Part 3 : OWASP 2017 TOP 10 RC2 A3 - 민감한 데이터 노출[Sensitive Data Exposure]

 

A3 : 민감한 데이터 노출[Sensitive Data Exposure]

 

 

* 정의

: 대부분의 웹 어플리케이션과 API는 금융정보, 건강정보, 개인식별정보와 같은 민감 정보를 제대로 보호하지 않습니다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하는 취약한 데이터를 훔치거나 변경할 수 있습니다. 브라우저에서 중요 데이터를 저장 또는 전송할 때, 특별히 주의하여야 하며, 암호화와 같은 보호조치를 취해야 합니다.  

 

프로그램이 보안과 관련된 민감한 데이터를 평문으로 송·수신할 경우, 통신채널 스니핑을 통해 인가 되지 않은 사용자에게 민감한 데이터가 노출될 수 있습니다.

 

 

---

 

* 대응방법

1. 인증 정보와 같은 민감한 정보 전송시 안전하게 암호화해서 전송해야 한다. 

 : 분석단계에서 정의된 중요정보를 네트워크를 통해 전송해야 하는 경우 안전한 암호모듈로 암호화 한 뒤 전송하거나 안전한 통신 채널을 사용하도록 설계해야 합니다. 안전한 암호화는 “암호연산” 요구 항목을 충족시키는 암호화 알고리즘이나 암호키를 사용해야 합니다. 

 

2. 쿠키에 포함되는 중요 정보는 암호화해서 전송해야 합니다.

: 쿠키에는 중요정보가 포함되지 않도록 설계해야 하지만 부득이 쿠키에 중요정보가 포함되어야 하는 경우에는 반드시 세션 쿠키로 설정되어야 하며, 전달되는 중요 정보는 반드시 암호화해서 전송해야 합니다.

 

 

 

---

 

* 실제 사례

 

[보안뉴스] 경찰, 이통사 위치정보 서버 해킹해 판매한 일당 검거 2016-07-05 10:50 SKT, 위치정보 암호화하지 않고 평문 전송...흥신소, 위치추적과 미행 등에 이용   국내 한 이동통신사의 휴대전화 위치정보 서버를 해킹해 이용자들의 개인정보를 판매하고 부당 이득을 챙긴 일당이 경찰에 붙잡혔다. SKT의 위치정보 서버는 위치정보를 암호화하지 않은 평문으로 전송한 것으로 논란이 될 것으로 보인다. 다른 이통사들은 특정 IP에서만 위치정보를 조회할 수 있도록 제한하고 위치정보가 조회됐을 때 이용자에게 그 사실을 문자로 통보해 왔다. 하지만 SKT는 경찰로부터 범죄에 이용됐다고 통보 받은 6월 초까지 이와 같은 체계가 없었던 것으로 밝혀졌다.    출처 : http://www.boannews.com/media/view.asp?idx=51116&kind=1

 

그럼 Part 4로 넘어갑니당 ~