감사 기록이 없으면 보안 관련 사고를 감지하고 대응하는 능력이 제한되고 포렌식 조사가 불가능해집니다.

로깅 기능의 효율성을 떨어뜨리는 구성 설정에는 다음을 비롯한 여러 가지가 포함됩니다.
- 의도적인 감사 로깅 비활성화
- 특정 사용자, 그룹, 프로세스의 작업을 로깅 대상에서 제외
- 부적절한 방식으로 로그 무결성 보호
- 선택적 감사 로깅 미활성화
- 로그 샘플링 비율 하향 조정

이 Terraform 구성은 로깅 옵션을 지정하지 않고 가상 머신 서브넷을 설정합니다. 이러한 로그에는 네트워크 모니터링, 포렌식, 실시간 보안 분석 및 비용 최적화를 위한 귀중한 데이터가 포함되어 있습니다.

권한을 잘못 관리하면 데이터 무단 액세스 또는 수정 위험성이 높아지며 서비스 가용성도 낮아집니다.

사용자가 아닌 응용 프로그램이나 VM이 사용하는 특수 Google 계정인 서비스 계정은 중요한 권한을 사용해 자동화된 프로세스를 실행하거나 최종 사용자 대신 API 요청을 수행합니다. 그러므로 해당 계정을 신뢰할 수 있도록 신중하게 관리, 제어 및 감사해야 합니다. 일반적으로 특정 사용자에 해당하는 IAM 사용자에게 서비스 계정 역할을 할당하면 보안을 엄격하게 제어할 수 없게 됩니다.

불필요한 네트워크 트래픽을 차단하지 않으면 클라우드 서비스의 공격 표면이 확장됩니다. 공개 상호 작용이 가능한 서비스는 악의적인 엔터티의 거의 지속적인 검색 및 조사에 노출됩니다.

미사용 데이터에는 CMEK(고객 관리형 암호화 키)가 활성화되지 않습니다.

기본적으로 Google Cloud는 임의로 생성된 DEK(데이터 암호화 키)를 사용하여 미사용 데이터를 암호화합니다. CMEK 기능을 사용하는 조직은 원하는 암호화 키를 사용하여 DEK를 암호화할 수 있습니다. 따라서 암호화 프로세스를 더욱 효율적으로 제어하고 로깅할 수 있습니다.

이러한 이유로 인해 CMEK는 다음을 비롯한 여러 요구 사항을 충족하는 솔루션에 포함되는 경우가 많습니다.
- 민감한 데이터 액세스 관련 감사 로그
- 데이터 보존
- 키 교체, 비활성화 또는 삭제
- 변조 방지 하드웨어 보안 모듈

미사용 데이터에는 CMEK(고객 관리형 암호화 키)가 활성화되지 않습니다.

기본적으로 Google Cloud는 임의로 생성된 DEK(데이터 암호화 키)를 사용하여 미사용 데이터를 암호화합니다. CMEK 기능을 사용하는 조직은 원하는 암호화 키를 사용하여 DEK를 암호화할 수 있습니다. 따라서 암호화 프로세스를 더욱 효율적으로 제어하고 로깅할 수 있습니다.

이러한 이유로 인해 CMEK는 다음을 비롯한 여러 요구 사항을 충족하는 솔루션에 포함되는 경우가 많습니다.
- 민감한 데이터 액세스 관련 감사 로그
- 데이터 보존
- 키 교체, 비활성화 또는 삭제
- 변조 방지 하드웨어 보안 모듈

URL 맵은 수신 HTTP(S) 요청을 특정 백엔드 서비스로 라우팅하는 규칙 집합입니다. URL 맵은 기본적으로 암호화되지 않은 연결과 보안되지 않은 연결을 허용합니다. 이러한 연결로 인해 데이터가 무단 액세스, 도난 및 변조 위험에 노출됩니다.

예제 1: 다음 예제에는 URL 맵을 정의하는 Terraform 구성이 나와 있습니다. 이 구성에서는 https_redirect를 false로 설정하여 클라이언트가 통신에 HTTP를 사용하도록 허용합니다.

resource "google_compute_url_map" "urlmap" {
...
  default_url_redirect {
...
    https_redirect = false
...
  }
...
}

DNSSEC는 DNS 응답 유효성 검사에 디지털 서명을 사용할 수 있는 기능을 제공하여 DNS 스푸핑을 방지합니다. 그러나 SHA-1을 사용하는 모든 DNSSEC 서명 알고리즘은 끊임없이 증가하는 공격 위험에 취약합니다. SHA-1은 디지털 서명과 함께 사용할 때 더 이상 보안 해시 알고리즘으로 간주되지 않습니다.

예제 1: 다음 예제는 안전하지 않은 서명 알고리즘 rsasha1으로 DNSSEC를 활성화하는 Terraform 구성을 보여줍니다.

resource "google_dns_managed_zone" "zone-demo" {
...
  dnssec_config {
    default_key_specs {
      algorithm = "rsasha1"
      ...
    }
  }
...
}

GKE는 경로 기반과 VPC 네이티브라는 두 가지 클러스터 네트워크 모드를 지원합니다. VPC 네이티브 클러스터는 별칭 IP 주소 범위를 사용하여 노드의 한 Pod에서 다른 Pod로 트래픽을 라우팅합니다. 따라서 Pod에 정확한 IP 기반 정책 및 방화벽 규칙을 적용할 수 있습니다. 반대로, 전체 노드는 경로 기반 클러스터에서 가장 세밀한 수준의 제어입니다.

예제 1: 다음 예제 Terraform 구성은 networking_mode를 ROUTES로 설정하여 VPC 네이티브 클러스터를 활성화하지 않습니다.

resource "google_container_cluster" "cluster_demo" {
...
  networking_mode = "ROUTES"
..
}

X-XSS-Protection은 다른 브라우저에 채택되어 Microsoft에서 도입한 HTTP 헤더입니다. 이는 Cross-Site Scripting 공격이 성공하는 것을 중지하도록 돕기 위해 도입되었지만 의도치 않게 안전한 웹 사이트를 취약하게 만드는 취약점을 야기합니다[1]. 이 때문에 이 헤더는 이전 버전의 Internet Explorer에서 사용해서는 안 되며 0으로 설정하여 비활성화해야 합니다.

예제 1: 다음은 모든 버전의 Internet Explorer에 대해 이를 활성화하도록 Express 응용 프로그램에서 Helmet 미들웨어를 잘못 구성합니다.

var express = require('express');
var app = express();
var helmet = require('helmet');

...
app.use(helmet.xssFilter({ setOnOldIE: true}));
...

MIME 염탐은 바이트 스트림의 콘텐트를 검사하여 포함된 데이터의 파일 형식을 추론하는 것입니다.

MIME 염탐을 명시적으로 비활성화하지 않으면 공격자는 의도하지 않은 방식으로 데이터를 해석하도록 일부 브라우저를 조작할 수 있으며, 이를 통해 Cross-Site Scripting 공격이 이루어질 수 있습니다. 사용자가 제어 가능한 콘텐트를 포함할 수 있는 모든 페이지에는 X-Content-Type-Options: nosniff라는 HTTP 헤더를 사용해야 합니다.

예제 1: 다음 코드는 MIME 염탐 보호를 사용하지 않도록 Spring Security로 보호된 응용 프로그램을 구성합니다.

	<http auto-config="true">
        ...
        <headers>
            ...
            <content-type-options disabled="true"/>
        </headers>
	</http>

컴파일러 최적화 오류는 다음 경우에 발생합니다.

1. 기밀 데이터를 메모리에 저장합니다.

2. 기밀 데이터를 덮어써서 메모리에서 초기화합니다.



3. 소스 코드는 최적화 컴파일러(optimizing compiler)를 사용하여 컴파일되는데 최적화 컴파일러는 이후에 메모리가 사용되지 않기 때문에 메모리 내용을 불필요한 저장 공간으로 보고 덮어쓰는 함수를 식별하여 제거합니다.
예제 1: 다음 코드는 사용자로부터 암호를 읽고 백 엔드 메인프레임에 연결한 다음 memset()을 사용하여 메모리에서 암호를 초기화합니다.

  void GetData(char *MFAddr) {
  char pwd[64];
  if (GetPasswordFromUser(pwd, sizeof(pwd))) {
   if (ConnectToMainframe(MFAddr, pwd)) {
		 // Interaction with mainframe
	 }
  }
  memset(pwd, 0, sizeof(pwd));
}

예제의 코드는 그대로 실행하면 올바로 동작하지만, Microsoft Visual C++(R) .NET 또는 GCC 3.x와 같은 최적화 컴파일러(optimizing compiler)를 사용하여 코드를 컴파일하면, 버퍼 pwd의 값을 덮어쓴 후 버퍼를 사용하지 않기 때문에 memset() 호출은 불필요한 저장 공간으로 간주되어 삭제됩니다[2]. 버퍼 pwd에는 민감한 값이 들어 있기 때문에 데이터가 메모리에 남아 있으면 응용 프로그램이 공격에 취약해질 수 있습니다. 공격자가 정확한 메모리 영역에 접근하게 되면 복구된 암호를 사용하여 시스템에 대한 제어를 얻을 수 있습니다.

공격자가 시스템 암호를 알아내지 못하도록 암호나 암호화 키와 같이 메모리에서 조작되는 민감한 데이터를 덮어쓰는 것은 일반적인 형태입니다. 하지만 최적화 컴파일러(optimizing compiler)를 사용하면 프로그램이 항상 소스 코드가 의도한 대로 동작하지는 않습니다. 이 예제에서는 호출이 일어나는 분명한 보안상의 이유가 있음에도 불구하고 데이터가 쓰여진 메모리가 이후에 사용되지 않는다는 이유로 컴파일러가 memset() 호출을 dead code로 해석합니다. 이 때, 문제는 많은 컴파일러 및 많은 프로그래밍 언어가 효율 개선을 이유로 이러한 보안 문제 또는 다른 보안 문제를 고려하지 않는다는 점입니다.

일반적으로 공격자는 코어 덤프 또는 런타임 메커니즘을 이용하여 특정 응용 프로그램이 사용하는 메모리에 액세스하여 비밀 정보를 알아내는 방식으로 이런 종류의 취약점을 익스플로이트합니다. 공격자가 비밀 정보에 액세스하게 되면 시스템을 더 익스플로이트하는 것이 비교적 간단해지므로 응용 프로그램이 사용하는 리소스를 손상시킬 수도 있습니다.

배열 범위 검사가 불법 포인터를 계산한 후 포인터가 범위를 벗어났는지 확인하는 것과 관련된 경우, 일부 컴파일러는 프로그래머가 불법 포인터를 의도적으로 생성하지 않았다고 가정하며 검사를 최적화합니다.

예제 1:

  char *buf;
  int len;
  ...
  len = 1<<30;

  if (buf+len < buf)  //wrap check
    [handle overflow]

작업 buf + len은 2^32보다 커서 결과 값이 buf보다 작습니다. 그러나 포인터에 대한 산술 overflow는 정의되지 않은 동작이므로 일부 컴파일러는 buf + len >= buf를 가정하여 랩 확인을 최적화합니다. 이와 같이 최적화하면 이 블록 뒤에 오는 코드가 buffer overflow에 취약해질 수 있습니다.

Django 응용 프로그램에서는 운영 환경에 배포하도록 설계되어 있지 않은 static files 응용 프로그램의 serve 보기를 노출합니다. Django 설명서에 따르면 다음과 같습니다.

"static files 도구는 대부분 정적 파일을 운영 환경에 성공적으로 배포하는 데 도움이 되도록 설계되어 있습니다. 일반적으로, 로컬로 개발하는 경우 상당한 처리 부담으로 작용하는 별도의 전용 정적 파일 서버가 여기에 해당합니다. 따라서 staticfiles 앱은 개발 시 파일을 로컬로 제공하는 데 사용할 수 있는 단순하면서도 정리되지 않은 도우미 보기가 함께 제공됩니다.

이 보기는 DEBUG가 True로 설정되어 있는 경우에만 작동합니다.

때문에 이 보기는 대체로 비효율적이며 안전하지 않을 수도 있습니다. 이는 로컬 개발에만 사용하기 위한 것이며 운영 환경에 사용해서는 안 됩니다."

민감한 정보가 포함되어 있거나 권한이 지정된 기능을 제공하는 응용 프로그램 리소스는 일반적으로 악용될 위험이 높습니다. 공격자는 예비 조사 단계에서 이러한 파일과 디렉터리가 있는지 찾아보게 됩니다. 이러한 리소스에 예측 가능한 명명 체계를 사용하면 공격자가 이를 보다 쉽게 찾을 수 있습니다. authentication, 관리 작업 또는 개인 정보 취급 같은 민감한 기능을 다루는 모든 응용 프로그램 리소스는 검색되지 않도록 충분히 보호해야 합니다.

예제 1: 다음 예제에서는 admin 응용 프로그램이 예측 가능한 URL로 배포되어 있습니다.

from django.conf.urls import patterns
from django.contrib import admin

admin.autodiscover()

urlpatterns = patterns('',
    ...
    url(r'^admin/', include(admin.site.urls)),
    ...

데이터 저장을 담당하는 리소스는 응용 프로그램 기능을 구현하는 리소스와 구분해 놓아야 합니다. 프로그래머는 임시 리소스나 백업 리소스를 생성할 때 반드시 주의를 기울여야 합니다.

대부분의 웹 응용 프로그램은 일반적으로 쿠키에 저장되고 서버와 웹 브라우저 사이에서 투명하게 전송되는 세션 ID를 사용하여 사용자를 고유하게 식별합니다.


쿠키에 세션 ID를 저장하지 않은 응용 프로그램은 때때로 HTTP 요청 매개변수 또는 URL의 일부로서 세션 ID를 전송합니다. URL에 지정된 세션 ID를 수락하면 공격자가 Session Fixation 공격을 손쉽게 수행할 수 있습니다.

세션 ID를 URL에 배치하면 응용 프로그램에 대한 세션 하이재킹(Session Hijacking) 공격이 성공할 가능성도 높아집니다. 세션 하이재킹(Session Hijacking)은 공격자가 피해자의 활성 세션 또는 세션 ID 제어권을 가져갈 때 발생합니다. 일반적으로 웹 서버, 응용 프로그램 서버 및 웹 프록시는 요청된 URL을 저장합니다. 세션 ID가 URL에 포함되면 ID가 기록됩니다. 세션 ID를 보고 저장할 수 있는 장소의 수가 증가하면 공격자에 의해 손상될 기회가 증가합니다.

Tomcat을 사용하여 인증을 수행할 경우, Tomcat 배포 설명자 파일은 인증에 사용되는 “영역(Realm)”을 지정합니다. 다음과 같습니다.

예제 1:

  <Realm className="org.apache.catalina.realm.JAASRealm"
         appName="SRN"
         userClassNames="com.srn.security.UserPrincipal"
         roleClassNames="com.srn.security.RolePrincipal"/>

이 Realm 태그는 debug라는 옵션 속성을 갖습니다. 이는 로그 레벨을 나타냅니다. 숫자가 높을수록 로그 메시지가 더 자세히 표시됩니다. 디버그 레벨이 너무 높게 설정된 경우, Tomcat은 일반 텍스트의 모든 사용자 이름과 암호를 로그 파일에 기록합니다. Tomcat의 JAASRealm과 관련된 디버깅 메시지에 대한 경계선은 3(3 이상은 적합하지 않으며 2 이하가 좋습니다.)이지만, 이 차단은 Tomcat이 제공하는 다른 유형의 영역(realm)에 따라 변할 수 있습니다.

작업 또는 서블릿을 사용하여 JSP(Java Server Page)에 요청을 위임하는 웹 프레임워크로 구축된 Struts 또는 Spring과 같은 응용 프로그램에서 JSP에 직접 액세스하면 처리되지 않은 예외 및 시스템 정보 누출이 발생할 수 있습니다. 불완전하게 구현되거나 구성된 응용 프로그램 서버는 http://host/page.jsp%00 또는 http://host/page.js%2570과 같이 특수하게 고안된 요청을 사용하여 소스 코드 세부 정보를 유출하는 데 악용되어 왔습니다. 더 심한 경우, 응용 프로그램에서 사용자가 임의의 파일을 업로드하도록 허용할 경우, 공격자는 이 메커니즘을 사용하여 JSP의 형태로 악성 코드를 업로드하고 업로드한 페이지에서 악성 코드가 서버에서 실행되도록 요청할 수 있습니다.

예제 1: 다음 예제는 잘못 구성된 보안 제약 조건을 보여줍니다. 이 보안 제약 조건은 해당하는 웹 리소스에 모든 사용자가 액세스하는 것을 허용함을 나타내는 ‘*’를 사용하여 역할 이름에 JSP에 대한 직접 액세스를 명시적으로 허용합니다.

<security-constraint>
    <web-resource-collection>
        <web-resource-name>JSP Access for Everyone!</web-resource-name>
        <description>Allow any user/role access to JSP</description>
        <url-pattern>*.jsp</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>*</role-name>
    </auth-constraint>
</security-constraint>

지정된 보안 역할의 마지막 정의만 적용되기 때문에 중복된 보안 역할은 아무 소용이 없습니다.
예제 1:web.xml 파일의 항목은 2개의 admin 역할을 정의합니다.

<security-constraint>
    <web-resource-collection>
        <web-resource-name>AdminPage</web-resource-name>
        <description>Admin only pages</description>
        <url-pattern>/auth/noaccess/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description>Administrators only</description>
        <role-name>admin</role-name>
    </auth-constraint>
</security-constraint>
...
<security-role>
    <description>Administrator</description>
    <role-name>admin</role-name>
</security-role>

<security-role>
    <description>Non-Administrator</description>
    <role-name>admin</role-name>
</security-role>

동일한 URL 패턴이 여러 서블릿 매핑에서 사용되는 경우에는 마지막 항목만 적용되므로 중복된 서블릿 매핑은 아무런 소용이 없습니다.

예제 1: 다음 예제에서 /servletA/* URL 패턴은 2개의 서로 다른 서블릿 매핑에 사용됩니다.

<servlet-mapping>
    <servlet-name>ServletA</servlet-name>
    <url-pattern>/servletA/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>ServletB</servlet-name>
    <url-pattern>/servletA/*</url-pattern>
</servlet-mapping>