[논문]웹취약점 자동진단 개선방안

김태섭; 조인준

doi:10.5392/jkca.2022.22.02.125

웹취약점 자동진단 개선방안
Improvement Mechanism for Automatic Web Vulnerability Diagnosis 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.22 no.2, 2022년, pp.125 - 134

김태섭 (배재대학교대학원 사이버보안학과) , 조인준 (배재대학교대학원 사이버보안학과)

초록
AI-Helper

스마트폰 기술의 발전으로 인하여 2020년 기준 전 국민의 91.9%가 인터넷 이용[1]하여 수시로 홈페이지와 모바일 앱을 통해 정보를 습득하고 있다. 정보제공을 담당하는 홈페이지의 수가 점점 늘어남에 따라 홈페이지의 안전성을 진단하는 웹취약점 진단 신청수도 매년마다 증가하고 있는 상황이다. 기존 웹취약점 점검은 진단원이 수작업으로 홈페이지를 모의 해킹하여 취약점을 진단했기 때문에 진단대상 홈페이지 수에 비례하여 진단인력이 늘어나야한다. 하지만 현실적으로 웹취약점 진단인력 확보에 한계가 있고, 진단인력을 늘렸을 경우 많은 비용이 발생한다. 이러한 문제점 해결을 위해 자동진단 도구를 사용하여 수동진단의 일부를 대체하고 있다. 본 논문에서는 현재의 자동진단 범위를 확대하기 위한 방안을 새롭게 제안하였다. 즉, 웹취약점 진단항목의 영향도를 분석하여 자동진단 가능 항목을 도출하고, 실제 운영 중인 홈페이지에 수동 및 자동진단을 수행하여 진단결과에 대한 비교 분석을 통해 자동진단 가능항목을 파악하였다. 또한 자동진단 개선방안을 제시하여 자동진단 도구 개선을 통해 모든 취약점 항목은 아니지만 가능한 항목에 대해서 수동진단을 대체할 수 있다. 이를 통해서 진단 및 정밀진단이 필요한 부분에 집중하여 안전한 홈페이지 운영환경 조성에 기여할 수 있을 것이다.

Abstract ▼ AI-Helper

Due to the development of smartphone technology, as of 2020, 91.9% of people use the Internet[1] to frequently acquire information through websites and mobile apps. As the number of homepages in charge of providing information is increasing every year, the number of applications for web vulnerability diagnosis, which diagnoses the safety of homepages, is also increasing. In the existing web vulnerability check, the number of diagnostic personnel should increase in proportion to the number of homepages that need diagnosis because the diagnosticians manually test the homepages for vulnerabilities. In reality, however, there is a limit to securing a web vulnerability diagnosis manpower, and if the number of diagnosis manpower is increased, a lot of costs are incurred. To solve these problems, an automatic diagnosis tool is used to replace a part of the manual diagnosis. This paper explores a new method to expand the current automatic diagnosis range. In other words, automatic diagnosis possible items were derived by analyzing the impact of web vulnerability diagnosis items. Furthermore, automatic diagnosis identified possible items through comparative analysis of diagnosis results by performing manual and automatic diagnosis on the website in operation. In addition, it is possible to replace manual diagnosis for possible items, but not all vulnerability items, through the improvement of automatic diagnosis tools. This paper will explore some suggestions that can help improve plans to support and implement automatic diagnosis. Through this, it will be possible to contribute to the creation of a safe website operating environment by focusing on the parts that require precise diagnosis.

주제어

AI 본문요약
AI-Helper

문제 정의

자동진단 방식을 개선하여 수동진단 만큼 정확도를 향상시키고 홈페이지 서비스에 영향을 완화한다면 보다 많은 홈페이지에 대한 웹 취약점 진단이 가능할 것이다. 웹취약점 진단항목 중 영향도를 분석하고 실제 홈페이지에 수동 및 자동진단을 수행한 후 결과를 분석하여 수동진단 대체가 가능한 자동진단 항목을 파악하고 진단에 활용하는데 목적이 있다.

제안 방법

수동진단에 발견된 취약점을 자동진단 시 동일하게 진단이 가능하거나 더 많은 취약점을 찾을 수 있는지 비교하고, 상용 자동도구를 사용하여 수동진단을 대체할 수 있는지 판단하기 위해 기능성, 사용성, 확장성, 정확성, 효율성과 같이 5개 분야 34개 체크리스트 항목 [표 5]을 작성하여 상용 자동도구에 대해 평가하였다.
영향도를 분석하여 웹취약점 진단항목 21개중 자동진단 가능항목 12개를 제안하였으며, 수동 및 자동진단비교 1, 2차를 통해 자동진단의 수동진단 대체 가능 여부를 분석해 보았다.
영향도에 따른 진단가능 웹취약점 항목 12개에 대한 대체 가능성을 추가적으로 비교하기 위해 사전에 자동진단 도구에 해당항목에 대한 진단패턴을 검토한 후 자동진단을 수행하였다.
웹취약점 수동진단은 우선 홈페이지에를 구성하는 기능(회원가입, 로그인, 게시판 등) 및 디렉토리 구조를 파악한 후 오픈소스 자동진단 도구(Nikto, Skipfish 등)를 통해 숨겨진 경로 및 정보를 분석한다. 외부에 노출되는 정보를 수집하여 디렉토리 구조, 관리자 페이지 존재 여부, 웹서버 정보 노출여부, 게시물 내용 및 첨부파일에 중요정보 노출여부를 파악한다.
웹취약점 진단방법을 분석하여 홈페이지 서비스에 영향을 최소화하여 취약점 자동진단이 가능한 항목을 분류하여 가능항목 12개[표 2]와 불가능 항목 9개[표 3]로 정리하였다.
본 논문에서는 점점 증가하는 홈페이지로 인하여 웹 취약점 진단대상이 증가하는 상황에서 수동진단만으로 모든 홈페이지를 진단하려면 진단인력이 계속 적으로 증원되어야 한다. 웹취약점 진단항목 중 자동진단 가능 항목 12개를 우선 제시하고, 1, 2차에 걸친 수동 및 자동진단 결과비교를 통해 수동진단을 자동진단으로 대체 가능한 웹취약점 항목을 파악하였다.
웹 취약점 자동진단 수행결과를 수동진단과 비교하여 취약점 발견유무에 대한 비교를 위해 운영 중인 홈페이지 3개를 선정하여 진단을 진행하였다. 자동진단의 경우 홈페이지 취약점 자동진단 상용제품 3개를 이용하여 진단을 수행하고, 수동진단의 경우 웹 프록시 툴을 이용하여 모의해킹을 진행하였다.
홈페이지별 자동진단 시 소요되는 시간과 서버 부하 정도를 파악하여 진단수행에 문제점이 없는지 확인하고 수동진단 대비 취약점 발견 정확도를 비교하였다. 1차의 경우 3개 홈페이지 대상을 통해 비교하였으나, 2차에서는 진단 가능성 및 발견 정확도의 정확한 비교를 위해 8개 대상에 대해 진단을 수행하였다.

대상 데이터

홈페이지별 자동진단 시 소요되는 시간과 서버 부하 정도를 파악하여 진단수행에 문제점이 없는지 확인하고 수동진단 대비 취약점 발견 정확도를 비교하였다. 1차의 경우 3개 홈페이지 대상을 통해 비교하였으나, 2차에서는 진단 가능성 및 발견 정확도의 정확한 비교를 위해 8개 대상에 대해 진단을 수행하였다.
웹 취약점 자동진단 수행결과를 수동진단과 비교하여 취약점 발견유무에 대한 비교를 위해 운영 중인 홈페이지 3개를 선정하여 진단을 진행하였다. 자동진단의 경우 홈페이지 취약점 자동진단 상용제품 3개를 이용하여 진단을 수행하고, 수동진단의 경우 웹 프록시 툴을 이용하여 모의해킹을 진행하였다.

데이터처리

웹취약점 자동도구 검증 체크리스트를 바탕으로 자동진단 결과에 대해 기능성, 정확성, 사용성, 확장성, 효율성 5개 기준으로 상용제품에 대해 [표 9]와 같이 평가하였다.

성능/효과

다만 운영중인 홈페이지를 대상으로 연구가 이루어진 상황으로, 서비스에 대한 영향도를 고려하여 12개 항목에 대한 수동 및 자동 진단결과를 비교한 것으로 9 개 항목에 대한 부분은 제외되었다. 차후 전체 21개 항목에 대한 수동진단을 대체할 수 있도록 개선방안을 도출하기 위한 추가 연구가 필요하다.
본 논문에서 제안하는 방법을 활용하여 웹취약점 자동진단 도구가 개선된다면 현재 수동진단 중인 취약점 중 11개 항목을 자동진단으로 대체할 수 있으며, 기존에 웹취약점 자동진단을 위해 판매되는 상용솔루션의 성능을 향상시킬 수 있다.
본 논문에서는 점점 증가하는 홈페이지로 인하여 웹 취약점 진단대상이 증가하는 상황에서 수동진단만으로 모든 홈페이지를 진단하려면 진단인력이 계속 적으로 증원되어야 한다. 웹취약점 진단항목 중 자동진단 가능 항목 12개를 우선 제시하고, 1, 2차에 걸친 수동 및 자동진단 결과비교를 통해 수동진단을 자동진단으로 대체 가능한 웹취약점 항목을 파악하였다.
웹취약점 자동진단 결과 홈페이지 메뉴 및 컨텐츠 양에 따라 적게는 2분에서 많게는 20시간 이상 소요되었으며, 상황에 따라 미완료된 홈페이지도 존재하였다.
해당 결과를 통해 크로스사이트 스크립트나 데이터평문전송 취약점에 대해서는 대체적으로 자동진단이 가능한 것으로 판단되며, 관리자페이지 노출, 위치공개 취약점은 발견하지 못하였다.
홈페이지 3개 대상에 대한 수동 및 자동진단을 수행한 결과 수동진단에 발견된 취약점 중 자동진단을 통해 2개 제품에서는 크로스사이트 스크립트가 발견되었으며, 한 개 제품에서는 취약점을 발견하지 못하였다. 수동 및 자동진단 결과를 [표 6]과 같이 정리하였다.

후속연구

자동진단 상용도구 제품들은 로그는 저장하지만 분석 도구를 제공하지 않고 저장된 로그를 메모장 및 문서 편집 프로그램을 통해 열람한 후 일일이 분석해야 하므로 불편함이 존재한다. 로그를 저장하는 기능과 더 불어 분석 도구가 같이 탑재된다면 문제점 사후 분석에 도움이 될 것이다.
이에 따라 상용 솔루션의 웹취약점 자동진단 결과에 대한 신뢰를 증가시켜 상용솔루션을 구매하여 자동진단을 수행하는 기관 및 업체가 증가할 것이다.
자동도구를 사용한 모든 취약점 항목에 대한 취약점 진단은 현재 불가능하나 영역을 분리하여 수동진단과 자동진단을 병행한다면 조금 더 많은 대상에 대한 진단수행이 가능해지며, 수동진단을 통해 정밀진단이 필요한 영역에 더 많은 시간을 할애하여 안전한 홈페이지 운영환경 조성에 기여할 수 있을 것이다.
다만 진단원이 수동으로 모든 항목을 점검해야 하기 때문에 자동진단에 비해 취약점 발견 정확도는 향상되나 시간이 많이 필요하다. 자동진단 방식을 개선하여 수동진단 만큼 정확도를 향상시키고 홈페이지 서비스에 영향을 완화한다면 보다 많은 홈페이지에 대한 웹 취약점 진단이 가능할 것이다. 웹취약점 진단항목 중 영향도를 분석하고 실제 홈페이지에 수동 및 자동진단을 수행한 후 결과를 분석하여 수동진단 대체가 가능한 자동진단 항목을 파악하고 진단에 활용하는데 목적이 있다.
다만 운영중인 홈페이지를 대상으로 연구가 이루어진 상황으로, 서비스에 대한 영향도를 고려하여 12개 항목에 대한 수동 및 자동 진단결과를 비교한 것으로 9 개 항목에 대한 부분은 제외되었다. 차후 전체 21개 항목에 대한 수동진단을 대체할 수 있도록 개선방안을 도출하기 위한 추가 연구가 필요하다.

참고문헌 (12)

과학기술정보통신부, 2020년 인터넷 이용 실태조사발표, 2021.03.
https://www.index.go.kr/potal/main/EachDtlPageDetail.do?idx_cd1363, 2021.10.13.
이재호, "웹 페이지 수행기능분석과 점검 우선순위를 활용한 모델기반 웹 취약점 점검," 예술인문사회 융합멀티미디어 논문지, 제9권, 제3호, pp.727-736, 2019.
한국인터넷진흥원, 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드, 2021.03.
https://owasp.org/Top10/, 2021.
https://www.sans.org/top25-software-errors/, 2021.10.14.
한국인터넷진흥원, (전자정부 SW 개발.운영자를 위한) 소프트웨어 개발보안 가이드, 2019.11.
행정안전부, 웹취약점 점검 항목, 2020.09.
최은정, 정휘찬, 김승엽, "크로스 사이트 스크립팅(XSS) 취약점에 대한 공격과 방어," 디지털융복합연구, 제13권, 제2호, pp.177-183, 2015.

원문보기 상세보기
김광현, "웹 취약점 분석을 위한 프락시 시스템의 설계 및 구현," 한국전자통신학회 논문지, 제9권, 제9호, pp.1011-1018, 2014.

원문보기 상세보기
장희선, "Web Vulnerability Scanner를 이용한 취약성 분석," 융합보안논문지, 제12권, 제4호, pp.71-76, 2012.

원문보기 상세보기
이택진, 손수엘, "오픈 소스 웹 취약점 스캐너의 성능분석," 정보과학회지, 제36권, 제3호, pp.42-49, 2018.03.

원문보기 상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증