• Home
  • 회사소개
    • 회사개요
    • 인사말
    • 회사연혁
    • 고객사 레퍼런스
    • 협력사
    • 오시는길
  • 사업소개
    • 시큐어코딩
    • 웹방화벽
    • 교육
    • 컨설팅
  • 제품소개
    • CODE-RAY XG
    • WEBS-RAY V2.5
    • SECUI MF2
    • Secuguard
    • SolidStep
  • 보안소식
    • 보안뉴스
    • 시큐어코딩
    • 모의해킹
    • 취약점 진단
  • 공지사항
    • 공지사항
    • 납품 및 컨설팅 사례
    • 유지보수 사업 현황
    • 채용공고
    • 자료실
  • Home
  • 회사소개
    • 회사개요
    • 인사말
    • 회사연혁
    • 고객사 레퍼런스
    • 협력사
    • 오시는길
  • 사업소개
    • 시큐어코딩
    • 웹방화벽
    • 교육
    • 컨설팅
  • 제품소개
    • CODE-RAY XG
    • WEBS-RAY V2.5
    • SECUI MF2
    • Secuguard
    • SolidStep
  • 보안소식
    • 보안뉴스
    • 시큐어코딩
    • 모의해킹
    • 취약점 진단
  • 공지사항
    • 공지사항
    • 납품 및 컨설팅 사례
    • 유지보수 사업 현황
    • 채용공고
    • 자료실

시큐어코딩

  • home
  • 보안소식
  • 시큐어코딩

21. [보안 기능] 중요정보 평문 전송

2019.04.30 10:07

관리자 조회 수:1118


안녕하세요, 지에스인포입니다.


오늘 소개 해 드릴 소프트웨어 보안약점은 행안부 개발보안 가이드라인 47개 항목 중 "중요정보 평문 전송"이라는 항목입니다.

​


분석 및 설계 단계 보안요구항목과 구현 단계 47개 보안약점 기준

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

​


중요정보 평문 전송 : "사용자 또는 시스템의 중요정보가 포함된 데이터를 평문으로 송·수신할 경우, 통신채널 스니핑을 통해 인가되지 않은 사용자에게 민감한 데이터가 노출 될 수 있는 보안약점"


​


중요정보를 통신을 통해 전송하는 경우, 개인정보, 인증정보 등의 사용자 중요정보 및 시스템 중요정보를 평문으로 전송 할 경우 공격자에게 민감한 정보가 노출 될 수 있는 위험성이 있습니다.

​

아이디와 비밀번호 등과 같이 중요정보를 평문으로 전송 할 경우,

중간자 공격(Man-in-the-middle attack)에 의해 정보가 탈취 당할 수 있음.




인증정보와 같은 민감한 정보 전송시 안전하게 암호화해서 전송하는 방법이 필요한데요. 네트워크를 통한 전송시 중요 정보를 "암호연산" 요구항목을 충족시키는 암호화 알고리즘이나 암호키를 사용하여 안전한 암호모듈로 암호화 하여 전송하거나 SSL 또는 HTTPS 와 같은 안전한 통신 채널을 사용하도록 설계해야 합니다.

​

또한 웹 애플리케이션 설계시에는 클라이언트에서 서버로 전달되는 데이터(hidden필드, Ajax변수, 쿠키, 헤더값) 또는 서버에서 클라이언트로 전달되는 데이터(HTTP응답헤더 포함) 중 불필요하게 많은 데이터가 전송되지 않도록 해야 한답니다.

​

데이터 전송시 쿠키 보안도 중요한데요. 원칙적으로는 쿠키에 중요정보가 포함되지 않도록 설계해야 하지만 부득이하게 쿠키에 중요정보가 포함되어야 하는 경우에는 반드시 세션쿠키로 설정하고, 전달되는 중요정보는 반드시 암호화해서 전송해야 합니다.

​


​

그러면 중요정보 평문 전송에 대한 소스코드의 좋은 사례와 나쁜 사례를 함께 보시겠습니다.

​

중요정보 평문 전송의 나쁜 사례

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

위의 소스코드에서는 패스워드를 암호화 하지 않고 네트워크를 통해 전송하고 있습니다. 이 경우 패킷 스니핑을 통하여 패스워드가 노출 될 위험성이 존재합니다.


​

중요정보 평문 전송의 좋은 사례

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)


반면 이 예제에서는 패스워드를 네트워크를 통해 서버로 전송하기 전에 AES 등의 안전한 암호알고리즘으로 암호화하여 안전하게 프로그래밍을 하고 있는 모습을 볼 수 있습니다.

​

이렇게 서버에 정보를 전송하기 전, 암호화 과정만 추가 해 주어도 보안성이 훨씬 향상된다는 사실을 알 수 있습니다.

위치정보를 평문전송하였다가 해킹당한 사고 사례

- 2016. 서울지방경찰청

위 뉴스는 국내의 한 대기업이 이용자들의 위치 정보를 암호화해서 전송하지 않았다가 해커들의 타깃이 되어 수많은 이용자들의 민감정보가 유출 된 사고사례인데요, 이처럼 중요 정보를 암호화하여 전송하지 않을 경우 해커들이 통신 중간에 잠입하여 정보를 탈취 해 갈 수가 있다는 사실! 모두 아셨죠?

​

지금까지 "중요정보 평문 전송"에 관한 항목을 살펴보았습니다. 다음 포스팅에서는 또 다른 항목과 알찬 내용으로 찾아뵙도록 하겠습니다.

이 게시물을
  • Twitter
  • Me2day
  • Facebook
  • Delicious
목록

엮인글 0

http://gsinfo.kr/xe/SecureCoding_Board/1499/2b6/trackback

댓글 0

목록
번호 제목 글쓴이 날짜 조회 수
40 40. [코드오류] 초기화되지 않은 변수 사용 관리자 2019.08.08 363
39 39. [코드오류] 해제 된 자원 사용 관리자 2019.07.24 466
38 38. [코드오류] 부적절한 자원 해제 관리자 2019.07.17 393
37 37. [코드오류] Null Pointer 역참조 관리자 2019.07.17 440
36 36. [에러처리] 부적절한 예외 처리 관리자 2019.07.12 587
35 35. [에러처리] 오류 상황 대응 부재 관리자 2019.07.11 407
34 34. [에러처리] 오류메시지를 통한 정보노출 관리자 2019.07.09 750
33 33. [시간 및 상태] 종료되지 않은 반복문 재귀함수 관리자 2019.07.05 552
32 32. [시간 및 상태] 검사시점과 사용시점 관리자 2019.07.01 566
31 31. [보안 기능] 반복된 인증시도 제한 기능 부재 관리자 2019.06.24 615
30 30. [보안 기능] 무결성 검사 없는 코드 다운로드 관리자 2019.06.24 664
29 29. [보안 기능] 솔트 없이 일방향 해시함수 사용 관리자 2019.06.17 725
28 28. [보안 기능] 주석문 안에 포함된 시스템 주요정보 관리자 2019.06.11 575
27 27. [보안 기능] 사용자의 하드디스크에 저장되는 쿠키를 통한 정보노출 관리자 2019.06.04 666
26 26. [보안 기능] 취약한 비밀번호 허용 관리자 2019.06.04 569
25 25. [보안 기능] 하드코드 된 암호화 키 관리자 2019.05.28 945
24 24. [보안 기능] 적절하지 않은 난수값 사용 관리자 2019.05.28 704
23 23. [보안 기능] 충분하지 않은 키 길이 사용 관리자 2019.05.07 653
22 22. [보안 기능] 하드코드 된 비밀번호 관리자 2019.04.30 1113
» 21. [보안 기능] 중요정보 평문 전송 관리자 2019.04.30 1118
첫 페이지 1 2 끝 페이지
쓰기
태그
보안소식
  • 보안뉴스
  • 시큐어코딩
  • 모의해킹
  • 취약점 진단
nextep banner

어플리케이션 소스코드 취약점 점검도구, CODE-RAY XG를 통해 개발 단계에서부터 소스코드의 잠재적인 취약점이 없는 건강한 소프트웨어를 구현할 수 있습니다.
웹 / 소스코드 / 서버 인프라 등 다양한 시스템의 취약점을 사전에 점검하여 여러가지 상황에서의 보안사고를 예방합니다.
모바일 시스템에 대하여 해킹에 취약한 근본적인 문제를 점검하고, 다양한 컴플라이언스를 기반으로 한 최적의 가이드를 제공합니다.
  • Home
  • 회사소개
  • 사업소개
  • 제품소개
  • 보안소식
  • 공지사항
본사주소 : 서울특별시 구로구 디지털로33길 48, 709호(대륭포스트타워 7차)   Tel : 02-861-6373

대표이사 : 고공석 ㅣ  사업자번호 : 887-86-00041 ㅣ  COPYRIGHT ⓒ GSinfo ALL RIGHT RESERVED.

로그인

로그인폼

로그인 유지

로그인
  • 회원가입
  • ID/PW 찾기