취약점
모든 어플리케이션에는 버그가 존재하며 개발자는 항상 버그와 함께 있다고 해도 과언이 아니다. 이러한 버그들 중 악용 가능한 버그들을 취약점(Vulnerability) 혹은 보안 버그라고 한다.
악용 사례
- 다른 사용자 개인 정보 무단 열람
- 웹 사이트 내용 무단 변경
- 악성 코드 배포
- 다른 사용자 권한 무단 도용
- 웹 사이트 서비스 불가
취약성이 있으면 안되는 이유
경제적 손실
- 이용자의 금전적 손실에 대한 보상
- 변상 및 위자료 비용
- 웹 사이트 서비스 불가로 인한 기회 비용
- 이미지 실추로 인한 매출 감소
법적인 요구
개인정보에 관한 법률 개정이 2011년 12월 29일 국회 본회의를 통과하여 2012년 2월 17일 공포 후 6개월이 경과한 8월 18일부터 시행되고 있다. 이 법안은 개인정보를 수집하고 저장하는 사업자는 개인정보를 취급하는 사업자로서 안전 조치에 대한 의무를 명시하고 있다.
이용자의 돌이킬 수없는 피해
일단 유출된 개인 정보를 막는 것은 불가능하므로 유출된 개인 정보로 인해 이용자가 피해를 입고 잇는 경우 원래 상태로 돌이키는 것은 불가능하다. 또한 금융 정보 유출로 인한 금전적 손실 발생시 보상은 가능할지라도 그에 따른 고통은 보상하기 힘드므로 돈을 통한 해결이 사실상 불가능하다고 볼 수 있다.
봇넷 구축에 가담
봇넷이란 Malware의 일종으로 외부의 명령을 받아 스팸 메일 전송 또는 DDoS 공격에 가담하는 등 좀비 PC들로 구성된 네트워크를 말한다. 공격자는 취약성이 있는 웹 사이트의 내용을 변경하여 이용자의 PC가 봇에 감염되어 공격자의 명령을 받아 자신도 모르는 사이에 공격에 가담되는 상태로 만든다.
취약성 발생의 원인
- 애플리케이션 버그
- 보안을 고려하지 않은 설정
애플리케이션 버그에는 SQL 인젝션이나 Cross Site Scripting과 같은 유명한 취약점이 포함되어 있다. 보안을 고려하지 않은 설정의 대표적인 예로는 디렉터리 접근 공격이 있다. 해당 취약점은 웹 서버의 잘못된 설정으로 발생하는 것으로 서버의 구조 및 자료가 유출되는 문제점이 있다.
보안 기능
단지 버그를 없애는 것만으로는 높은 보안 수준을 달성할 수는 없다. 예를 들어 중요한 내용을 HTTP 통신으로 전달하는 경우는 버그에 해당하지 않지만 통신 내용을 도청당할 수 있는 위험이 있다. HTTPS와 같이 적극적으로 안전성을 강화하는 기능을 보안 기능이라고 한다.