[논문]OWASP 및 WASC 중심의 웹 애플리케이션 보안에 관한 고찰

이재현

doi:10.12673/jant.2011.15.3.372

[국내논문] OWASP 및 WASC 중심의 웹 애플리케이션 보안에 관한 고찰
Study on the OWASP and WASC-oriented Web Application Security 원문보기

한국항행학회논문지 = Journal of advanced navigation technology, v.15 no.3 = no.48, 2011년, pp.372 - 377

이재현 (강릉원주대학교 과학기술대학)

초록
AI-Helper

지금까지의 웹 애플리케이션의 보안 취약성 분석과 관련하여 현재 국외에서 진행되고 있는 각종 프로젝트들에 대한 조사와 국내 연구 자료가 미비한 실정이다. 이는 국내 웹 서비스의 질적 향상 및 향후 발전된 서비스의 제안을 위한 선행 연구의 부족이 주요 원인이라 할 수 있다. 본 논문에서는 현재까지 발표되어 악용되어온 웹 애플리케이션의 취약성 유형들을 체계있게 살펴보고 향후 방안에 대해 살펴보고자 한다.

Abstract ▼ AI-Helper

Until now, the study and research on the projects which have internationally conducted are in poor condition with regard to the security vulnerability analysis of web application. This is due to a lack of precedent study for improving the quality of the web services in order to provide better services for the future. In this paper, I analyze the types of the web application vulnerabilities which have been studied and mapped out a plan for protecting them.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

WASC는 다른 그룹들과는 달리 공개된 리소스를 이용하여 산업체에 가이드라인과 문서화된 표준들을 제공하고 있다. WASC는 산업체에서 실질적으로 활용될 수 있는 웹 응용 보안 표준들을 제정함으로써 산업체에 도움이 되도록 하는데 그 목적을 두고 있다.
지금까지 OWASP와 WASC에 대한 개괄적인 소개와 현재 진행되고 있는 각종 프로젝트들의 동향들에 대해 살펴보았다. 또한 양측의 비교를 통해 유사성과 차이점을 살펴보고 향후 양측이 상호협력을 통해 얻을 수 있는 시너지 효과에 대해 모색해 보았다.
결론적으로 볼 때, 서로 다루고 있는 영역의 차이가 있으나 양측이 모두 현재까지 웹 응용 보안 부분에 있어 가장 활발한 활동을 벌이고 있고, 다루고 있는 영역 중 일부는 서로 관련이 있는 바 상호협력을 통해 효과를 극대화할 필요가 있을 것이다. 본 연구 에서는 이러한 유사성과 차이점을 살펴보고 향후 양측이 상호 협력할 수 있는 기반을 모색해본다는 점에서 의미가 있을 것으로 사료된다.
본 연구에서는 연구 범위를 OWASP와 WASC에서 수행하고 있는 프로젝트들로 한정하고 이들에 대한 개괄적인 소개와 현재 진행되고 있는 각 프로젝트들의 동향에 대해 분석하고 그 대응방안에 대해 제시하고자 한다.
이러한 조사를 바탕으로 특히 OWASP의 프로젝트 들을 분석하여 향후 웹 애플리케이션의 취약성 유형 들을 예방할 수 있는 방안을 제시하였다. 이는 향후 한국인터넷진흥원을 비롯한 보안관련 기관에서 향후 정책을 반영하는데 있어 가치있는 기초자료로 활용될 수 있을 것이다.
지금까지 OWASP와 WASC에 대한 개괄적인 소개와 현재 진행되고 있는 각종 프로젝트들의 동향들에 대해 살펴보았다. 또한 양측의 비교를 통해 유사성과 차이점을 살펴보고 향후 양측이 상호협력을 통해 얻을 수 있는 시너지 효과에 대해 모색해 보았다.

제안 방법

한국인터넷진흥원에서는 해킹에 많이 이용되고 있는 웹 어플리케이션의 취약점에 대한 최신 동향과 해킹기법, 보안대책을 다룬 “웹 보안 4종 가이드”[10]를 발간하여 배포하고 있다. 주된 내용은 OWASP Top 10에서 제시하고 있는 취약점들과 그 대응방안 들에 대해 홈페이지 개발 시 필요한 보안 고려사항, 웹서버 구축 시 취약점 및 안전한 웹 프로그래밍 기법들, 그리고 서버 및 네트워크, Database와 application의 점검 방법, 끝으로 가이드 CD로 구성되어 있다.

후속연구

결론적으로 볼 때, 서로 다루고 있는 영역의 차이가 있으나 양측이 모두 현재까지 웹 응용 보안 부분에 있어 가장 활발한 활동을 벌이고 있고, 다루고 있는 영역 중 일부는 서로 관련이 있는 바 상호협력을 통해 효과를 극대화할 필요가 있을 것이다. 본 연구 에서는 이러한 유사성과 차이점을 살펴보고 향후 양측이 상호 협력할 수 있는 기반을 모색해본다는 점에서 의미가 있을 것으로 사료된다.
결론적으로 현재까지 발표되어 악용되어온 웹 애플리케이션의 취약성 유형들을 체계 있게 살펴보고 이를 예방할 수 있는 방안을 모색할 필요가 절실하다.
또한 이들에 대한 동향과 새로운 방안 제시는 향후 웹 취약점을 노출에 적극 예방과 대응에 기초 자료로서 충분한 가치가 있을 것으로 사료된다.
이러한 조사를 바탕으로 특히 OWASP의 프로젝트 들을 분석하여 향후 웹 애플리케이션의 취약성 유형 들을 예방할 수 있는 방안을 제시하였다. 이는 향후 한국인터넷진흥원을 비롯한 보안관련 기관에서 향후 정책을 반영하는데 있어 가치있는 기초자료로 활용될 수 있을 것이다.
따라서 우리나라에서도 한국인터넷진흥원을 포함한 업계와 학계 등의 전문가들이 지속적으로 OWASP 뿐만 아니라 WASC의 프로젝트들과 관련한 최신 동향들을 분석하고 이를 보안 개발자나 관리자들이 적극 활용할 수 있도록 연구할 필요가 있다. 이는 현재도 국가나 관련 기업들에서 많은 관심과 투자가 진행되고 있는 바, 향후 실질적인 대처 방안이 마련될 것으로 사료된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	OWASP 프로젝트의 도구 및 문서들은 어떤 항목에 맞춰서 체계화 되어 있는가?	PROTECT - 보안에 관련된 설계 및 실행 오류를 방어하기 위한 도구 및 문서들 DETECT - 보안에 관련된 설계 및 실행 오류를 발견하기 위한 도구 및 문서들 LIFE CYCLE - 보안에 관련된 활동들을 소프트웨어 개발 생명 주기에 추가하기 위한 도구 및 문서들
	OWASP는 어떤 커뮤니티 인가?	OWASP(Open Web Application Security Project)는 보안 관련 전문가나 각 기업들이 제품을 개발 또는 믿고 구매, 유지 보수할 수 있도록 도와주는 전문화된 오픈 커뮤니티이다. 현재 OWASP의 모든 도구, 문서, 포럼 및 모든 자료들은 무료이며, 애플리케이션 보안 향상에 관심이 있는 사람이면 누구에게나 공개 되어 있다.
	OWASP는 어떤 정보를 제공하는가?	OWASP는 새로운 형태의 조직으로서 상업적인 이용을 배제하고 애플리케이션 보안에 관한 공평하고, 실용적이며, 비용-효율적인 정보를 제공한다. OWASP는 영리적인 보안 기술들에 대한 유익한 사용법을 제공하지만 어떠한 회사에도 제휴되어 있지 않으며 많은 오픈 소스 소프트웨어 프로젝트와 마찬 가지로, OWASP는 많은 종류의 자료들을 공개하고 있다.

참고문헌 (10)

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
김성락, "A Study of Web Application Attack Detection extended ESM Agent," 한국컴퓨터정보학회논문지, 제 12권, 제 1호, pp. 161-168, 2008.
장문수, 오창석, "Web Application Attack Prevention by Traffic Analysis," 한국컴퓨터정보학회논문지, 제 13권, 제 3호, pp. 139-146, 2008.

원문보기 상세보기
V. Benjamin-Livshits, S. Monica, "Finding Security Vulnerabilities in Java Applications with Static Analysis," Technical Report, Dept. Computer Science, Stanford University, 2005.
F. Jacobs and B. Joosen, "Software Security: Experiments on the .NET Common Language Run-time and the Shared Source Common Language Infrastructure," Software : IEE Proceedings, vol. 150, issue 5, pp. 303-307, 2003.

상세보기
J. Bau, E. Bursztein, D. Gupta, and J. Mitchell, " State of the Art: Automated Black-Box Web Application Vulnerability Testing," 2010 IEEE Symposium on Security and Privacy, pp. 332-345, 2010.
C. Vanden-Berghe, F. Piessens, and J. Riordan, "A Vulnerability Taxonomy Methodology applied to the Web Services," Proc. the 10th Nordic Workshop on Secure IT Systems, 2005
OWASP(Open Web Application Security Project), http://www.owasp.org
WASC(Web Application Security Consortium), http://webappsec.org
http://www.kisa.or.kr/notice/noticeView.jsp? mode view&b_No4&d_No189

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증