Á¦¸ñ
|
Ŭ¶ó¿ìµåº¸¾È, ¹«¾ùÀ» ¾î¶»°Ô ÇؾßÇϳª
|
ÀÛ¼ºÀÚ
|
roltech
|
Ŭ¶ó¿ìµåº¸¾È, ¹«¾ùÀ» ¾î¶»°Ô ÇؾßÇϳª 2023-12-20
Çѱ¹IDCÀÇ º¸°í¼¿¡ µû¸£¸é 2023³â ±¹³» ÆÛºí¸¯ Ŭ¶ó¿ìµå ¼ºñ½º ½ÃÀåÀº ´ë·« 4Á¶ 3õ¾ï Á¤µµ¶ó ÇÑ´Ù. ƯÈ÷ ±ÝÀ¶±â¾÷¿¡¼ Ŭ¶ó¿ìµå ȯ°æÀ» È®´ëÇϰųª Â÷¼¼´ë ½Ã½ºÅÛ ±¸Ãà ½Ã ¿ÂÇÁ·¹¹Ì½º¿¡¼ Ŭ¶ó¿ìµå·Î ÀüȯÇÏ´Â °æ¿ì°¡ ¸¹¾Æ¼ ÇâÈÄ Å¬¶ó¿ìµå¸¦ »ç¿ëÇÏ´Â ±â¾÷Àº ´õ¿í Áõ°¡ÇÒ °ÍÀ̶ó°í ÇÑ´Ù.ÀÌ·¸°Ô °¢ ±â¾÷ÀÌ Å¬¶ó¿ìµå ȯ°æÀ» °è¼ÓÇؼ È®´ëÇÏ´Â ÀÌÀ¯´Â ´ÙÀ½°ú °°Àº Ŭ¶ó¿ìµåÀÇ ´ëÇ¥ÀûÀÎ ÀåÁ¡ ¶§¹®ÀÌ´Ù.¨ç ½Å¼ÓÇÑ ÀÎÇÁ¶ó µµÀÔ ¹× ¼ºñ½º Á¦°øŬ¶ó¿ìµå´Â °¡ÀÔÇÏ°í ´Ü ¸î ºÐ À̳»·Î ÀÎÇÁ¶ó¸¦ µµÀÔÇؼ ¼ºñ½º¸¦ ½ÃÀÛÇÒ ¼ö ÀÖ´Ù. ¼¹ö ¹× ³×Æ®¿öÅ©Àåºñ¸¦ ÁÖ¹®ÇÏ°í ITȯ°æÀ» ±¸ÃàÇϴµ¥ ÃÖ¼Ò 2~3ÁÖÀÇ ½Ã°£ÀÌ °É·È´ø ¿ÂÇÁ·¹¹Ì½º ȯ°æ¿¡ ºñÇÏ¸é ºñ±³ÇÒ ¼ö ¾øÀ» Á¤µµ·Î ºü¸£´Ù. ±×¸¸Å ÀÎÇÁ¶ó µµÀÔ¿¡ µé¾î°¡´Â ½Ã°£À» Àý°¨ÇÏ°í, ¼ºñ½º Á¦°ø½Ã±â¸¦ ¾Õ´ç±æ ¼ö ÀÖ´Ù´Â ÀåÁ¡ÀÌ ÀÖ´Ù.¨è ÀÎÇÁ¶óÀÇ À¯¿¬ÇÑ »ç¿ë ¹× ¿¹»óÄ¡ ¸øÇÑ Æ®·¡ÇÈ ÆøÁÖ ´ëÀÀ¿ÂÇÁ·¹¹Ì½º ȯ°æ¿¡¼´Â ÀÎÇÁ¶ó¸¦ µµÀÔÇϱ⿡ ¾Õ¼ ¼ºñ½º Á¦°ø ½Ã ¾î´À Á¤µµÀÇ ÀÎÇÁ¶ó°¡ ÇÊ¿äÇÒÁö ¹Ì¸® ¿¹»óÇØ¾ß Çß´Ù. ¿¹»óÀÌ ¸ÂÀ¸¸é ´ÙÇàÀÌÁö¸¸, ¸¸¾à ¿¹»óÀÌ ºø³ª°¡¸é ÀÎÇÁ¶ó ºÎÁ· ¶Ç´Â À׿© ÀÎÇÁ¶ó¿¡ µû¸¥ °úµµÇÑ ºñ¿ë ÁöÃâÀ̶ó´Â ¹®Á¦°¡ ¹ß»ýÇß´Ù. Ŭ¶ó¿ìµå ȯ°æÀº ÀÎÇÁ¶ó¸¦ ½Ç½Ã°£À¸·Î ÀÚÀ¯·Ó°Ô Áõ°¨ÇÒ ¼ö Àֱ⠶§¹®¿¡ ÀÎÇÁ¶ó ºÎÁ· ¶Ç´Â °úµµÇÑ ÀÎÇÁ¶ó µµÀÔÀ̶ó´Â ¹®Á¦°¡ ¹ß»ýÇÏÁö ¾Ê´Â´Ù. ¼ºñ½ºÀÇ ±Ô¸ð°¡ È®´ëµÇ¸é ±×¿¡ ¸ÂÃç Ŭ¶ó¿ìµå ÀÎÇÁ¶ó¸¦ ºô·Á¿À¸é µÈ´Ù.¨é ºü¸£°Ô º¯ÈÇÏ´Â °í°´ ´Ïµå¿¡ ºÎÀÀÇÏ´Â ITȯ°æ Á¦°ø¼ö¸¹Àº ¼ºñ½º¸¦ ºü¸£°Ô °³¹ßÇÏ°í, Àû¿ëÇϱâ À§Çؼ´Â Ŭ¶ó¿ìµå ³×ÀÌƼºê ±â¼úÀÇ 4´ë ¿ä¼ÒÀÎ DevOps, CI/CD, MSA(Micro Service Architecture), ÄÁÅ×ÀÌ³Ê ±â¼ú µîÀÌ ÇÊ¿äÇѵ¥, ÀÌ 4´ë ¿ä¼Ò¸¦ Àû¿ëÇϱâ À§Çؼ´Â ¹Ýµå½Ã Ŭ¶ó¿ìµå ȯ°æÀÌ ÇÊ¿äÇÏ´Ù.¨ê »ç¿ëÇÑ ¸¸Å¸¸ ÁöºÒÇÏ´Â ÇÕ¸®ÀûÀÎ ¿ä±ÝÁ¦Å¬¶ó¿ìµå´Â ÀÎÇÁ¶ó¸¦ ÀÌ¿ëÇÑ ¸¸Å¸¸ ºñ¿ëÀ» ÁöºÒÇÏ¸é µÈ´Ù. »ç¿ë·á°¡ Á¤ÇØÁ® ÀÖ¾î ±â¾÷Àº ÀÌ¿¡ ¸ÂÃç ¾î´À Á¤µµÀÇ ºñ¿ëÀÌ ³ª¿ÃÁö ¼Õ½±°Ô °è»êÇÒ ¼ö ÀÖ´Ù. ±×·¯³ª ¿ÂÇÁ·¹¹Ì½º ȯ°æ¿¡¼´Â ÀÎÇÁ¶ó¸¦ µµÀÔÇϱâ À§ÇØ ¾÷üµé°ú Çϵå¿þ¾î, ¼ÒÇÁÆ®¿þ¾î ºñ¿ëÀ» ³õ°í Çù»óÀ» ÁøÇàÇÏ°í, ¿©±â¿¡ µ¥ÀÌÅͺ£À̽º³ª ¶óÀ̼±½º µî Ãß°¡ ¼ºñ½ºÀÇ ÀÌ¿ë ºñ¿ëÀÌ º¹ÀâÇÏ°Ô ¾ôÇô ÀÖ¾î ÀÎÇÁ¶ó ±¸Ãà ºñ¿ëÀÇ °è»êÀÌ ½±Áö ¾Ê´Ù.ÀÌ·¯ÇÑ Å¬¶ó¿ìµå ȯ°æÀÇ ÀåÁ¡À¸·Î ¸¹Àº ±â¾÷ÀÌ Å¬¶ó¿ìµå¸¦ ±â¾÷ÀÇ ÀÎÇÁ¶ó·Î »ç¿ëÇÏ°í ÀÖÁö¸¸, Ŭ¶ó¿ìµå ¼ºñ½ºÀÇ »ç¿ëÀÌ ´Ã¼ö·Ï ÁÖÀÇÇØ¾ß µÇ´Â ºÎºÐÀÌ ¹Ù·Î <Ŭ¶ó¿ìµå º¸¾È>ÀÌ´Ù, Ŭ¶ó¿ìµå ¼ºñ½º¸¦ È°¿ëÇÏ´Â ±â¾÷ÀÌ ¸¹¾ÆÁü¿¡ µû¶ó Ŭ¶ó¿ìµåÀÇ º¸¾È»ó ¾àÁ¡À» ³ë¸®´Â ÇØÄ¿ÀÇ °ø°Ýµµ ´Ã¾î³ª°í ÀÖ´Ù.Ŭ¶ó¿ìµåÀÇ ÀαⰡ ³ô¾ÆÁö¸é¼, ÇØÄ¿µéÀº Ŭ¶ó¿ìµå ȯ°æÀÇ Ãë¾àÁ¡À» ã±â À§ÇØ Ç÷¾ÈÀÌ µÇ¾î ÀÖ°í, ±× °á°ú ¼ö¸¹Àº Ŭ¶ó¿ìµå ÇØÅ· ÇÇÇØ »ç·Ê°¡ ¹ß»ýÇÏ°í ÀÖ´Ù. 1¾ï 600¸¸¸íÀÇ °í°´ Á¤º¸°¡ À¯ÃâµÈ Capital One»ç°ÇÀÌ ´ëÇ¥ÀûÀΠŬ¶ó¿ìµå ÇØÅ· »ç·ÊÀε¥, ÇØÄ¿°¡ ÆÛºí¸¯ Ŭ¶ó¿ìµå¸¦ °ø°ÝÇÏ¿© °í°´Á¤º¸¸¦ À¯ÃâÇÑ »ç°ÇÀÌ´Ù.ÀÌ ÇØÅ·»ç°ÇÀº 2019³â 7¿ù 29ÀÏ, ¹Ì±¹ ´ëÇüÀºÇà ÁßÀÇ ÇϳªÀÎ ¡®Ä³ÇÇÅÐ ¿ø(Capital One)¡¯¿¡¼ ¾à 1¾ï600¸¸ ¸íÀÇ °í°´ °³ÀÎÁ¤º¸°¡ ÇØÅ· ´çÇÑ »ç°ÇÀ¸·Î, ÆÛºí¸¯ Ŭ¶ó¿ìµå¿¡¼ »ç¿ëÇÏ´Â ¿ÀǼҽº À¥ ¹æȺ®ÀÎ ModSecurityÀÇ ¼³Á¤»óÀÇ ¿À·ù¿Í SSRF(Server Side Request Forgery) Ãë¾àÁ¡À» ÀÌ¿ëÇÏ¿©, Á¢±Ù ±ÇÇÑÀ» ȹµæÇÑ ÈÄ ´ë·®ÀÇ °í°´Á¤º¸¸¦ Å»ÃëÇÑ »ç°ÇÀÌ´Ù.Ŭ¶ó¿ìµå°¡ ¸¹Àº ÆíÀǼºÀ» °¡Á®°¡ ÁÖ±â´Â ÇÏÁö¸¸, Ŭ¶ó¿ìµå ÀÎÇÁ¶ó »ó¿¡ ¼ö¸¹Àº ¿ÀǼҽºÀÇ »ç¿ë°ú, Ŭ¶ó¿ìµå ¸®¼Ò½ºÀÇ ±¸¼º»óÀÇ ¿À·ù, º¹ÀâÇÑ µ¿ÀÛ ±¸Á¶, ¸®¼Ò½º Á¢±Ù±ÇÇÑÀÇ °úµµÇÑ Çã¿ë µî ¼ö¸¹Àº º¸¾È»óÀÇ ¹®Á¦Á¡ÀÌ »óÁ¸ÇÏ°í ÀÖ´Â °ÍÀÌ Çö½ÇÀÌ´Ù. ÀúÀÛ±ÇÀÚ © ¾ÆÀÌƼºñÁî ¹«´ÜÀüÀç ¹× Àç¹èÆ÷ ±ÝÁö
|
|
|
|
|