보안

오픈소스 비즈니스 컨설팅
이동: 둘러보기, 검색

오픈소스를 배포할 때 문제가 될 수 있는 보안 취약점을 정리 한다. 이는 오픈소스만의 문제는 아니고 다른 모든 소프트웨어의 공통 문제점 이라 할 수 있다.

데이터 검증

오버플로우

DoS

구성 취약점

CSRF

  • 크로스 사이트 요청 변조

XSS

  • 크로스 사이트 스크립팅, HTML 인젝션
  • 공격자가 피해자의 브라우저에서 스크립트를 실행 하도록 허용하는 위험

인젝션

  • SQL, LDAP, XPath, XSLT, HTML, XML, OS 명령어 인젝션 등이 있음
  • 사용자가 입력한 데이터가 명령어나 질의어의 일부로써 인터프리터에 보내질 때, 특별히 제작된 데이터를 입력하여 인터프리터를 속여 의도 되지 않은 명령어들을 실행 하도록 하는 위험

불완전한 파일 포함

불완전한 암호화

불완전한 직접 개체 참조

부적절한 오류 처리

불완전한 세션 처리

국내 보안 시장

  • 한국IDC의 국내 보안 시장 전망
  • 2008년 : 2107억원
  • 2009년 : 2230억원 (5.8% 증가)
  • 콘텐츠 보안 및 위협 관리(SCTM, Secure Content & Threat Management) 부문이 1288억원
  • 보안 관리 및 취약점 관리(SVM, Security & Vulnerability Management) 부문이 354억원
  • 사용자 계정 및 접근 권한 관리(IAM, Identity & Access Management) 부문이 364억원
  • 기타 부문이 224억원
  • 시만텍이 선정한 2009년도 보안 트랜드
  1. 악성 코드를 포함한 스팸 메일의 증가
  2. 소셜 네트워크 서비스에 대한 공격의 일반화
  3. 가짜 보안 소프트웨어 사기 증가
  4. 악성 코드 생성 프로그램 인기
  5. 봇넷의 급부상
  6. 온라인 위협에 대처하기 위한 업계 전체의 협업 확대
  7. 세계적인 핫 이슈 및 사건사고 뉴스 악용사례 급증
  8. 주류로 떠오른 드라이브 바이 다운로드(Drive-by download) 공격
  9. 맥콜로(McColo) 이전 수준으로 복귀한 스팸 발생량
  10. 다형성(Polymorphic) 바이러스의 출현
  11. 평판 도용의 증가
  12. 계속되는 데이터 유출 사고
  • 시만텍이 선정한 2010년도 보안 트랜드
  1. 안티바이러스 프로그램만으로 부족하다.
  2. 주 공격 수단으로 악용되는 사회 공학
  3. 가짜 보안 소프트웨어 사기 확산
  4. 소셜 네트워크 사이트에 대한 지속적인 보안 위협
  5. 윈도우 7이 해커들의 공격 목표로 부상
  6. 패스트-플럭스(Fast Flux) 봇넷의 증가
  7. 피승 공격자들의 URL 단축 서비스 선호
  8. 맥(Mac)과 스마트폰을 겨냥한 악성 코드 증가
  9. 금전적 이득을 노린 스팸 공격 지속
  10. 악성 코드의 전문화
  11. 자동 계정 생성 방지 기술 (CAPTCHA)의 향상
  12. 인스턴스 메신저를 이용한 스팸
  13. 비영어권 사용자를 겨냥한 스팸이 증가

망분리

정보보안업체

  • 안랩, 인포섹, 시큐아이, 윈스, 이글루시큐리티
  • SGA, 지란지교소프트, 소프트포럼, 파수닷컴, 이니텍

침투 테스트 도구

참고 문헌