거의 모든 애플리케이션에 최소 한개 이상의 취약점 및 설정오류가 존재한다고 한다. 특히나...
- SSL/TLS 설정오류
- CSP 헤더 부재
- 정보를 유출시키는 서버 배너
설정 오류 문제가 소스코드의 문제보다 덜 심각하다고 인식되는 경향이 있는데, 이것은 잘못된 생각이다.
둘다 심각한 문제임.
최근 기업들은 정적 스캔 통한 시큐어 코딩을 잘 해내고 있는데.. 여기에 지나치게 신경 쓴 탓인지.. 기본적인 설정 문제가 발견되고 있다.
→ 정적 스캔 뿐만아니라 동적 스캔도 같이 사용해야 한다.
[Example]
- 모의해킹 시 77% 정도는 SSL/TLS 오류 문제가 발견
- XXS 취약점은 22%
- 세션 타임아웃 제대로 설정되지 않은 애플리케이션 38%
- 클릭재킹 취약점 포함한 애플리케이션 30%
- 비밀번호 설정이 취약한 애플리케이션 1/4
보통 애플리케이션 보안의 가장 큰 원인이 오픈소스라고 생각하지만, 그렇다고 결론내리기는 힘들다.
공급망 및 오픈소스SW(서드파티) 요소에서 발견되는 취약점은 애플리케이션 문제 중 1/4정도만을 차지하기 때문이다.
애플리케이션 점검 방법을 다양화하고, 보안공학(security by design) 개념을 도입하는 것이 필요하다.
#security by design: 개발 기획 단계로부터 보안을 고려하는 것.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 도커 허브 라이브러리 사용 시 주의, 악성 이미지 다수 존재 (0) | 2022.11.28 |
|---|---|
| [보안이슈] 애플/구글/MS의 비밀번호 사용 반대, 더 편리하고 안전한 인증 시스템 도입? (0) | 2022.11.23 |
| [IT이슈] 딥페이크 탐지 기술 "페이크캐쳐" 공개한 인텔 (0) | 2022.11.16 |
| [보안이슈] 러시아 공유 킥보드 플랫폼 Whoosh의 데이터 유출, 해킹 포럼에서 데이터 판매 中 (0) | 2022.11.15 |
| [보안이슈] 호주 건강 보험 회사 Medibank, 랜섬웨어 당한 후 몸값 지불 거부 (0) | 2022.11.14 |