홈페이지 보안 취약점 주의 권고

분야 보안

□ 개요

 o 최근 국내 홈페이지를 대상으로 홈페이지 변조, DDoS 공격 등 사이버 공격이 지속적으로 발생하고 있어 이에 대한 주의 권고
 

□ 권고 사항
 o 웹 사이트 관리자는 홈페이지에서 사용하는 콘텐츠관리시스템(CMS : Contents Management System) 등 웹 어플리케이션

    최신버전 업데이트  및 점검 필요
   - 게시판 에디터 등 홈페이지 개발 도구 최신버전 업데이트 또는 데모 페이지 삭제
      ※ 데모 페이지 : /fckeditor/editor/filemanager/connectors/asp/connectos.asp 등
   - 게시판 소스코드 내 파일 업·다운로드 부분 확장자 검증 여부 점검


 o 홈페이지 및 서버 진단 가이드, 웹 취약점 점검 도구 등을 활용하여 자체 웹 취약점 점검 권고
  - (가이드) 홈페이지 취약점 진단제거 가이드웹 서버구축 보안점검 안내서웹어플리케이션 보안 안내서 [1][2][3]
  - (점검 도구) 휘슬(WHISTL)캐슬(CASTLE) 안내 [4][5]
  - (원격 점검 서비스) 원격 웹 취약점 점검 서비스 [6]
  - (DDoS 사이버 대피소) [7]
 

□ 용어 정리
 o 휘슬(WHISTL) : 웹 서버 해킹에 사용되는 웹셸 파일 및 악성코드 은닉 사이트를 서버 관리자들이 쉽게 탐지 할 수 있도록 하는

    프로그램
 o 캐슬(CASTLE) : 웹 취약점을 악용한 공격을 사전 차단할 수 있는 웹 방화벽 프로그램
 o DDoS 사이버 대피소 : 피해 웹사이트로 향하는 DDoS 트래픽을 대피소로 우회하여 분석, 차단함으로써 정상적으로 운영될 수

    있도록 하는 중소기업 무료지원 서비스
 o 콘텐츠관리시스템(CMS : Contents Management System) : 게시판 등 웹사이트를 구성하고 있는 다양한 콘텐츠를

    효율적으로 관리할 수 있도록 도와주는 시스템
 

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118
 

[참고사이트]
 [1] http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=49&ST=T&SV=
 [2] http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=46&ST=T&SV=
 [3] http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=45&ST=T&SV=
 [4] http://www.krcert.or.kr/download/whistlCastle/whistl.do
 [5] http://www.krcert.or.kr/download/whistlCastle/castle.do
 [6] http://www.krcert.or.kr/webprotect/webVulnerability.do 

 [7] http://www.krcert.or.kr/webprotect/cyberShelters/cyberShelters.do