IT/정보보안기사

A05:2021 - 보안 설정 오류(Security Misconfiguration)

다파라파라 2024. 8. 7. 17:31

2021년 OWASP(오픈 웹 애플리케이션 보안 프로젝트) Top 10에서 다섯 번째로 중요한 취약점으로 선정된 "보안 설정 오류(Security Misconfiguration)"는 시스템, 데이터베이스, 애플리케이션 등의 설정이 부적절하거나 불완전하게 구성된 경우를 말합니다. 이 블로그 포스트에서는 보안 설정 오류의 정의, 주요 사례, 그리고 이를 예방하기 위한 모범 사례를 다루겠습니다.

보안 설정 오류란?

보안 설정 오류는 시스템, 네트워크, 애플리케이션 등에서 기본 설정이 보안에 취약하거나, 불필요한 기능이 활성화되어 있어 공격에 노출될 수 있는 상태를 말합니다. 이는 관리자가 설정을 올바르게 하지 않거나, 설정 변경을 소홀히 할 때 발생합니다.

주요 사례

  1. 기본 설정 사용
    • 애플리케이션이나 데이터베이스의 기본 설정이 그대로 사용되는 경우.
    • 예: 기본 관리자 계정 및 비밀번호를 변경하지 않은 경우.
  2. 불필요한 기능 활성화
    • 불필요한 기능이나 서비스가 활성화되어 있어 공격에 노출되는 경우.
    • 예: 사용하지 않는 포트나 서비스가 열려 있는 경우.
  3. 디버깅 및 상세 오류 메시지 노출
    • 디버깅 모드가 활성화되어 있거나, 상세 오류 메시지가 사용자에게 노출되는 경우.
    • 예: 오류 발생 시 스택 트레이스(stack trace)와 같은 상세 정보가 표시되는 경우.
  4. 소프트웨어 및 보안 패치 미적용
    • 소프트웨어나 시스템의 최신 보안 패치가 적용되지 않은 경우.
    • 예: 알려진 취약점이 존재하는 소프트웨어를 사용하고 있는 경우.
  5. 불충분한 보안 설정
    • 보안 설정이 충분히 강력하지 않거나, 중요한 보안 설정이 누락된 경우.
    • 예: CORS 설정이 부적절하게 구성되어 있는 경우.

보안 설정 오류의 예방 방법

  1. 기본 설정 변경
    • 모든 기본 관리자 계정과 비밀번호를 변경합니다.
    • 애플리케이션의 기본 설정을 보안 관점에서 검토하고 변경합니다.
  2. 불필요한 기능 비활성화
    • 사용하지 않는 기능이나 서비스를 비활성화하고, 불필요한 포트를 닫습니다.
    • 최소한의 기능과 서비스만 활성화하여 공격 표면을 줄입니다.
  3. 디버깅 및 오류 메시지 관리
    • 운영 환경에서는 디버깅 모드를 비활성화하고, 상세 오류 메시지를 숨깁니다.
    • 사용자에게는 일반적인 오류 메시지만 제공하고, 상세한 오류 로그는 내부에서만 접근 가능하도록 설정합니다.
  4. 정기적인 보안 패치 적용
    • 소프트웨어와 시스템의 최신 보안 패치를 정기적으로 적용합니다.
    • 자동 업데이트 설정을 활용하여 패치 적용을 자동화합니다.
  5. 보안 설정 검토 및 강화
    • 보안 설정을 정기적으로 검토하고, 최신 보안 표준에 맞춰 강화합니다.
    • 보안 설정 가이드라인을 참고하여 설정을 최적화합니다.
  6. 정기적인 보안 점검 및 테스트
    • 정기적으로 보안 점검과 침투 테스트를 실시하여 설정 오류를 식별하고 수정합니다.
    • 자동화된 보안 도구를 사용하여 설정 검토를 자동화하고, 설정 오류를 신속히 발견합니다.

실제 사례

  1. 2017년 Equifax 데이터 유출 사건
    • Equifax는 Apache Struts의 보안 패치를 적용하지 않아 1억 4,300만 명의 고객 정보가 유출되었습니다.
    • 최신 보안 패치를 적용하지 않은 보안 설정 오류가 원인이었습니다.
  2. 2018년 British Airways 데이터 유출 사건
    • 보안 설정 오류로 인해 공격자는 British Airways의 웹사이트를 통해 고객 정보를 탈취할 수 있었습니다.
    • 이 사건으로 약 50만 명의 고객 정보가 유출되었습니다.

결론

보안 설정 오류는 시스템의 보안을 위협하는 중요한 취약점입니다. 이를 방지하기 위해서는 기본 설정 변경, 불필요한 기능 비활성화, 정기적인 보안 패치 적용, 보안 설정 강화 등이 필요합니다. 또한 정기적인 보안 점검과 테스트를 통해 설정 오류를 식별하고 수정하는 것이 중요합니다. 안전한 시스템을 구축하기 위해 보안 설정을 철저히 관리하고, 최신 보안 표준을 준수하는 것이 필수적입니다.

 

2021년 OWASP(오픈 웹 애플리케이션 보안 프로젝트) Top 10

728x90
반응형

'IT > 정보보안기사' 카테고리의 다른 글

A07:2021 - 인증 및 세션 관리 오류 (Identification and Authentication Failures)  (0) 2024.08.20
A06:2021 - 취약한 컴포넌트 사용(Vulnerable and Outdated Components)  (0) 2024.08.19
A04:2021 - 취약한 접근 제어(Insecure Design)  (0) 2024.08.07
A03:2021 - 인증 실패(Authentication Failures)  (0) 2024.08.07
A02:2021 - 암호화 실패(Cryptographic Failures)  (0) 2024.08.07

'IT/정보보안기사'의 다른글

  • 현재글A05:2021 - 보안 설정 오류(Security Misconfiguration)

관련글

티스토리툴바