admin

2018 코드게이트 해킹시연 공모전 장려상 수상

 IT, 정보보호  Comments Off on 2018 코드게이트 해킹시연 공모전 장려상 수상
Mar 262018
 

우리 학과 표상영, 정재훈, 황선홍 학생이 2018 코드게이트 해킹시연 공모전에서 장려상을 수상하였습니다. 제목은 “Bring Your Cook!e”…

대규모 웹사이트들에서 사용자의 편의성 향상을 위해 쿠키를 이용한 자동로그인 서비스를 제공하는데요, 로그인된 사용자에게 서버가 쿠키를 발급해주고 사용자가 다음번 접속시 쿠키를 제시하면 서버는 사용자가 로그인된 것으로 인정해줍니다. 문제는 이러한 쿠키로그인을 평문채널로 통신하는 경우 동일한 쿠키를 반복사용하는 것이므로 네트워크 도청공격자가 쿠키를 쉽게 탈취할 수 있고 사용자의 계정을 도용할 수 있다는 것입니다. 이러한 해킹 시연을 이해하기 쉽게 잘 만들었군요.

쿠키를 이용한 자동로그인은 https 암호화된 통신채널로 사용해야 하며 평문채널로 자동로그인 하는 것은 절대 금지해야 하겠습니다.

 

 Posted by at 10:17 AM

2017년 정보보호학회 동계학술대회 우수논문상 선정

 새소식  Comments Off on 2017년 정보보호학회 동계학술대회 우수논문상 선정
Nov 262017
 

우리 학과의 지우중 학생이 2017년 정보보호학회 동계학술대회에서 “프린터 관리 시스템의 취약점 분석”이라는 제목의 논문을 발표합니다. 대학이나 공공기관 등에서 현재 널리 사용하고 있는 프린터 관리 시스팀의 과금방식이 취약하여 해킹위협이 있다는 내용입니다. 현재 사용하고 있는 프린터 관리 시스템은 보안통신을 사용하지도 않고 장치를 인증하지도 않아 마음만 먹으면 해커가 변조된 패킷을 보내서 돈을 마음대로 충전하여 사용할 수도 있습니다. 해당 사업자는 빨리 문제점을 해결해야 하겠지요.

이 논문은 우수논문으로 선정되기도 했습니다. 지우중 학생의 성과를 함께 축하합니다.

http://cisc.or.kr/program/

 

 Posted by at 5:39 PM

9천년 한민족사는 신화가 아니라 현실 역사다

 역사  Comments Off on 9천년 한민족사는 신화가 아니라 현실 역사다
Nov 172017
 

1. ‘고기’의 존재
‘삼국유사’에는 단군조선의 건국이 요임금 50년 때, 그러니까 경인庚寅년이라 쓰여 있다. 이는 그저 책을 쓴 일연 스님의 추정이나 생각이 아니다. 당시에는 실재하던 ‘고기古記’라는 역사책을 그대로 인용하는 대목에서 이 연도가 나온다. 같은 고려시대 이승휴의 ‘제왕운기’에는 단군조선의 건국 연도를 요임금 즉위 원년인 무진년이라 했다. 단군조선과 요임금의 나라가 같은 해 건국됐다는 것이다.
그런데 조선 전기에 편찬된 대표적인 관찬官撰 사서인 ‘동국통감’에는 ‘당요 25년 무진년’이라 하고 있다. 즉 요임금 시대의 무진년이 그 원년인지 아니면 25년인지 ‘제왕운기’와 ‘동국통감’의 견해가 서로 달랐던 것이다. 만약 무진년을 요임금 25년이라고 한다면 그가 즉위한 원년은 갑진년(서기전 2357년)이 된다.
‘환단고기’의 ‘단군세기’에서도 당시 전해지던 ‘고기’라는 역사책을 그대로 인용해 단군왕검의 재위 원년을 무진년으로 못박고 있다. ‘단군세기’가 ‘삼국유사’처럼 ‘고기’를 인용하면서도 단군조선의 건국 연도에서 차이를 보이는 것은 ‘고기’의 판본이 여럿 존재했으며 그 판본들의 내용이 조금씩 달랐기 때문이다.
‘환단고기’에는 단군조선의 역대 47세 단군들의 역년歷年이 기록되어 있는데 그것에 바탕해서 역산을 해보면 무진년은 서기전 2333년이 된다. 참고로 요임금이 무진년에 즉위했다는 ‘무진년 원년설’은 중국의 정사 기록들에서도 많이 채택하고 있는 설이다.

2. 고고학자나 역사학자들은 한민족이 청동기를 사용하기 시작한 때가 대략 서기전 1500년에서 1300년이라고들 말한다. 만약 단군조선의 건국 연도가 서기전 2333년이라면 청동기시대보다 훨씬 앞선 신석기시대에 나라를 열었다고 할 수 있을까?
최근 발굴된 고고학 유물들은 동북아의 청동기시대, 그 연대를 학계가 추정해오던 것보다 훨씬 앞선 쪽으로 올려놓았다. 1980년대 중국 요령성 건평현 우하량에서는 청동기를 주조한 흔적이 있는 토기 도가니 파편과 청동제 고리, 거푸집 등 청동기시대 유물들이 발견됐다. 또 인근 내몽골 적봉시 오한기에서는 청동 거푸집까지 나왔다.
중국 학계에서는 이 청동 유물들의 연대를 약 5000년 전으로 추정한다. 그 전까지 중국학자들은 중국의 청동기시대 상한上限 시기를 서기전 2000년경으로 보았는데 앞의 유물들이 발굴되면서 그 연대가 1000년이나 더 오래된 것으로 밝혀진 것이다.
이런 사실들을 종합하면 단군조선은 분명히 청동기시대에 출현했다, 그렇게 말할 수 있다. 고조선이 신석기시대에 건국되었다? 그것은 맞지 않다. 단군조선보다 앞선 배달국 치우천황이 이미 금속 무기를 만들었다는 역사 기록을 감안해도 단군조선은 청동기 시대에 건국된 것이 분명하다.

3. 단군조선의 건국
‘삼국유사’에 처음 나온다. 문제는 거기서 단군조선의 건국과정을 신화 같은 이야기로 간략히 소개한 것이다. 나중에 그것을 빌미로 일제가 실제로 단군조선의 역사를 신화로 왜곡해서 지금까지 단군조선은 신화다, 하는 잘못된 인식이 퍼지게 됐다.
특히 단군조선을 건국하는 과정과 관련해 ‘삼국유사’에서 곰과 호랑이 운운한 대목은 그야말로 역사적인 사실을 단순히 신화 형태로 서술한 것이다. 일찍이 천손天孫족을 자처하며 동방으로 이주한 환웅족이 동방의 토착 원주민이던 호족虎族과 웅족熊族을 아우르는 과정에서 호족 아닌 웅족과 손잡고 나라 세운 사실史實을 신화 형태로 표현한 것이다.
단군조선의 건국에 대해 가장 신뢰할 만한 기록은 행촌 이암의 ‘단군세기’다. 이암은 ‘고기’를 그대로 인용하고 있는데, 단군조선의 건국자인 단군왕검의 아버지는 단웅檀熊이요, 어머니는 웅씨 왕의 따님이다. 그런데 단군왕검은 일찍이 14세에 웅씨국의 비왕裨王(한 지역을 맡아 다스리는 군왕)이 되었다.
여기서 웅씨국은 곰을 토템으로 하는 국가로 추정된다. ‘단군세기’에서는 이 나라를 대읍국大邑國#이라 기록하고 있는데 배달국에서도 중심이 되는, 큰 세력을 가진 나라로 보인다.
대읍국 통치 경험을 쌓은 단군왕검은 38세에 아사달에서 백성들의 추대로 천제의 아들, 곧 천자天子가 되었다. 그는 이처럼 왕의 자리에 오른 직후 이전까지 아홉 갈래로 갈라졌던 환족(=九桓族)을 하나로 통일했다.
단군왕검이 배달국을 계승했다는 것은 ‘삼국유사’의 단군조선 건국 이야기에서 자연스럽게 드러나지만 실제로 ‘단군세기’에 남겨진 기록, 곧 ‘왕검이 신시 배달의 법규를 되살렸다’는 대목에서도 분명히 알 수 있다.
단군조선이 당당하게 실재한 국가였음을 증명하는 기록 중에는 갑골문도 있다. 갑골문에 따르면 은나라 제22세 왕인 무정武丁(서기전 1325∼서기전 1266년)은 수많은 정벌전쟁을 벌였는데 지금의 섬서성과 산서성 서북 일대에 살던 북방족인 귀방鬼方을 공격했다는 내용이 있다.
그런데 이 같은 사실이 ‘환단고기’의 ‘단군세기’에도 그대로 쓰여 있다. “제21세 소태단군 47년(서기전 1291년)에 은나라 제22세 왕 무정武丁이 전쟁을 일으켜 귀방을 물리치고 나서 다시 단군조선의 제후국들을 침공하다가 우리 군사에 대패하여 화친을 청하고 조공을 바쳤다”는 기록이다.
이처럼 시대를 달리 하는 여러 기록들이 단군조선이 분명한 우리 역사였음을 생생하게 확인시켜 주고 있다.

4. 단군조선에서 북부여로 이어지는 과정? 부여에 대해 알기 위해서는 단군조선 말기의 정치상황부터 돌아봐야 한다.
단군조선은 삼한관경제가 삼조선제로 바뀌면서 점점 그 세력이 약해졌다. 그러다 제43세 물리단군 때 사냥꾼인 우화충이 역모를 일으켜 도성을 공격하는 사건이 일어난다. 이 사건으로 물리단군이 피난길에 올랐는데 그 도중에 붕어崩御하게 된다. 이런 가운데 당시 욕살(=지방장관) 구물이 장당경에서 군사를 일으켜 반란을 평정한다. 그러고는 주위 사람들의 추대를 받아 제44세 단군에 즉위한다. 이 분이 구물단군!!
구물단군의 즉위는 단군조선 역사에서 중요한 전기점이 되는데 먼저 그는 도읍을 종래 백악산에서 장당경으로 옮기면서 단군조선의 제3왕조 시대를 열었다. 나아가 국호도 조선에서 ‘대부여’로 바꾸었다. 이때까지도 나라의 틀이 형식상으로는 삼조선 체제가 유지되고 있었다. 그 가운데 진조선이 대부여로 이름을 바꾼 것이다. 기존의 다른 두 조선, 그러니까 번조선과 막조선은 그대로 유지되면서 대부여와 함께 여전히 한 나라를 이루고 있었던 것!!
그런데 이들 번조선과 막조선이 점차 독자적인 병권兵權을 가지면서 대부여의 통제에서 벗어나 실질적인 독립국이 된다. 이 때문에 종래 단군조선의 통치체제인 삼한관경제가 유명무실해지고 이로 인해 대부여 또한 오래가지 못하고 약화된다. 대부여의 제47세 고열가단군을 끝으로 대부여(=진조선)는 그 역사의 막을 내리고(서기전 239년) 그 뒤를 해모수의 북부여가 계승한다. 진조선은 이처럼 대부여를 거쳐 북부여로 계승된다.

5. 국사 교과서를 보면 단군조선 다음에 북부여가 아니라 위만조선?
위만조선이라는 나라는 없었다. 정확한 명칭은 위만정권이라고 해야 한다. 그것은 단군조선의 서쪽 영토 일부를 일시적으로 장악했던 지방 정권에 불과했다.
대륙의 북부여가 진조선을 계승한 직후 그 서쪽의 번조선 땅에는 중국에서 넘어온 난민들로 넘쳐났다. 위만은 그런 난민들의 우두머리격 인물이었다. 당시 번조선을 다스리던 준왕이 위만을 받아들이고 번조선의 서쪽 변방을 지키는 장수로 임명하는 등 은혜를 베풀었다. 그런데 정작 위만은 자신의 임지에서 몰래 세력을 길러 서기전 194년 준왕의 왕검성을 친 것이다. 그렇게 준왕을 몰아내고는 스스로 ‘번조선 왕이다’ 칭하고 왕위를 차지하는 배은망덕한 일을 저질렀다.
이 같은 위만정권을 일연의 ‘삼국유사’, 나아가 지금의 강단사학계에서 버젓이 위만조선이라고 부르는 것이다. 그러나 이는 잘못된 호칭이다. 위만정권에 조선이라는 이름을 갖다 붙여서는 안된다.
번조선 역시 단군조선을 이루던 삼조선의 하나였다. 하지만 당시 조선의 중심은 진조선이었다. 그 진조선의 국통은 분명히 구물단군의 대부여를 거쳐 해모수의 북부여로 이어졌다. 그것이 올바른 국통 맥이다. 반란을 통해 그저 일시적으로 왕위를 찬탈했던 위만에게 단군조선의 계승국을 의미하는 조선이란 명칭을 붙여서는 안 된다.

6. 북부여의 제6세 고무서단군이 후사 없이 죽자 그 사위인 주몽이 대통을 이어받았다. 고구려의 시작!!
주몽은 잘 알려진 것처럼 유화부인의 아들이다. 유화부인은 혼인 전 몰래 임신해 부모에게서 쫓겨났는데 마침 동부여의 해부루 왕이 그녀를 동부여로 데려갔다.
이렇게 해서 주몽은 동부여의 왕궁에서 태어났다. 그러나 동부여 사람들의 질시로 신변의 위협을 받자 (자기의 고향이라 할) 북부여로 탈출한다. 그리고는 북부여를 다스리던 고무서단군의 둘째 딸 소서노와 결혼, 고무서단군의 사위가 되어 나중에 왕위를 물려받고 고구려를 열게 된다.
이처럼 주몽이 건국한 고구려가 일찍이 해모수가 세운 북부여로부터 나왔다는 사실은 ‘환단고기’는 말할 것도 없고 ‘삼국유사’에도 분명히 나와 있다. ‘삼국사기’는 주몽이 동부여에서 왔다고 기록하고 있지만 광개토왕비 역시 주몽의 출자가 북부여라고 밝히고 있다. ‘삼국사기’보다 시대적으로 훨씬 앞선 광개토왕비문의 내용이 정확한 것임은 두말할 여지가 없다.

7. 백제와 신라
백제는 고구려에서 직접 갈려나온 나라.. 소서노의 아들 온조와 비류가 함께 남쪽으로 이주해 백제를 세웠다.
신라 역시 부여와 밀접한 관계 속에 나라가 세워졌다. 일찍이 북부여 제실의 딸인 파소婆蘇(삼국유사에는 사소娑蘇라고 기록됐는데 북부여 고두막한의 딸로 추정됨)가 아버지 없이 아이를 잉태하는 바람에 뭇 사람들의 눈총을 받게 되자 당시 진한 땅으로 이주한다. 그렇게 이주한 뒤 낳은 아들이 곧 신라의 시조인 박혁거세이다. ‘삼국유사’에는 파소가 중국 제실의 딸이다, 그렇게 쓰여 있는데 이는 북부여의 제실을 잘못 기록한 것이다. 신라에서 성산으로 모시는 성모산의 ‘성모聖母’#가 바로 이 파소 부인을 가리킨다.
중요한 것은 이처럼 고구려 백제 신라를 건국한 시조들뿐 아니라 그 주민들 또한 대부분 단군조선의 유민들이었다. 한민족의 후예들인 것이다. 고구려, 백제, 신라는 모두 이처럼 단군조선과 북부여의 국통 맥을 이은 한민족의 나라들이었다.

8. 고대 우리 민족의 문화
단군조선의 강역이던 요령성에서 청동기 문화가 시작된 때는 적어도 서기전 2500년경이다. 이에 비해 중국 황하 유역의 청동기 문화는 단군조선보다 훨씬 뒤인 기원전 2200년경에 시작됐다. 여느 지역보다 시기적으로 앞서 시작된 단군조선의 청동기 문화는 농기구, 제기, 무기 등 제반 도구의 제작기술 수준에 있어서 다른 데보다 높았다. 나아가 단군조선 때는 이미 직물의 생산기술 역시 상당히 발전했다.
지금까지 발견, 발굴된 고고학 자료에 따르면 고대 한민족이 비단을 생산하기 시작한 시기는 중국과 비슷한 서기전 2700년경이다. ‘환단고기’에 보면 초대 단군왕검이 하백의 딸을 황후로 맞이해 누에치기를 관장하게 했다는 기록이 있다.
이 같은 사실은 배달국 말기에 이미 비단이 생산됐음을 보여주는 고고학 자료를 통해 뒷받침된다. 단군조선에서 재배한 뽕나무와 그것으로 기른 누에는 중국 것과는 엄연히 다른 품종이었다. 또 비단의 직조방법과 염색기술도 중국과는 다른 독자적인 것이었다. 단군조선의 직조織造기술은 중국보다 앞섰으며 비단의 종류 또한 단군조선에 더 많았다. 단군조선 시대의 유물, 홍산문화권의 유물, ‘환단고기’의 기록 등을 근거로 동서양 교류 역사를 담고 있는 기존의 실크로드(Silk Road 비단길) 역사까지도 새로 쓰여야!!
이미 고대 한국에서는 서기전 25세기에 청동 단추로 장식된 복식을 착용했고 그 뒤에는 갑옷과 투구에 이를 응용했다. 시베리아의 청동기문화가 서기전 1800년경에 시작되었으니(학계 추정) 단군조선은 중국과 북방 민족들보다 훨씬 앞서 가장 이른 시기에 청동 단추로 장식한 갑옷을 생산한 것이다. 묶은 머리(상투)를 고정시키는 옥고玉箍#를 통해 고대 한국인의 문화적 우수성을 볼 수 있다.
단군조선 시대의 문화수준을 보여주는 저 홍산문화 유적지에서는 옥으로 만든 옥고가 대량 발굴됐다. 바로 이 옥고에서 우리 금관의 기본 양식이 비롯되었다. 지금까지 전세계에서 발굴된 옛 금관의 3분의 2가 우리나라에서 나왔다. 금관의 종주국!!

9. 현 상황
일제는 식민지 문화정책으로 단군조선의 역사를 신화로 왜곡하고 나중에는 아예 우리 역사에서 송두리째 들어냈다. 그 바람에 일제가 한반도를 지배한 이후 단군조선의 역사는 그저 신화로 이야기되고, 한민족사는 이른바 위만정권 때부터 시작된 것으로 축소, 서술됐다. 개탄스러운 것은 그렇게 왜곡된 단군신화론 나아가 위만정권 이후 2000년으로 쪼그라든 한민족사가 마치 진실인 양 이 땅의 주류 사학자들에 의해 후세들의 뇌리에 뿌리를 박았다. 그들은 이른바 실증사학을 앞세우면서 일제가 남긴 식민사학의 해독을 이 나라에 퍼뜨려 왔다.
나라가 광복된 지 70년 가까이 됐어도 우리 역사는 광복되지 못했다. 지금까지 우리 눈을 가렸던 저 식민사관과 중화사관의 안대를 벗어버리고 한민족사를 바로 세워야 한다. 9천년 한민족사는 신화 따위가 아니다. 힘겨운 고비는 많았지만 국통이 끊어진 적 없이 지금까지 생생한 현실로, 당당한 역사로 이어져 왔다.

한뿌리사랑 세계모임 이영희 님의 글을 퍼옴.

 Posted by at 9:23 AM

OWASP Top 10 – 2017년 발표

 IT, 정보보호  Comments Off on OWASP Top 10 – 2017년 발표
Apr 242017
 

http://www.boannews.com/media/view.asp?idx=54393 

OWASP Top 10 – 2017…4년마다 한 번씩 보안위협 발표
올해 버전, 취약한 공격 방어와 취약한 API 추가

[보안뉴스 원병철 기자] 4년마다 한 번씩 취약점 Top 10을 발표하는 OWASP(The Open Web Application Security Project)가 지난 4월 초 ‘OWASP Top 10 – 2017’을 발표했다. 비영리재단인 OWASP는 어떠한 기업과도 제휴나 협약을 맺지 않고, 상업적인 목적이나 이윤 압박이 없기 때문에 애플리케이션 보안에 대해 공정하고 실질적이며, 효율적인 정보를 제공하고 있다.

OWASP Top10은 8개의 컨설팅 회사와 3개의 제품 공급업체를 포함해 애플리케이션 보안전문 업체의 11개 대형 데이터셋을 기반으로 작성된다. 이번 2017 버전은 지난 2013년 이후 처음으로 두 개의 항목이 신설됐다. 첫 번째는 취약한 공격 방어항목이며, 또 하나는 취약한 API 항목이다.

△ 인젝션
SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나, 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 인증 및 세션관리 취약점
인증 및 세션 관리와 관련된 애플리케이션 기능이 종종 잘못 구현되어 공격자에게 취약한 암호, 키 또는 세션 토큰을 제공해 다른 사용자의 권한을 (일시적으로 또는 영구적으로) 얻도록 익스플로잇한다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 크로스 사이트스크립팅(XSS)
XSS 취약점은 애플리케이션이 적절한 유효성 검사 또는 이스케이프처리 없이, 새 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나, JavaScript를 생성할 수 있는 브라우저 API를 사용해 사용자가 제공한 데이터로 기존 웹 페이지를 업데이트한다. XSS를 사용하면 공격자가 희생자의 브라우저에서 사용자 세션을 도용하거나, 웹사이트를 변조시키거나, 악성사이트로 리다이렉션 시킬 수 있다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 취약한 접근제어
취약한 접근제어는 인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되지 않는 것을 의미한다. 공격자는 이러한 결함을 악용해 다른 사용자의 계정에 액세스하거나, 중요한 파일을 보고 다른 사용자의 데이터를 수정하거나, 접근 권한을 변경하는 등 권한 없는 기능 또는 데이터에 접근할 수 있다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 보안 설정 오류
바람직한 보안은 애플리케이션, 프레임워크, WAS, 웹 서버, DB 서버 및 플랫폼에 대해 보안 설정이 정의되고 적용되어 있다. 보안 기본 설정은 대부분 안전하지 않기 때문에 정의와 구현, 그리고 유지라는 3박자가 잘 이루어져야 한다. 또한, 소프트웨어는 최신 버전으로 관리해야 한다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 민감 데이터 노출
대부분의 웹 애플리케이션과 API는 금융정보, 건강정보, 개인식별정보와 같은 민감정보를 제대로 보호하지 못한다. 공격자는 신용카드사기, 신분도용 또는 다른 범죄를 수행하는 취약한 데이터를 훔치거나 변경할 수 있다. 브라우저에서 중요 데이터를 저장 또는 전송할 때 특별히 주의해야 하며, 암호화와 같은 보호조치를 취해야 한다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 공격 방어 취약점
대부분의 애플리케이션과 API에는 수동 공격과 자동 공격을 모두 탐지하거나 방지·대응할 수 있는 기본 기능이 없다. 공격 보호는 기본 입력 유효성 검사를 훨씬 뛰어넘으며, 자동 탐지, 로깅, 응답, 익스플로잇 시도 차단을 포함한다. 애플리케이션 소유자는 공격으로부터 보호하기 위해 패치를 신속하게 배포할 수 있어야 한다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 크로스 사이트 요청 변조(CSRF)
CSRF 공격은 로그인된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 인증정보를 포함해 위조된 HTTP 요청을 강제로 보내도록 한다. 예를 들어, 공격자가 취약한 어플리케이션이 피해자의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 알려진 취약점이 있는 컴포넌트 사용
컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어 모듈은 애플리케이션과 같은 권한으로 실행된다. 이런 취약한 컴포넌트를 악용해 공격하는 경우, 심각한 데이터 손실이 발생하거나 서버가 장악된다. 알려진 취약점이 있는 구성 요소를 사용하는 애플리케이션과 API는 어플리케이션을 약화시키고 다양한 공격과 영향을 줄 수 있다.

▲ 자료제공 : 블랙팔콘 이지혜

△ 취약한 API
최신 어플리케이션에는 일종의 API (SOAP / XML, REST / JSON, RPC, GWT 등)에 연결되는 브라우저 및 모바일 애플리케이션의 자바스크립트(JavaScript)와 같은 여러 클라이언트 애플리케이션 및 API가 포함되는 경우가 많다. 이러한 API는 대부분 보호되지 않으며 수많은 취약점을 포함한다.

▲ 자료제공 : 블랙팔콘 이지혜

OWASP 측은 이번 Top 10외에도 ‘OWASP Developer’s Guide’와 ‘OWASP Cheat Sheet Series’에서 수백 개의 웹 어플리케이션 위협요소를 다룬다며, 웹 애플리케이션 개발자라면 반드시 참고할 것을 권고했다. 또한, 보안 취약점은 아주 복합적이며 엄청난 코드 더미 사이에 숨어 있기 때문에 좋은 도구를 활용할 수 있는 보안전문가를 활용하라고 조언했다.

무엇보다 보안이 개발조직 전반에 걸쳐 필수적인 요소라고 인식하는 문화를 만드는 것이 중요하다고 OWASP는 강조했다.

한편, OWASP 한글 번역본은 블랙팔콘(Black Falcon) 이지혜 씨가 제공했으며. 전문은 블랙팔콘 블로그에서 받을 수 있다.

 Posted by at 8:47 AM