분야 보안
□ 개요
o 최근 국내 홈페이지를 대상으로 홈페이지 변조, DDoS 공격 등 사이버 공격이 지속적으로 발생하고 있어 이에 대한 주의 권고
□ 권고 사항
o 웹 사이트 관리자는 홈페이지에서 사용하는 콘텐츠관리시스템(CMS : Contents Management System) 등 웹 어플리케이션
최신버전 업데이트 및 점검 필요
- 게시판 에디터 등 홈페이지 개발 도구 최신버전 업데이트 또는 데모 페이지 삭제
※ 데모 페이지 : /fckeditor/editor/filemanager/connectors/asp/connectos.asp 등
- 게시판 소스코드 내 파일 업·다운로드 부분 확장자 검증 여부 점검
o 홈페이지 및 서버 진단 가이드, 웹 취약점 점검 도구 등을 활용하여 자체 웹 취약점 점검 권고
- (가이드) 홈페이지 취약점 진단제거 가이드, 웹 서버구축 보안점검 안내서, 웹어플리케이션 보안 안내서 [1][2][3]
- (점검 도구) 휘슬(WHISTL), 캐슬(CASTLE) 안내 [4][5]
- (원격 점검 서비스) 원격 웹 취약점 점검 서비스 [6]
- (DDoS 사이버 대피소) [7]
□ 용어 정리
o 휘슬(WHISTL) : 웹 서버 해킹에 사용되는 웹셸 파일 및 악성코드 은닉 사이트를 서버 관리자들이 쉽게 탐지 할 수 있도록 하는
프로그램
o 캐슬(CASTLE) : 웹 취약점을 악용한 공격을 사전 차단할 수 있는 웹 방화벽 프로그램
o DDoS 사이버 대피소 : 피해 웹사이트로 향하는 DDoS 트래픽을 대피소로 우회하여 분석, 차단함으로써 정상적으로 운영될 수
있도록 하는 중소기업 무료지원 서비스
o 콘텐츠관리시스템(CMS : Contents Management System) : 게시판 등 웹사이트를 구성하고 있는 다양한 콘텐츠를
효율적으로 관리할 수 있도록 도와주는 시스템
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118
[참고사이트]
[1] http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=49&ST=T&SV=
[2] http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=46&ST=T&SV=
[3] http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=45&ST=T&SV=
[4] http://www.krcert.or.kr/download/whistlCastle/whistl.do
[5] http://www.krcert.or.kr/download/whistlCastle/castle.do
[6] http://www.krcert.or.kr/webprotect/webVulnerability.do
[7] http://www.krcert.or.kr/webprotect/cyberShelters/cyberShelters.do