웹 응용 프로그램 보안이란 무엇인가요?

웹 응용 프로그램 보안이란 무엇입니까?

웹 응용 프로그램 보안은 모든 웹 기반 비즈니스의 핵심 요소입니다. 인터넷의 글로벌 특성으로 인해 웹 자산은 여러 위치와 다양한 수준 및 복잡성의 공격에 노출됩니다. 웹 응용 프로그램 보안은 웹사이트, 웹 응용 프로그램, API 같은 웹 서비스를 중심으로 보안을 전문적으로 다룹니다.

어떤 일반적인 앱 보안 취약성이 있습니까?

웹 응용 프로그램 공격은 대상 데이터베이스 조작부터 대규모 네트워크 중단까지 다양합니다. 일반적인 공격 방법이나 흔히 악용되는 “벡터”에 대해 알아보겠습니다.

• XSS(Cross Site Scripting) - XSS를 통해 공격자는 클라이언트측 스크립트를 웹 페이지에 삽입하여 중요한 정보에 직접 액세스하거나 사용자를 사칭하거나 고객이 중요한 정보를 공개하도록 유도할 수 있습니다.
• SQi(SQL injection) - SQi는 공격자가 데이터베이스가 검색 쿼리를 실행하는 방식의 취약점을 악용할 수 있는 방법입니다. 공격자는 SQi를 이용하여 비인가 정보를 액세스하거나, 새 사용자 권한을 조작하거나 만들거나, 기타 방식으로 민감한 데이터를 조작하거나 파괴합니다.
• DoS(Denial-of-Service) 및 DDoS(Distributed Denial-of-Service) 공격 - 공격자는 다양한 벡터를 통해 대상 서버나 주변 인프라에 다양한 유형의 공격 트래픽으로 과부하를 걸 수 있습니다. 서버가 더 이상 효과적으로 수신 요청을 처리하지 못하면 속도가 느려지고 결국, 합법적인 사용자의 요청에 대한 서비스를 거부하게 됩니다.
• 메모리 손상 - 메모리 위치가 의도하지 않게 조작되어 소프트웨어가 예상치 못하게 작동하게 되면 메모리 손상이 발생합니다. 악의적인 행위자는 코드 주입이나 버퍼 오버플로 공격 같은 악용법을 통해 메모리 손상을 탐지하고 악용합니다.
• 버퍼 오버플로 - 버퍼 오버플로는 소프트웨어가 버퍼로 알려진 메모리 내 정의된 공간에 데이터를 작성할 때 발생하는 이상입니다. 버퍼의 용량에 오버플로가 발생하면 인접한 메모리 위치에 데이터가 덮어쓰이게 됩니다. 이러한 동작을 악용하여 메모리에 악성 코드를 주입하고 대상 머신에 취약성을 만들 수 있습니다.
• CSRF(Cross-Site Request Forgery) - CSRF는 피해자를 속여 인증이나 권한을 사용하는 요청을 하게 만듭니다. 공격자는 사용자의 계정 특권을 사용하여 사용자로 위장하고 요청을 보낼 수 있습니다. 사용자의 계정이 해킹되면 공격자는 중요한 정보를 반출하거나, 파괴하거나, 조작할 수 있습니다. 관리자나 임원 같이 권한이 높은 계정이 일반적으로 대상이 됩니다.
• 데이터 침해 - 데이터 침해는 특정 공격 벡터와 달리 일반적인 용어로서 민감한 정보나 기밀 정보를 유출하는 것을 의미하며 악의적인 행동이나 실수에 의해 발생할 수 있습니다. 데이터 침해로 여겨질 수 있는 것의 범위는 매우 넓으며 귀중한 기록 몇 개부터 노출된 사용자 계정 수백만 개까지 구성될 수 있습니다.

취약성을 완화하기 위한 최선의 방법은 무엇입니까?

웹 앱이 악용되지 않게 보호하기 위한 중요 조치에는 최신 암호화 사용, 적절한 인증 요구, 발견된 취약성의 지속적인 보완, 양호한 소프트웨어 개발 환경 유지 등이 있습니다. 사실상 아무리 강력한 보안 환경에서도 똑똑한 공격자는 취약성을 발견할 수 있기 때문에 종합적인 보안 전략이 권장됩니다.

DDoS, 응용 프로그램 계층, DNS 공격을 방어하여 웹 응용 프로그램 보안을 개선할 수 있습니다.

WAF - 응용 프로그램 계층 공격 방어

웹 응용 프로그램 방화벽, 즉 WAF는 악성 HTTP 트래픽으로부터 웹 응용 프로그램을 보호합니다. WAF는 대상 서버와 공격자 사이에 필터링 장벽을 배치하여 CSRF, XSS, SQLi 같은 공격을 막을 수 있습니다. Cloudflare의 WAF에 대해 자세히 알아보세요.

DDoS 완화

웹 응용 프로그램을 방해하는 데 일반적으로 사용되는 방법은 분산 서비스 거부, 즉 DDoS 공격입니다. Cloudflare는 에지에서 볼류메트릭 공격 트래픽을 차단하거나 Anycast 네트워크를 사용하여 서비스 손실 없이 합법적인 요청을 적절히 라우팅하는 것 같은 다양한 전략을 통해 DDoS 공격을 완화합니다. Cloudflare가 DDoS 공격으로부터 웹 자산을 지키는 데 어떻게 도움을 줄 수 있는지 알아보세요.

DNS 보안 - DNSSEC 보호

도메인 이름 시스템(DNS)은 인터넷의 전화번호부이며, 웹 브라우저 같은 인터넷 도구가 올바른 서버를 찾는 방법을 말합니다. 악의적인 행위자는 DNS 캐시 악성 침입, 온패스 공격 등 DNS 조회 수명주기를 간섭하는 다양한 방법을 통해 이러한 DNS 요청을 가로채려 합니다. DNS를 인터넷 전화번호부라고 한다면, DNSSEC는 도용할 수 없는 발신자 번호라고 할 수 있습니다. Cloudflare로 DNS 조회를 어떻게 보호할 수 있는지 알아보세요.