웹 해킹의 기초

서버, 네트워크, 서비스에 대한 전반적인 보안수준은 놀라울 정도로 발전하였다.

특히 네트워크 층을 보호하는 방화벽과 IDS/IPS 시스템과 같은 분야의 개선된 제품의 힘이 컸다.

하지만 이런 장비들은 웹 애플리케이션이나 거기서 사용되는 데이터를 효과적으로 보호할 수 없다.

결과적으로 해커들은 웹 애플리케이션을 공격하는 방향으로 선회하였는데, 대부분의 웹은 데이터베이스 서버와 같은 내부 시스템과 직접적으로 상호작용하면서도 방화벽이나 네트워크 보안장비 등 의 장비로 밖에 보호 받지 못하는 등의 취약한 구조 때문이다.

 

현재의 웹 애플리케이션은 소프트웨어 개발 초기 단계에 보안을 포함하고 표준화된 방식으로 보안 요구사항을 형식화 하도록 규정과 심사, 지침등이 마련되어 있으며, '오픈 소스 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project, OWASP) 처럼 애플리케이션 보안에 전념하는 보안 커뮤니티 그룹 조직이 커지고 있기도 하다.

 

그럼에도 보안보다 기능구현에 집중하는 기업구조, 인식, 프로그래머가 많기 때문에 취약한 웹 애플리케이션이 많이 존재하지만, 간단히 무력화 시킬수 있는 시대가 지났기도 하다. (웹 애플리케이션의 보안성도 개선되었기 때문)

 

그렇기 때문에 웹 사용자를 공격하는 식으로 공격 대상이 다시금 바뀌었으며, 담당자 또는 웹 프로그래머가 웹 사용자를 보호할 수 있는 방안을 스스로 찾고 대응하기 어렵다. 공격은 여전히 웹 서버, 웹 애플리케이션, 웹 사용자를 타겟으로 삼고 있다. 이러한 공격이 어떻게 진행되고 어떻게 침투하는지 알아보고 어떠한 도구로 수행되는지 보안담당자 입장에서 전체적으로 이해가 필요하다.