웹 어플리케이션 보안 관련

서비스/플랫폼 개발 관련해서 보안 조치 하던중 배운 지식 정리 입니다.

 

• kisa 인터넷 보호나라

대기업 SI 프로젝트 수행시에 보안권고 요청이 온다던가 okjsp에 인터넷 매체에 공개되는 주요 보안 이슈같은 대부분의 오픈소스 라이브러리 보안 이슈는 보호나라의 공지가 출처라고 볼수 있다. 해외에서 발생된 이슈사항(오픈소스 라이브러리는 거의 외산이니까)들 대부분이 국내에 제일 먼저 공지된다고 보면 되고 여기서 보고 1 ~ 2주쯤 지나면 인터넷 매체에 기사가 나오거나 SI고객사에 자기들 프로젝트에서는 어떤 버전을 사용했었는지 문의가 오게 된다. 

https://www.boho.or.kr/kr/bbs/list.do?menuNo=205020&bbsId=B0000133 

 

• OWASP (Open Web Application Security Project)

SI 프로젝트나 웹 어플리케이션 보안 적용을 검토하다보면 반드시 언급되는 단체로 웹 관련 보안 취약점에 대해 공지하고 이에 대한 방어 가이드를 제공한다. OWASP 10대 취약점(XSS, SQL injection 등)은 상용으로 제공하는 웹 서비스라면 반드시 대비해야 하는 항목이다.

https://owasp.org/#

 

• OWASP ZAP

OWASP에서 제공하는 웹 어플리케이션 보안 검사 스캔 툴이다. 

https://www.zaproxy.org/

 

• OWASP ESAPI

OWASP에서 제공하는 보안 제어용 라이브러리이다.

https://owasp.org/www-project-enterprise-security-api/

https://central.sonatype.com/artifact/org.owasp.esapi/esapi/2.5.2.0

 

• 사이버 대피소

DDoS 공격등에 대해 장비, SW로 바로 대응이 어려운 중소기업 서비스들에게 우회로를 제공해주는 서비스이다.

https://www.kisa.or.kr/1020202

 

• 기타

보안을 기능 구현후에 적용하게 되면 원래 되던 기능이 안되는 문제로 재개발하게 되던가 보안을 걷어내면서 새로운 이슈를 야기 시킬수 있다. 처음에 구조를 잡을때 보안 관련 라이브러리나 암/복화 정책을 미리 잡아 놔야 나중에 이러한 문제를 극복할 수 있다. 또한 상용 오픈후에 는 외부에서 들어오는 공격은 탐지 및 조치가 쉽지 않기 때문에 미리 대비를 하는것이 좋다. 예전에 운영하던 서비스가 3일동안 격일로 DDos공격을 당했는데 준비가 어느정도 되어 있는 상태임에도 서비스 장애로 전파되는데 기 시간이 걸리지 않았고 그로 인해 개발자들이 몇일동안 고생한 경험상 보안은 어느 수준이상 준비는 해야 한다.