논문 정리

[250401] 웹취약점 자동진단 개선방안 = Improvement Mechanism for Automatic Web Vulnerability Diagnosis

jisu0924 2025. 4. 1. 22:58

https://www.dbpia.co.kr/pdf/pdfView.do?nodeId=NODE11039823

 

웹취약점 자동진단 개선방안 | DBpia

김태섭, 조인준 | 한국콘텐츠학회논문지 | 2022.2

www.dbpia.co.kr

현황

스마트폰 기술의 발전 -> 홈체이지와 모바일 앱을 통해 정보 습득 가능

정보제공 담당하는 홈페이지의 수와 침해사고 신고접수가 증가 -> 홈페이지의 안전성을 진단하는 웹취약점 진단 신청수도 매년 증가하는 상황

 

문제점

진단원의 수가 한정적 -> 모든 페이지를 모의해킹으로 안전성 진단을 수행하기에는 한계점이 존재

-> 웹취약점 자동진단을 통해 수동진단에 소요되는 시간 감소시킬 필요성

 

자동진단의 경우:

진단 시 프로그램에 설정된 점검항목을 홈페이지에 전송하여 취약 여부 파악 -> 홈페이지 구성항목 및 게시물이 망ㅎ은 경우 서비스에 지장을 초래 => 서버 다운시키는 상황 발생

 

수동진단의 경우:

전문적 지식을 가진 진단원이 홈페니지 구성을 파악 후 점검항목별 취약점 존재하는지 진단

-> 정확도는 향상하나 시간이 많이 필요

 

=> 자동진단을 수동진단만큼 정확도를 개선한다면 보다 많은 홈페이지 취약점 진단이 가능

 

목적

웹취약점 진단항목 중 영향도 분석

실제 홈페이지에 수동 및 자동진단 수행 -> 결과 분석

=> 자동진단이 수동진단 대체가 가능한가?

 

웹취약점 자동진단 방식

  • 오픈소스 프로그램 이용
  • 상용 솔루션 이용

웹취약점 진단 정확도나 홈페이지 서비스에 영향을 끼지치 않도록 옵션 적용 -> 상용소프트웨어 이용하여 진단

 

웹취약점 수동진단 방식

  1. 홈페이지를 구성하는 기능 및 디렉토리 구조를 파악
  2. 오픈소스 자동진단 도구를 통해 경로 및 정보 분석
  3. 외부에 노출되는 정보 수집 -> 디렉토리 구조, 관리자페이지 존재여부, 웹서버 정보 노출여부, 게시물 내용 및 첨부파일에 중요정보 노출여부 파악
  4. 수집된 정보 바탕으로 진단영역의 우선순위 부여
  5. 웹취약점 진단항목을 기준으로 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드의 진단방법을 참고하여 웹프록시 도구를 이용하여 수동진단을 수행 취약점 존재여부를 파악

웹취약점 수동 및 자동진단 결과 비교(1차)

홈페이지 3개 대상에 대한 수동 및 자동진단을 수행한 결과는 다음과 같음

  • 수동진단에 발견된 취약점 중 자동진단을 통해 2개 제품에는 크로스사이트 스크립트가 발견, 1개에는 발견 X

수동진단에서 발견한 웹취약점을 자동진단 수행 tl 발견하지 못한 사유 상용 자동진단 제품의 진단패턴을 분석하여 표로 정리하면 다음과 같음

 

자동진단 특이사항

3번 홈체이지에 대해서는 3개 제품 모두 수집 및 진단단계가 마무리되지 않아 결과 산출 X

A제품의 경우 1번 홈페이지 진단 시 일부 접속 장애 발생 -> 스레드 값이 서버 환경에 맞지 않아 서버부하 발생 => 지연 및 장애 발생

 

웹취약점 자동진단 도구 종합 평가

  • 기능성: A>C>B
  • 정확성: A=B>C
  • 사용성: A=B=C
  • 확장성: A>C>B
  • 효율성: A=B>C
  • 합계: A>B>C

A가 높은 이유? 

자동진단 도구에 점검패턴에 대한 추가가능 존재 -> 해당 기능 이용하여 웹취약점에 대한 발견 정확도를 향상시킴

 

상용 자동진단 제품별 우수한 점과 미흡한 점을 평가하여 정리해 보면 다음과 같음.

웹취약점 수동 및 자동진단 결과비교(2차)

  • 홈페이지별 자동진단 시 소요되는 시간 파악
  • 서버부하 정도를 파악

=> 진단수행에 문제가 없는가?

=> 수동진단 대비 취약점 발견 정확도 비교

 

  • home7에 대한 자동진단 시: A제품에서 자체적 정체현상 발생

사유?

자정부표준프레임워크로 홈페이지를 개발한 경우, 파라미터 인자값에 취약점 패턴 입력 -> 에러페이지로 리다이렉션

=> A제품이 통신오류로 감지해 일정시간 정지했다가 전송하는데 문제점

 

  • 홈페이지 구성 매뉴 및 컨텐츠 양이 많거나 상용 자동진단 제품의 진단 패턴의 많고 적음에 따라 소요시간 차이 발생
  • 에러페이지나 SSL(웹사이트와 브라우저 간의 데이터를 암호화하여 보호하는 기술) 문제점 -> 자동진단 수행 시 지연, 미완료되는 경우 발생

=> 크로스사이트 스크립트나 데이터 평문전송 취약점 -> 자동진단 가능

=>  관 리자페이지 노출, 위치공개 취약점 -> 발견 X

 

 

'논문 정리'의 다른글

  • 현재글[250401] 웹취약점 자동진단 개선방안 = Improvement Mechanism for Automatic Web Vulnerability Diagnosis

티스토리툴바