Yasca를 활용 한 크로스 사이트 스크립팅(XSS) 예방 기법에 관한 연구

Abstract

인터넷이 주는 편리함의 순기능의 이면에는 해킹에 의한 프라이버시 침해, 개인정보 유출 등의 사이버 보안 위협이 내재되어 있다. 미국의 정보 기술 연구 및 자문 회사인 Gartner의 웹 해킹 침해 보고서에 따르면 해킹사고의 원인 대부분(75%)은 어플리케이션 보안 약점을 악용한 것으로 보고 되었다. 국내에서도 연달아 발생 한 해킹사고가 어플리케이션 보안 약점을 악용한 사례이다. 정부는 지난 2012년 전자정부 시스템에 대한 사이버 공격이 일어나면서 시큐어코딩 도입을 전 공공기관에 의무화했다. 2014년에는 20억원 이상 공공기관 IT 사업에 시큐어코딩을 적용해야 하며 2015년부터는 모든 공공기관 전자정부 사업에 시큐어코딩이 의무 적용된다. 안타깝게도, 2000년도 초반에 설계되어 개발된 시스템은 시큐어코딩이 적용되지 않았고, 아직도 사용되고 있다. 그중에서도, OWASP 가 분석한 웹 어플리케이션 10대 취약점에서 상위에 랭크 되어 있는 XSS(Cross Site Scripting) 공격은 손쉽게 취약점을 공격할 수 있고, 취약점이 노출 된다면 큰 피해를 입게 될 것이다. XSS에 대응하기 위한 시큐어코딩을 적용하려면 아래와 같이 해야 한다. 첫번째로, 어느 부분에서 문제가 발생하는지를 찾아서 리스트업 해야 할 것이다. 즉, 검색(Searching)이 필요하다. 두번째로, 시큐어코딩의 적용에 관한 문제가 있다. 현실적으로 부족한 자원으로 인하여 원활한 서비스와 동시에 시큐어코딩을 적용하기가 어렵다. 결국은 비용의 문제가 될 것이다. 첫번째 문제는 공개소프트웨어(OSS, Open Source Software)인 Yasca(version2.2)를 통하여 리스트업을 하여 문제를 해결하고, 두번째는 연구한 방법을 통하여 문제의 소지가 있는 소스를 수정하여 가능한 한 빠르게 시큐어코딩을 적용할 수 있도록 할 것이다. 왜냐하면, 공개소프트웨어인 Yasca는 문제가 발생한 곳을 찾아주고, 리포트만을 해 줍니다. 가장 중요한, 문제를 해결 해 주지 않는 것이 Yasca의 아쉬운 부분이라고 할 수 있다. 본 논문에서는, XSS(Cross Site Scripting)에 대하여 Yasca를 통한 리스트 업과 저자가 연구한 방법 통한 시큐어 코딩을 적용할 수 있도록 하는 데 연구 목적이 있다.