[취약점] 자동화 공격

 

정의

 

  웹 애플리케이션에서 특정 프로세스에 대한 반복적인 요청을 통제하지 않을 때 생기는 취약점을 의미한다.

 

 

공격 시나리오

 

  무차별 대입 공격으로 사용자 계정의 비밀번호를 알아내어 탈취할 수 있으며 게시글 등록 또는 SMS 발송 요청 자동화 스크립트를 만든 후 실행하여 웹 애플리케이션 자원을 고갈시킬 수 있다.

 

 

대응 방안

 

• 웹 애플리케이션에 대한 대량 사용 통제 로직 구현
• 웹 방화벽 룰셋 설정을 통해 대량의 불특정 프로세스 요청 차단

 

 

판단 기준

 

주요정보통신기반시설

• 양호 : 웹 애플리케이션의 특정 프로세스에 대한 반복적인 요청 시 통제가 적절한 경우
• 취약 : 웹 애플리케이션의 특정 프로세스에 대한 반복적인 요청 시 통제가 미흡한 경우

 

 

점검 예시

 

주요정보통신기반시설

• 로그인 시도, 게시글 등록, SMS 발송 등에 대한 정상적인 요청 정보를 식별하여 반복적으로 요청 시 통제가 이루어지는지 확인

 

전자금융기반시설

• 자동화 도구를 이용하여 SMS 발송, 계좌인증(1원 이체) 호출, 글쓰기 등의 반복된 작업 수행 가능 여부 점검

 

 

구체적 보안 설정 방법

 

1. 로그인 시도, 게시글 등록, SMS 발송 등에 대한 사용자 요청이 일회성이 될 수 있도록, 캡차(이미지를 이용하여 확인 값을 표시하고 사용자가 값을 등록하여 인증함) 등의 일회성 확인 로직을 구현한다.

 

2. 자동화 공격 시도 시 짧은 시간에 다량의 패킷이 전송되므로 이를 공격으로 감지하고 방어할 수 있는 IDS/IPS 시스템을 구축해야 한다.

 

*IDS/IPS

침입탐지시스템(IDS : Intrusion Detection System)
  시스템에 대한 원치 않은 조작을 탐지하며 설치 위치와 목적에 따라 호스트 기반과 네트워크 기반으로 나뉜다. IDS는 공격에 대한 감지만 가능할 뿐 막는 기능은 존재하지 않다.

침입방지시스템(IPS : Intrusion Preventing System)
  공격탐지를 뛰어넘어 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주며 침임 탐지 기능을 수행하는 모듈이 패킷을 일일이 검사하여 해당 패튼을 분석 후 정상적인 패킷이 아닌 경우 방화벽 기능을 가진 모듈로 차단한다. 방화벽과 연동하여 공격을 탐지할 수 있기 때문에 일반적으로 IPS는 방화벽 내부에 설치한다.