[논문]위험관리 기반의 비용 효율적인 실시간 웹 애플리케이션 소프트웨어 보안취약점 테스팅

쿠미 산드라; 임채호; 이상곤

doi:10.13089/jkiisc.2020.30.1.59

위험관리 기반의 비용 효율적인 실시간 웹 애플리케이션 소프트웨어 보안취약점 테스팅
Cost-Effective, Real-Time Web Application Software Security Vulnerability Test Based on Risk Management 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.1, 2020년, pp.59 - 74

쿠미 산드라 (동서대학교 컴퓨터공학부) , 임채호 (빛스캔(주)) , 이상곤 (동서대학교 컴퓨터공학부)

초록
AI-Helper

웹 애플리케이션이 동작하는 웹 공간은 공개된 HTML로 인하여 공격자와 방어자의 사이버 정보전쟁터이다. 사이버 공격 공간에서 웹 애플리케이션과 소프트웨어 취약성을 이용한 공격이 전 세계적으로 약 84%이다. 웹 방화벽 등의 보안제품으로 웹 취약성 공격을 탐지하기가 매우 어렵고, 웹 애플리케이션과 소프트웨어의 보안 검증과 보증에 많은 인건비가 필요하다. 따라서 자동화된 소프트웨어에 의한 웹 스페이스에서의 신속한 취약성 탐지와 대응이 핵심적이고 효율적인 사이버 공격 방어 전략이다. 본 논문에서는 웹 애플리케이션과 소프트웨어에 대한 보안 위협을 집중적으로 분석하여 보안위험 관리 모델을 수립하고, 이를 기반으로 효과적인 웹 및 애플리케이션 취약성 진단 방안을 제시한다. 실제 상용 서비스에 적용한 결과를 분석하여 기존의 다른 방식들보다 더 효과적임을 증명한다.

Abstract ▼ AI-Helper

The web space where web applications run is the cyber information warfare of attackers and defenders due to the open HTML. In the cyber attack space, about 84% of worldwide attacks exploit vulnerabilities in web applications and software. It is very difficult to detect web vulnerability attacks with security products such as web firewalls, and high labor costs are required for security verification and assurance of web applications. Therefore, rapid vulnerability detection and response in web space by automated software is a key and effective cyber attack defense strategy. In this paper, we establish a security risk management model by intensively analyzing security threats against web applications and software, and propose a method to effectively diagnose web and application vulnerabilities. The testing results on the commercial service are analyzed to prove that our approach is more effective than the other existing methods.

주제어

표/그림 (16)

그림 Fig. 1. Risk Template, Appendix I of [5],
그림 Fig. 2. CMU SEI’s Web Apps Security Testing Pyramid System
그림 Fig. 3. General web crawler architecture
표 Table 1. Web Apps Vulnerability Sets
표 Table 2. Bitscan Vulnerability Ranking
표 Table 3. Web Apps Security Structure and BitScan System
그림 Fig. 4. Web Apps Client(Subject) and Server (Object) Model
그림 Fig. 5. Target Model of Web Apps Security Testing
그림 Fig. 6. Framework of Bitscanner
그림 Fig. 7. Structure of a Web Application
그림 Fig. 8. Flowchart of Bitscanner's Crawler
그림 Fig. 9. Bitscanner Operation Dash-Board
그림 Fig. 10. Bitscanner Vulnerability Scanning Result
표 Table 4. 2019 Top Vulnerability Statistics (Experiment by Bitscan INC, BNst Co., LTD)
표 Table 5. Scanning Speed Comparision of Web Vulnerability Scanning Tools.[Unit : ms]
표 Table 6. The Comparison of Web Apps Vulnerability.

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

세계 웹 서버 중 활성화된 2억 개의 웹 서버에 대한 웹 애플리케이션 보안 취약점 기술을 연구했다. 소프트웨어 취약점은 미국 NVD CVE 및 OWASP Top 10의 808개의 취약점을 포함한다.
응답은 광범위한 오류 메시지와 다른 DBMS의 오류 상태를 포함하는 데이터베이스와 맞추어 본다. 응답이 어떤한 패턴과 일치하면 매개 변수를 포함하여 취약점으로 보고한다. 이 과정을 통해 개발자는 코드의 어느 부분이 취약점을 일으키는지 알 수 있다.

제안 방법

스캔에 1GB 및 10GB의 대역폭을 사용한다. Bitscanner의 효과를 평가하기 위해 Bitscan INC와 BNst Co., LTD에서 대상 웹 애플리케이션에 대한 실험을 수행했다. Bitscanner의 크롤러는 전체-깊이 크롤링 전략을 사용하여 웹 애플리케이션에 연결된 모든 페이지를 내려받는다.
크롤링 단계 후, 수집된 페이지에서 구조적 분석을 수행하여 취약점이 될만 한 지점을 찾는다. 각 페이지 구문을 분석하여 양식을 찾아내고, 양식 내의 모든 입력 매개 변수를 추출한다. 또한, JSON, XML 및 AJAX에서 GET 및 POST 매개 변수를 찾아낸다.
응답은 웹 애플리케이션의 잘 알려진 데이터베이스 오류 메시지 및 코드와 정합시켜 분석한다. 광범위한 데이터베이스 오류 메시지에 대한 패턴을 생성하고, PCRE(Perl Compatible Regular Expressions)[21]를 사용하여 패턴들을 정규 표현식으로 코드화한다. 응답이 어떤 오류 패턴과 일치하면, 해당 취약점을 취약점으로 표시하고 취약점 유형을 반환한다.
본 연구에서 제안하는 취약점 탐지기법은 동적 오류 주입에 의한 HTTP Error 공격을 탐지하는 동적모델이다. 기존의 다른 도구들은 Server에서 공격과 연동하는 HTTP 동작에 대한 고려 없이 소스 코드만 분석하는 정적인 SAST(Static AST) 모델이라는 점에서 본 연구에서 제안하는 취약점 탐지기법은 차별성을 가진다. 웹 애플리케이션 개발 시 본 논문에서 제안하는 기술을 사용하면 애플리케이션이 조직에 영향을 미치는 위험을 파악하고 사전에 치료 조치의 우선 결정을 도와준다.
취약점 관리 정보를 적시에 제공하기 위해 DHS가 후원한다. 데이터 상호운용성을 개선하기 위해 NVD는 SCAP(Security Content Automation Protocol)를 기반으로 데이터를 게시하여, 취약점 관리와 보안측정을 자동화할 수 있게 하였다. CVE(Common Vulnerabilities and Exposures), CVSS(Common Vulnerability Scoring System),CPE(Common Platform Enumeration), CCE(Common Configuration Enumeration), CWE(Common Weakness Enumeration) 등의 SCAP 사양 및 보안모델은 NVD 작업을 지원한다.
크롤링 단계를 시작할 때 검색할 웹 애플리케이션 루트 주소를 크롤러에 시작 값으로 공급한다. 루트 주소를 시작점으로 사용하여 외부 링크를 제외 한 웹 애플리케이션의 링크, 컨텐츠 및 양식을 추출 한다. Bitscanner의 크롤러는 JavaScript, AJAX, HTML5, CSS 및 대부분의 최신 웹 기술을 사용하는 웹 애플리케이션으로부터 실시간 페이지 수집을 지원한다.
본 논문에서 설명하는 Bitscanner 툴의 성능 평가를 위해, 잘 알려진 무료 툴인 Arachni[22] 및 Acunetix[23] 상용 스캐너와 비교한다. 성능 평가를 위하여 3개의 웹 애플리케이션을 사용하였다.
본 논문에서 소개된 Bitscanner는 들어오는 웹 애플리케이션을 30가지 유형의 취약점에 대하여 서명 형식으로 대상 웹 URI를 빠르게 스캐닝하여 취약점을 매우 빠르게 탐지하고 쉽게 업데이트한다. 이 기술은 2001년 일본 SaaS 시장에서 다른 글로벌 기술이 8시간 걸렸던 작업을 8분에 수행한 이력을 가지고 있다[25].
탐지된 취약점이 특정 애플리케이션에 어떤 영향을 미치는지 결정해야 하고, 조직의 네트워크에 존재하는 다른 취약점과 결합할 경우 조직에 미칠 수 있는 위험성에 더 중점을 두어 취약점의 우선순위를 결정하여야 한다. 본 논문에서는 30개의 취약점을 5가지 등급으로 분류한다. 등급마다 취약점의 심각도와 위험성 수준을 구분한다.
기존 시스템의 취약점들 중에서 위험성이 높은 취약점 만 선정하여 점검하는 스캐너는, 기존 취약점 스캐너들 흔히 발생하는 웹 애플리케이션을 방어하는 데 필요하지 않은 취약점 탐지로 인한 자원 낭비를 제거하게 되므로, 높은 속도의 탐지 성능을 가진다. 본 연구에서 제안하는 Bitscan 30 취약점을 5가지 위험 수준으로 분류하였다. OWASP top 10, MITRE 25, 그리고 CVE ID와의 비교 그리고 공격 코드 및 자세한 설명 등을 부록 A에 나타내었다.
그림 4에서 이렇게 작동 하는 모델을 나타내었다. 본 연구에서 제안하는 취약점 탐지기법은 동적 오류 주입에 의한 HTTP Error 공격을 탐지하는 동적모델이다. 기존의 다른 도구들은 Server에서 공격과 연동하는 HTTP 동작에 대한 고려 없이 소스 코드만 분석하는 정적인 SAST(Static AST) 모델이라는 점에서 본 연구에서 제안하는 취약점 탐지기법은 차별성을 가진다.
본 절에서는 기존의 웹 애플리케이션 취약점 관리체계를 알아보고, 본 연구에서 제안하는 취약점 관리체계를 기존의 관리체계와 관리의 실시간성과 효율성 측면에서 비교 분석한다.
기존의 다른 도구들은 Server에서 공격과 연동하는 HTTP 동작에 대한 고려 없이 소스 코드만 분석하는 정적인 SAST(Static AST) 모델이라는 점에서 본 연구에서 제안하는 취약점 탐지기법은 차별성을 가진다. 웹 애플리케이션 개발 시 본 논문에서 제안하는 기술을 사용하면 애플리케이션이 조직에 영향을 미치는 위험을 파악하고 사전에 치료 조치의 우선 결정을 도와준다.
이것은 AST 도구를 사용하여 수행 할 수 있다. 조직에서 저렴한 비용으로 위험관리를 구현할 수 있도록, 본 논문에서는 취약점을 탐지하고, 탐지된 각 취약점에 위험 수준을 할당하는 DAST(Dynamic Application Security Testing) 스캐너인 Bitscanner를 제안한다.

대상 데이터

본 논문에서 설명하는 Bitscanner 툴의 성능 평가를 위해, 잘 알려진 무료 툴인 Arachni[22] 및 Acunetix[23] 상용 스캐너와 비교한다. 성능 평가를 위하여 3개의 웹 애플리케이션을 사용하였다. 두 개의 웹 애플리케이션은 Microsoft-IIS/8.
Bitscan 취약점 30. 웹 애플리케이션에서 가장 일반적이고 위험한 보안 위협의 위험 수준에 따라 30개의 취약점이 선정되었다. 기존 시스템의 취약점들 중에서 위험성이 높은 취약점 만 선정하여 점검하는 스캐너는, 기존 취약점 스캐너들 흔히 발생하는 웹 애플리케이션을 방어하는 데 필요하지 않은 취약점 탐지로 인한 자원 낭비를 제거하게 되므로, 높은 속도의 탐지 성능을 가진다.

이론/모형

조직에서의 안전한 비지니스를 위한 웹 애플리케이션 플랫폼에서의 상관관계, 취약성식별현황은 피라미드 형태의 AST 도구 범주를 그림 2에 나타내었다. 애플리케이션 소프트웨어 테스트는 피라미드 기반의 AST 도구를 사용하여 수행된다. 하지만 이들 도구는 DAST(dynamic AST) 만으로 DB 기반 취약성 탐지가 수행된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	크롤링은 어디에 사용되는가?	크롤링은 검색엔진이 웹에서 페이지를 수집하는데 사용하는 프로세서이다. 문서와 페이지 간 링크를 내려받아 웹을 자동으로 탐색하는데, 웹 검색엔진, 웹 보관, 웹 데이터 마이닝 및 웹 모니터링에 사용된다. 그림 3은 웹 크롤러의 아키텍처를 보여 준다[18].
	미국 표준에서 위협관리에 대해 어떻게 기술하는가?	미국 표준에서는 위협관리에 대하여 “일상적인 운영계획으로 위협, 취약점, 영향 등을 통합하여 분석함으로써 위협을 줄이고, 모든 사이버 운영에 대한 취약점과 문제점을 줄여야 한다”라고 기술하고 있다. 보안위험관리 업무는 그림 1에 나타낸 모든 Event에 대한 “Vulnerability and Predisposing Conditions” 항목을 점검하고 갱신함으로써 공격자에 의한 위협을 제거하는 것이다.
	데이터 상호운용성을 개선하기 위해 NVD가 한 일은?	취약점 관리 정보를 적시에 제공하기 위해 DHS가 후원한다. 데이터 상호운용성을 개선하기 위해 NVD는 SCAP(Security Content Automation Protocol)를 기반으로 데이터를 게시하여, 취약점 관리와 보안측정을 자동화할 수 있게 하였다. CVE(Common Vulnerabilities and Exposures), CVSS(Common Vulnerability Scoring System),CPE(Common Platform Enumeration), CCE(Common Configuration Enumeration), CWE(Common Weakness Enumeration) 등의 SCAP 사양 및 보안모델은NVD 작업을 지원한다.

참고문헌 (25)

Steve Morgan, "Is poor software development the biggest cyber threat?", https://www.csoonline.com/article/2978858/is-poor-software-development-the-biggest-cyber-threat.html, 16-Dec-2019
Software Engineering Institute, "10 Types of Application Security Testing Tools: When and How to Use Them", https://insights.sei.cmu.edu/sei_blog/2018/07/10-types-of-application-security-testing-tools-when-and-how-to-use-them.html, 16-Dec-2019.
Weekly Report of CNCERT, "Weekly Report of CNCERT, May 2019", https://www.cert.org.cn/publish/english/115/index.html, 16-Dec-2019
Chul-Soo Lee at al., Information Security Practice Guide, InfotheBooks, Seoul, 287, 2017
NIST Special Publication, "NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments", https://csrc.nist.gov/News/2012/NIST-Special-Publication-800-30-Revision-1, 16-Dec-2019
MITRE, "2019 CWE Top 25 Most Dangerous Software Errors", https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html, 16-Dec-2019
OWASP top 10 project, "OWASP top 10 project", https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project, 16-Dec-2019
"Security Code Review in the SDLC", https://www.owasp.org/index.php/Security_Code_Review_in_the_SDLC, 16-Dec-2019
wikipedia, "Web Crawler." https://en.wiki pedia.org/wiki/Web_crawler, 28-Sep-2019
National Vulnerability Database, "National Vulnerability Database", https://nvd.nist.gov/, 16-Dec-2019
MISRA, "MISRA Home", https://www.misra.org.uk/, 16-Dec-2019
GDPR, "Complete guide to GDPR compliance", https://gdpr.eu/, 16-Dec-2019
OWASP, " $OWASP^{TM}$ Foundation", https://www.owasp.org/index.php/Main_Pag, 16-Dec-2019
Wikipedia, "Wikipedia, DO-178B" https://en.wikipedia.org/wiki/DO-178B, 16-Dec-2019.
Wikipedia, "Wikipedia, DO-178C", https://en.wikipedia.org/wiki/DO-178C, 16-Dec-2019
"Defense Information Systems Agency", https://storefront.disa.mil/kinetic/disa/service-catalog#/, 16-Dec-2019
MITRE, "The MITRE Corporation", https://www.mitre.org/, 16-Dec-2019
Wikipedia, "Web crawler", https://en.wikipedia.org/wiki/Web_crawler, 16-Dec-2019
MITRE. "The Common Weakness Enumeration." https://cwe.mitre.org/about/index.html. 16-Dec-2019
CVSS, "Common Vulnerability Scoring System v3.1: User Guide", https://www.first.org/cvss/v3.1/user-guide,16-Dec-2019
PCRE, "PCRE- Perl Compatible Regular Expressions", https://www.pcre.org/, 16-Dec-2019
Arachni, "arachni web application security scanner framework", https://www.arachni-scanner.com/, 16-Dec-2019
Acunetix, "Acunetix", https://www.acunetix.com/vulnerability-scanner/, 16-Dec-2019
Google, "Google Cloud Security Scanner", https://cloud.google.com/security-scanner/, 16-Dec-2019
dailysecu, "Bitscaner Performance Bench Mark Testing News", https://www.dailysecu.com/news/articleView.html?idxno1308, 16-Dec-2019

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증