [210118] 새로운 랜섬웨어 패밀리 바북, 복잡한 암호화 알고리즘 채용해 (280) | 2021.01.18 |
| [210113] 자이젤 방화벽·컨트롤러 취약점 발견 (313) | 2021.01.13 |
| [210112] 파수, VDI 환경 지원하는 화면 보안 사업 연이어 수주 (296) | 2021.01.12 |
| [210111] 북한의 APT37, 악성 워드 문서 활용해 한국 공격 (450) | 2021.01.11 |