[취약점] 데이터 평문 전송
2024. 3. 25. 13:29ㆍ정보 보안/취약점
정의
서버와 클라이언트 간 통신 시 데이터의 암호화 전송이 미흡한 취약점을 의미한다.
공격 시나리오
웹 상의 데이터 통신은 대부분 텍스트 기반으로 이루어지기 때문에 서버와 클라이언트 간에 암호화 프로세스를 구현하지 않으면 공격자는 간단한 도청 행위를 통해 정보를 탈취 및 도용할 수 있다.
대응 방안
- 웹 사이트의 중요정보 전송구간(로그인, 회원가입, 회원정보관리, 게시판 등) 암호화 통신(https, 애플리케이션방식) 적용
판단 기준
주요정보통신기반시설
- 양호 : 중요정보 전송구간에 암호화 통신이 적용된 경우
- 취약 : 중요정보 전송구간에 암호화 통신이 이루어지지 않는 경우
점검 예시
주요정보통신기반시설
- 중요정보(인증정보, 개인정보 등)를 송수신하는 페이지 존재 여부 확인
- 중요정보 송수신 페이지가 암호화 통신(https, 데이터 암호화 등)을 하는지 확인
- 취약한 버전의 암호 프로토콜 사용 시 암호화된 통신 내용이 유출될 수 있어 취약한 버전의 SSL 사용 여부 점검
전자금융기반시설
- 패킷 스니핑 및 웹 프록시 도구를 이용하여 중요정보 평문 노출 여부 점검 등
구체적 보안 설정 방법
1. 웹 상에서의 전송 정보를 제한하여 불필요한 비밀번호, 주민등록번호, 계좌정보와 같은 중요정보의 전송을 최소화하고, 중요정보에 대해서는 반드시 SSL 등의 암호화 통신을 사용하여 도청으로부터의 위험을 제거한다.
2. 쿠키와 같이 클라이언트 측에서 노출되는 곳에 중요정보 등을 기록하지 않는다.
3. 암호화 전송 시 프로토콜 설계의 결함이 있는 SSLv2, SSLv3, TLSv1.0, TLSv1.1은 비활성화하고 TLSv1.2 이상 사용을 권장한다.
'정보 보안 > 취약점' 카테고리의 다른 글
[취약점] 쿠키 변조 (0) | 2024.03.25 |
---|---|
[취약점] 파일 다운로드 (0) | 2024.03.25 |
[취약점] 파일 업로드 (0) | 2024.03.24 |
[취약점] 프로세스 검증 누락 (0) | 2024.03.24 |
[취약점] 자동화 공격 (0) | 2024.03.24 |