Information Security ˗ˋˏ ♡ ˎˊ˗

Security/보안뉴스요약

[210114] 中, 2020년 12월 정보보안 취약점 1,200여개

토오쓰 2021. 1. 14. 21:15

 

中, 2020년 12월 정보보안 취약점 1,200여개로 연중 최저치

 

 

줄거리

중국에서 지난해 12월 중 정부기관, 기업, 연구소, 학교 등에서 쓰고 있는 정보시스템에서 나타나는 정보보안 취약점이 1,200여개인 것이 나타났다.

지난 한해 가장 적은 취약점 규모이며 한 달 저네 비해 35% 감소했다.

그 중에서 애플리케이션 프로그램 부문 취약점이 가장 많았다. 그 다음은 웹 애플리케이션 부문 취약점이다.

 

 

몰랐던 지식

애플리케이션 프로그램 부분 취약점에 대해서 살펴보려고 한다.

 

애플리케이션 보안

- 정의: 애플리케이션 수명 주기 전체에서 애플리케이션을 위협으로부터 보호하는 것을 목표로 한다. 

 

애플리케이션 보안의 중요성

- 위협 성공 사례 중 대다수가 애플리케이션 계층에 존재하는 취약점을 악용가능한 표적으로 삼고 있다.

- 거의 모든 기업들이 수 백에서 수 천 개에 이르는 네트워크, 웹, 모바일, ERP, 클라이언트 서버 애플리케이션을 사용하며 새로운 애플리케이션들이 쏟아져 나오고 있다. 

- 더 이상 기존 방화벽과 침입 차단 시스템(IPS)로 애플리케이션 공격을 차단할 수 없다.

 

애플리케이션 위협과 공격

입력 유효성 검사

버퍼 오버플로우, 사이트 간 스크립팅(XSS), SQL 삽입

소프트웨어 부당 변경

비인가된 행위를 수행하기 위해서 애플리케이션의 런타임 행위를 수정한다.

익스플로잇이나 바이너리 패킹, 코드 대체 또는 코드 확장을 통해 가능해진다.

인증

네트워크 도청, 무차별 대입 공격, 사전 공격

인가

권한 확대, 기밀 자료 폭로

민감한 정보

민감한 코드나 자료에 대한 접근, 네트워크 도청

세션 관리

세션 하이재킹, 중간자 공격

암호화

취약한 키 생성과 관리

파라미터 조작

쿼리 문자열 조작

예외 관리

서비스 거부 공격

 

 

애플리케이션 보안 테스트

- 보안테스팅기법: 취약점이나 결점을 위해 만들어졌으며, 보안 테스팅은 전체 소프트웨어 개발 프로세스(SDLC) 동안에 구현되는 것이다. 

- 소프트웨어 애플리케이션의 새로운 버전 또는 업데이트된 버전에 보안 취약점이 없는지 확인하고 일회성이 아닌 반복적이고 주기적인 활동을 해야한다.

- 정적분석: 소스 코드를 정해진 규칙으로 스캔해서 취약점을 발견

- 동적분석: 수행할 만한 요청을 웹 애플리케이션에 보내 응답을 파악하며 취약점을 판단하는 방식

 

 

 

 

참고

ko.wikipedia.org/wiki/%EC%95%A0%ED%94%8C%EB%A6%AC%EC%BC%80%EC%9D%B4%EC%85%98_%EB%B3%B4%EC%95%88

www.microfocus.com/ko-kr/what-is/application-security