실전! 개발자를 위한 Security 체크 포인트
④ 안전한 DB 프로그래밍
작성자 : 김문규
최초 작성일 : 2008. 8. 6
* 본 포스트는 SDS e-campus의 '실전 개발자를 위한 Security 체크포인트' 강의 내용을 발췌하여 재구성한 개인적인 학습노트 입니다.
이번 포스트에서는 안전한 DB 프로그래밍에 관련된 내용을 배우게 됩니다. 실제 엔터프라이즈급 애플리케이션에서 DB는 필수이며 이 부분이 취약해 진다면 겉만 번드드르한 허당이 되어 버리고 맙니다.
DB 관련된 보안은 어렵고 범위도 넓어 보입니다. 저 개인적으로 더 많은 공부를 하고 싶은 부분입니다.
1. SQL Injection
1) SQL Injection 이란?
SQL 문에서 동적으로 입력받는 값을 교묘하게 조작하여 DB를 해킹하는 것을 말합니다.
예1)
select * from users where username='변수 1' and password='변수 2'
는 정상적인 경우 다음처럼 동작합니다.
(변수 1 = superman, 변수 2 = abcdef)
select * from users where username='superman' and password='abcdef'
하지만, 해커가 아래와 같이 입력할 수 있었다면?
(변수 1 = a' or 1<2 or 'a' < 'b, 변수 2 = 123456)
select * from users where username='a' or 1<2 or 'a' < 'b' and password='123456'
정말 교묘하게도 위 쿼리는 전체 사용자 정보를 몽땅 다 보여주는 쿼리로 바뀌어 버립니다.
이것이 바로 SQL Injection 입니다.
절대 이게 다가 아닙니다. 관심이 있으신 분은 꼭 자세한 내용을 확인하시길 바랍니다.
다음은 추천 참고 사이트 입니다.
1. http://www.silksoft.co.za/data/sqlinjectionattack.htm
- Understanding and Preventing SQL Injection Attacks
2. http://www.sqlsecurity.com/faq-inj.asp
- SQL Injection FAQ
2) 대응책
아래의 것이 완벽한 대응책은 될 수 없겠지만, 중요한 내용에 대한 정리이니 꼭 확인하시고 코딩하실 때 기계적으로 적용하시길 바랍니다.
- 사용자가 숫자를 입력해야 한다면, ISNUMERIC 함수 등을 이용해 입력을 검사합니다.
- 입력 폼에서 특수문자( ' ; | -) 필터링 기능을 추가합니다.
- 사용자가 문자열을 입력한다면 Escaping 처리합니다. Escaping 처리는 특수문자를 Keyword로 인식하지 않고 단순 문자로 인식하게 합니다.
※ DB 종류에 따라 다르게 적용
* MS SQL, Oracle : ' 을 ' ' ( 작은 따옴표 두 개 )로 변경
* MySQL : '을 \' 로 변경
- php를 사용하는 경우라면, php.ini 설정에서 magic_quotes_gpc = On 으로 설정합니다.
- java를 사용하는 경우라면, 자동으로 '를 \'로 치환해주는 Prepared Statement를 사용하여 SQL문을 작성합니다.
- 절대 서버 에러 내용을 사용자에게 보여주지 않습니다.
※ IIS 웹서버
기본웹사이트 → 등록정보 → 홈디렉토리 → 구성 → 응용프로그램 디버깅
"텍스트 오류 메시지를 클라이언트에게 보내기" 선택함
※ Php인 경우
Php.ini에서 display_errors = off 설정합니다.
2. DB 암호화
DB 서버는 시스템상에 가장 뒤에 숨어 있지만 여러가지 취약점을 통해 해킹 당할 가능성은 존재합니다.
1절에 설명한 SQL Injection을 통해서 관리자 계정 정보가 노출될 수도 있고, 뒤에서 설명하겠지만 WAS의 취약점을 공략해서 DB 연결 정보가 해킹당할 수도 있습니다. 물론 이외에도 다양한 경우가 있을 것으로 생각됩니다.
그렇기 때문에 DB의 내용이 해킹당했을 경우를 대비하여 DB 내부의 중요 데이터는 항상 암호화 해야 합니다.
이를 위해서는 주로 다음의 방법을 사용합니다.
1) 대칭키 암호화
- 동일한 키를 공유하면서 이를 이용하여 암호화와 복호화를 하는 방식으로 암호화와 복호화의 속도가 빠르며 알고리즘이 비교적 단순하여 하드웨어를 구현하기 용이한 반면 키관리 및 분배가 어렵습니다.
- 암호 세션키를 이용하여 인터넷 상에서 전달되는 데이타가 128비트 대칭키 방식 알고리즘으로 암호화되어 처리됨으로써 기밀성이 보장됩니다.
- SEED는 대칭키 암호 알고리즘으로, 16byte 블록 단위로 메시지를 처리하는 블록 암호 알고리즘입니다.
2) 해쉬 함수의 이용
- MD5 : 128비트(16바이트) 출력값
- SHA : 160비트(20바이트) 출력값으로 미국 표준 해쉬 알고리즘입니다.
- 일반적으로 SHA가 더 안전하다고 알려져 있지만 속도는 20%정도 더 느립니다.
- 해쉬 함수의 효과 : 대칭키로 암호화하는 경우는 암호화 알고리즘이 유출될 경우, 암호화된 값을 토대로 원래의 패스워드를 유추하는 것이 상대적으로 쉽습니다. 그러나, 해쉬는 일방향 함수이기 때문에 패스워드를 유추해 내기란 계산상 불가능합니다. 따라서, 패스워드와 같이 복호화가 필요없이 값의 일치여부만 확인하면 되는 경우에는 해쉬함수를 사용하면 훨씬 더 안전하게 고객의 패스워드를 보호할 수 있습니다.
3. 맺음말
내용의 중요도에 비해 너무 짧은 포스트가 아닌가 생각됩니다. 개인적으로는 입사 초기에 제가 개발한 서버에 대해 SQL Injection의 우려가 있다고 회사 보안팀에서 압력을 받은 적이 있습니다. 아무런 생각없이 개발했던 것이 결국에는 뽀롱이 나고 만 것이죠.
실제로 고도의 해커가 아니어도 간단한 툴만으로도 SQL Injection 공격이 가능합니다. 그래서 더욱더 주의할 필요가 있는 것이지요.
SQL Injection에 대해서 좀 더 자세히 공부하시기를 강추 합니다.
④ 안전한 DB 프로그래밍
작성자 : 김문규
최초 작성일 : 2008. 8. 6
* 본 포스트는 SDS e-campus의 '실전 개발자를 위한 Security 체크포인트' 강의 내용을 발췌하여 재구성한 개인적인 학습노트 입니다.
이번 포스트에서는 안전한 DB 프로그래밍에 관련된 내용을 배우게 됩니다. 실제 엔터프라이즈급 애플리케이션에서 DB는 필수이며 이 부분이 취약해 진다면 겉만 번드드르한 허당이 되어 버리고 맙니다.
DB 관련된 보안은 어렵고 범위도 넓어 보입니다. 저 개인적으로 더 많은 공부를 하고 싶은 부분입니다.
1. SQL Injection
1) SQL Injection 이란?
SQL 문에서 동적으로 입력받는 값을 교묘하게 조작하여 DB를 해킹하는 것을 말합니다.
예1)
select * from users where username='변수 1' and password='변수 2'
는 정상적인 경우 다음처럼 동작합니다.
(변수 1 = superman, 변수 2 = abcdef)
select * from users where username='superman' and password='abcdef'
하지만, 해커가 아래와 같이 입력할 수 있었다면?
(변수 1 = a' or 1<2 or 'a' < 'b, 변수 2 = 123456)
select * from users where username='a' or 1<2 or 'a' < 'b' and password='123456'
정말 교묘하게도 위 쿼리는 전체 사용자 정보를 몽땅 다 보여주는 쿼리로 바뀌어 버립니다.
이것이 바로 SQL Injection 입니다.
절대 이게 다가 아닙니다. 관심이 있으신 분은 꼭 자세한 내용을 확인하시길 바랍니다.
다음은 추천 참고 사이트 입니다.
1. http://www.silksoft.co.za/data/sqlinjectionattack.htm
- Understanding and Preventing SQL Injection Attacks
2. http://www.sqlsecurity.com/faq-inj.asp
- SQL Injection FAQ
2) 대응책
아래의 것이 완벽한 대응책은 될 수 없겠지만, 중요한 내용에 대한 정리이니 꼭 확인하시고 코딩하실 때 기계적으로 적용하시길 바랍니다.
- 사용자가 숫자를 입력해야 한다면, ISNUMERIC 함수 등을 이용해 입력을 검사합니다.
- 입력 폼에서 특수문자( ' ; | -) 필터링 기능을 추가합니다.
- 사용자가 문자열을 입력한다면 Escaping 처리합니다. Escaping 처리는 특수문자를 Keyword로 인식하지 않고 단순 문자로 인식하게 합니다.
※ DB 종류에 따라 다르게 적용
* MS SQL, Oracle : ' 을 ' ' ( 작은 따옴표 두 개 )로 변경
* MySQL : '을 \' 로 변경
- php를 사용하는 경우라면, php.ini 설정에서 magic_quotes_gpc = On 으로 설정합니다.
- java를 사용하는 경우라면, 자동으로 '를 \'로 치환해주는 Prepared Statement를 사용하여 SQL문을 작성합니다.
- 절대 서버 에러 내용을 사용자에게 보여주지 않습니다.
※ IIS 웹서버
기본웹사이트 → 등록정보 → 홈디렉토리 → 구성 → 응용프로그램 디버깅 "텍스트 오류 메시지를 클라이언트에게 보내기" 선택함※ Php인 경우
Php.ini에서 display_errors = off 설정합니다. 2. DB 암호화
DB 서버는 시스템상에 가장 뒤에 숨어 있지만 여러가지 취약점을 통해 해킹 당할 가능성은 존재합니다.
1절에 설명한 SQL Injection을 통해서 관리자 계정 정보가 노출될 수도 있고, 뒤에서 설명하겠지만 WAS의 취약점을 공략해서 DB 연결 정보가 해킹당할 수도 있습니다. 물론 이외에도 다양한 경우가 있을 것으로 생각됩니다.
그렇기 때문에 DB의 내용이 해킹당했을 경우를 대비하여 DB 내부의 중요 데이터는 항상 암호화 해야 합니다.
이를 위해서는 주로 다음의 방법을 사용합니다.
1) 대칭키 암호화
- 동일한 키를 공유하면서 이를 이용하여 암호화와 복호화를 하는 방식으로 암호화와 복호화의 속도가 빠르며 알고리즘이 비교적 단순하여 하드웨어를 구현하기 용이한 반면 키관리 및 분배가 어렵습니다.
- 암호 세션키를 이용하여 인터넷 상에서 전달되는 데이타가 128비트 대칭키 방식 알고리즘으로 암호화되어 처리됨으로써 기밀성이 보장됩니다.
- SEED는 대칭키 암호 알고리즘으로, 16byte 블록 단위로 메시지를 처리하는 블록 암호 알고리즘입니다.
2) 해쉬 함수의 이용
- MD5 : 128비트(16바이트) 출력값
- SHA : 160비트(20바이트) 출력값으로 미국 표준 해쉬 알고리즘입니다.
- 일반적으로 SHA가 더 안전하다고 알려져 있지만 속도는 20%정도 더 느립니다.
- 해쉬 함수의 효과 : 대칭키로 암호화하는 경우는 암호화 알고리즘이 유출될 경우, 암호화된 값을 토대로 원래의 패스워드를 유추하는 것이 상대적으로 쉽습니다. 그러나, 해쉬는 일방향 함수이기 때문에 패스워드를 유추해 내기란 계산상 불가능합니다. 따라서, 패스워드와 같이 복호화가 필요없이 값의 일치여부만 확인하면 되는 경우에는 해쉬함수를 사용하면 훨씬 더 안전하게 고객의 패스워드를 보호할 수 있습니다.
3. 맺음말
내용의 중요도에 비해 너무 짧은 포스트가 아닌가 생각됩니다. 개인적으로는 입사 초기에 제가 개발한 서버에 대해 SQL Injection의 우려가 있다고 회사 보안팀에서 압력을 받은 적이 있습니다. 아무런 생각없이 개발했던 것이 결국에는 뽀롱이 나고 만 것이죠.
실제로 고도의 해커가 아니어도 간단한 툴만으로도 SQL Injection 공격이 가능합니다. 그래서 더욱더 주의할 필요가 있는 것이지요.
SQL Injection에 대해서 좀 더 자세히 공부하시기를 강추 합니다.
'보안, 암호화' 카테고리의 다른 글
| [실전 security ⑥] 암호화 기술 - SSL, 공인 인증, 암호화 (4) | 2008.08.11 |
|---|---|
| [실전 security ⑤] 안전한 CGI 프로그래밍 (0) | 2008.08.11 |
| [실전 security ③] 안전한 웹 서버 프로그래밍 (0) | 2008.08.05 |
| [실전 security ②] 웹 서버 보안 기초 (1) | 2008.08.04 |
| [실전 security ①] 보안 개요 (0) | 2008.08.01 |
