은행 관련 웹 애플리케이션의 취약점으로 보는 DevOps 보안의 중요성

게시일: 2018-04-20 l 작성자: Trend Micro

특정 웹 애플리케이션의 소스 코드 감사를 통해 밝혀진 결과에 따르면 85%가 사용자가 공격 대상이 될 수 있는 취약점을 포함하고 있으며, 특히 금융 및 은행 관련 웹 애플리케이션이 가장 취약하다고 합니다. 연구에 따르면 이러한 보안 결함을 통해 공격자는 서버와 데이터베이스의 중요한 데이터에 무단으로 액세스하고 명령을 실행하며 심지어 파일을 수정 또는 삭제할 수 있습니다.

이번 연구의 표본 크기는 작은 편이지만, 이를 통해 실제 사용되는 웹 애플리케이션이 얼마나 취약한지 충분히 알 수 있습니다. 가장 널리 보급된 취약점은 XSS (Cross-site scripting. 교차 사이트 스크립팅)이었으며, 이를 해커가 악용할 시 데이터를 도용하거나 사용자를 멀웨어 호스팅 웹사이트로 리디렉션 할 수 있습니다. 기타 주목할만한 취약점은 아래와 같습니다:

  • HTTP Response Splitting – 입력값에 관련된 결함으로 XSS 공격의 발판이 될 수 있습니다.
  • 임의 파일 읽기 및 수정 – 해커가 자격 증명 및 소스 코드와 같이 서버에 저장된 콘텐츠에 액세스하거나 덮어쓸 수 있게 하는 취약점입니다.
  • 오픈 리디렉션 (Open Redirection) – 다른 웹사이트에 대한 리디렉션의 유효성을 검사하지 않는 방법과 관련된 결함으로서 피싱 공격에 사용할 수 있습니다.
  • 교차 사이트 요청 위조 (Cross-site Request Forgery) – 악용될 경우 취약한 웹 애플리케이션이 자금 이동 또는 게인 데이터 변경과 같은 무단 요청을 강제 수행할 수 있는 인증 관련 결함입니다.

[InfoSec Guide: 웹 인젝션 기반의 공격 완화 방법]

해당 취약점은 금융 거래를 처리하거나 중요한 데이터를 호스팅 하는데 사용되는 웹 애플리케이션을 호스팅 하는 서버를 손상시키는데 사용될 수 있습니다. 연구 보고서는 또한 전자상거래 웹 애플리케이션이 서비스 거부 공격에 가장 많이 노출되어 온라인 작업이 중단되는 결과를 낳았다고 전했습니다.

이체 관리와 관련된 프로세스가 복잡해지면서 금융 및 은행 웹 애플리케이션이 더 위험해졌습니다. 여기에는 은행 서버와 브라우저의 사용자가 입력한 자격 증명 간의 상호 작용, 이체 실시간 검증, 암호화 및 처리 방식 (예: 메인 프레임) 또는 애플리케이션의 모든 기능 구현 방식이 포함될 수 있습니다. 예를 들어 2017년 12월 몇몇 인지도 높은 은행의 애플리케이션들이 해커들이 트래픽을 은닉하고 은행 자격 증명을 훔칠 수 있는 중간자 공격 (man-in-the-middle attacks)에 취약한 것이 알려졌습니다. 보안의 격차는 암호화된 통신 처리 방식에서 발견되었습니다. SANS Institute의 보고서에 따르면, 더 복잡하고 더 많은 프로세스가 도입될수록 공격 표면은 오히려 더 넓어집니다. 패치되지 않은 취약점이 단 하나라도 있다면 이는 해커들이 기업의 네트워크에 침입할 수 있는 발판이 되기 때문입니다.

[Best Practices: Mobile application security for developers]

해당 취약점은 디자인에 있어 보안의 역할이 얼마나 중요하지 보여줍니다. 그러나 개발자와 정보 보안 전문가 간의 협업이 거의 없는 경우, 특히 민첩성과 확장성이 필요한 환경에서 애플리케이션의 보안을 관리하는 것은 어려울 수 있습니다.

DevOps는 이러한 차이를 극복할 수 있는 수단을 제공합니다. 예를 들어, 은행 웹 애플리케이션 개발 초기에 XSS 결함을 식별함으로써 사용자의 자격 증명이나 데이터가 포함된 세션 쿠키를 보호할 수 있습니다. 궁극적으로 이는 공격자가 취약점을 악용할 경우 은행이 마주칠 수 있는 재정적 손실이나 법적 소송을 방지합니다.

DevOps는 보안을 간소화하고 애플리케이션이 다른 구성 요소에 통합될 수 있는 계층 역할을 합니다. 이 접근법은 벌써 많은 곳에서 채택하고 있습니다. 실제로 Gartner는 내년에 기업 간의 DevOps 이니셔티브 중 70% 이상이 현재 사용하거나 구현하는 애플리케이션을 구성하는 패키지에 대한 자동화된 보안 기능을 통합할 것으로 예측했습니다. 개발자, 시스템 관리자 및 정보 보안 전문가에게 Open Web Application Security Project의 지침은 보안을 웹 애플리케이션에 통합하는데 좋은 기준이 될 수 있으며, 자동화 툴은 애플리케이션 혁신의 필요성과 중요도 사이의 병목 현상을 제거하는데 도움이 될 수 있습니다.

[원문: Vulnerabilities in Banking-Related Web Applications Highlight Significance of Secure DevOps]