WAS Security Checker
- 인쇄
- PDF
WAS Security Checker
- 인쇄
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
Classic/VPC 환경에서 이용 가능합니다.
WAS Security Checker 메뉴에서는 Web Application Server(WAS)의 보안 설정 점검 결과를 확인할 수 있습니다. 점검 상세 결과를 진단 리포트를 통해 확인하거나 PDF 또는 엑셀 파일로 다운로드할 수 있습니다. 또한, 적절한 보안 설정과 조치 방법을 확인할 수 있습니다.
참고
점검 결과를 확인하려면, 먼저 서버에서 보안 설정 점검을 실행해 주십시오. 점검 방법에 대한 자세한 내용은 OS 및 WAS 점검을 참조해 주십시오.
WAS Security Checker 화면
System Security Checker 이용을 위한 WAS Security Checker 메뉴의 기본적인 설명은 다음과 같습니다.
| 영역 | 설명 |
|---|---|
| ① 메뉴명 | 현재 확인 중인 메뉴 이름, 조회 중인 검사 결과 수 |
| ② 기본 기능 | |
| ③ 검색 영역 | 점검 일시를 기준으로 필터링하거나 서버 이름으로 검색하여 점검 결과 조회 |
| ④ Excel | 버튼을 클릭하여 점검 결과를 엑셀 파일로 다운로드 |
| ⑤ 점검 결과 목록 | 조회 중인 WAS 보안 설정 점검 결과 목록 |
점검 결과 확인
서버의 WAS 보안 설정 점검 결과를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Security > System Security Checker 메뉴를 차례대로 클릭해 주십시오.
- WAS Security Checker 메뉴를 클릭해 주십시오.
- 점검 결과를 확인해 주십시오.
- 점검 일시로 결과를 필터링하거나 Server 이름을 입력하여 원하는 결과를 검색할 수 있습니다.
- Region: 서버가 존재하는 리전
- Application: 점검한 WAS 종류
- Pid: 점검한 WAS 프로세스의 ID
- server 이름: 서버 이름, 클릭하여 해당 검사의 상세 결과 및 조치 방법 확인(상세 결과 및 조치 방법 확인 참조)
- InstanceNo: 서버 고유 번호
- 점검 일시: 점검 실행 일시
- 진단 구분: 해당 진단의 최초 진단 또는 재진단 여부 표시
- 재진단으로 표시되는 경우, 해당 진단에 대해서는 과금되지 않습니다. (진단 구분에 대한 자세한 내용은 서비스 소개 페이지 참조)
- OS type: 점검한 서버의 OS 유형
- OS version: 점검한 서버의 OS 버전
- 취약/전체 항목: 점검 결과가 Bad인 점검 항목 수/전체 점검 항목 수
- Critical, Major, Minor: 해당 위험도의 점검 항목 중 점검 결과가 Bad인 항목 수
- Report view: [리포트] 버튼을 클릭하여 해당 검사 결과 전체를 진단 리포트로 확인 및 PDF 파일로 다운로드
상세 결과 및 조치 방법 확인
WAS 보안 설정 점검의 상세 결과와 점검 항목에 대한 설명, 조치 방법을 확인하고 진단 리포트를 다운로드하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Security > System Security Checker 메뉴를 차례대로 클릭해 주십시오.
- WAS Security Checker 메뉴를 클릭해 주십시오.
- 상세 결과를 확인할 점검 서버의 이름을 클릭해 주십시오.
- 상세 결과 및 조치 팝업 창이 나타나면 점검 세부 항목과 결과를 확인해 주십시오.
- 각 점검 항목을 클릭하여 점검 항목에 대한 설명, 권고 설정 및 판단 기준, 조치 방법 확인
- 위험도와 점검결과를 선택하고 [검색] 버튼을 클릭하여 점검 항목 필터링
- [리포트] 버튼을 클릭하여 조회 중인 결과를 진단 리포트로 확인 및 PDF 파일로 다운로드
- [Excel] 버튼을 클릭하여 조회 중인 결과를 엑셀 파일로 다운로드
WAS 보안 설정 점검 항목
점검하는 WAS 종류에 따른 보안 설정 점검 항목을 확인해 주십시오.
참고
점검 항목에 대한 자세한 설명과 권장 설정, 조치 방법은 네이버 클라우드 플랫폼 콘솔의 상세 결과 및 조치 팝업 창에서 확인할 수 있습니다. (상세 결과 및 조치 방법 확인 참조)
Apache 점검 항목
Apache 보안 설정 점검 항목과 그에 대한 설명은 다음과 같습니다.
| Check ID | 점검 항목 | 점검 항목 설명 |
|---|---|---|
| AP-01 | 웹 서비스 영역의 분리 | Apache 설치시 기본적으로 htdocs 디렉터리를 DocumentRoot로 사용합니다. htdocs 디렉터리에는 Apache 관련 문서 및 시스템 관련 정보도 포함하고 있으므로, 외부에 노출되는 것은 바람직하지 않습니다. 기본 설정을 변경하여 서비스 하는 것을 권고합니다. |
| AP-02 | 불필요한 파일 제거 | Sample/Manual 디렉토리 자체에는 취약점이 없으나 불필요하므로 삭제하는 것을 권고합니다. 불필요한 파일을 통해 공격자에게 서비스의 정보를 노출될 위험이 있습니다. |
| AP-03 | 링크 사용금지 | "일부 서버는 심볼릭 링크(Symbolic link)를 이용하여 기존의 웹 문서 이외의 파일시스템 접근이 가능하도록 하고 있습니다. 이러한 방법은 편의성을 제공하는 반면, 일반 사용자들도 시스템 중요 파일에 접근할 수 있게 하는 보안 문제를 유발할 수 있습니다. 예를 들어, 시스템 자체의 root 디렉터리(/)에 링크를 걸게 되면 웹 서버 구동 사용자 권한으로 모든 파일 시스템의 파일에 접근할 수 있게 되어 ""/etc/passwd"" 파일과 같은 민감한 파일이 외부에 노출될 수 있습니다." |
| AP-04 | 파일 업로드 및 다운로드 제한 | 파일 업로드 및 다운로드의 사이즈를 제한하지 않으면, 대량의 업로드/다운로드로 인한 서비스 장애가 발생할 위험이 있습니다. 따라서 파일의 크기를 제한하도록 설정하여야 합니다. |
| AP-05 | 디렉토리 리스팅 제거 | "해당 취약점이 존재할 경우 브라우저를 통해 특정 디렉토리 내 파일 리스트를 노출하여 응용 시스템의 구조가 외부에 노출될 수 있습니다. 민감한 정보가 포함된 설정 파일 등이 노출될 경우 보안상 심각한 위험을 초래할 수 있습니다. 디렉토리 인덱싱이란? 특정 디렉토리에 초기 페이지의 파일(index.html, home.html, default.asp 등)이 존재하지 않을 때, 자동으로 디렉토리 리스트를 출력하는 취약점입니다." |
| AP-06 | 웹 프로세스 권한 제한 | Unix 시스템의 경우, Web 서버 데몬이 root 권한으로 운영될 경우 Web Application의 취약점이나 Buffer Overflow시 공격자가 root 권한을 획득할 수 있습니다. 서버 데몬이 root 권한으로 운영되지 않도록 운영하는 것을 권고합니다. |
| AP-07 | 안정화 버전 및 패치 적용 | 주기적으로 보안 패치를 적용하지 않으면, 알려진 취약점 등으로 서버 침해가 발생할 위험이 높아집니다. 주기적으로 보안이 향상된 버전으로 업데이트 하는 것을 권고합니다. |
Tomcat 점검 항목
Tomcat 보안 설정 점검 항목과 그에 대한 설명은 다음과 같습니다.
| Check ID | 점검 항목 | 점검 항목 설명 |
|---|---|---|
| TO-01 | Default 관리자 계정명 변경 | WAS 설치시 web 관리자 콘솔 계정으로 Default 값인 Tomcat[admin]을 사용하는 경우가 존재합니다. Default 값을 그대로 사용하는 경우 패스워드 유추 공격의 위험에 노출되므로, 타인이 유추하기 불가능한 계정명으로 변경하는 것을 권고합니다. |
| TO-02 | 취약한 패스워드 사용제한 | 관리자 계정의 패스워드를 취약하게 설정하여 사용하는 경우, 비인가 사용자가 패스워드 유추 공격을 시도하여, 관리자 권한을 획득할 수 있는 위험이 있습니다. 관리자 계정의 패스워드를 유추하기 어렵게 설정하는 것을 권고합니다. (영문, 숫자 포함 9자 이상, 동일문자 연속 5회 사용금지) |
| TO-03 | 패스워드 파일 권한 관리 | 관리자 콘솔용 패스워드, 파일, Role 파일의 default 퍼미션이 644(rw-r—r--)로 설정되어 있다면 일반 사용자에게 패스워드가 노출될 수 있습니다. 이 파일 내에는 계정과 패스워드가 평문으로 저장되어 있어서 일반 계정이 읽을 경우, 관리 콘솔용 패스워드가 쉽게 노출될 수 있습니다. |
| TO-04_1 | 홈디렉토리 쓰기 권한 관리 (가) | 가. Default Document Root 권한 확인 일반 사용자가 웹 서버 홈 디렉토리 등의 중요 디렉토리에 쓰기 권한이 있다면, 임의의 파일을 생성하거나 삭제/변조하여 홈페이지 변조, 중요파일 파일 삭제, 백도어 삽입 등의 피해가 발생할 수 있습니다. |
| TO-04_2 | 홈디렉토리 쓰기 권한 관리 (나) | 나. 관리서버 홈 디렉터리 권한 확인 일반 사용자가 웹 서버 홈 디렉토리 등의 중요 디렉토리에 쓰기 권한이 있다면, 임의의 파일을 생성하거나 삭제/변조하여 홈페이지 변조, 중요파일 파일 삭제, 백도어 삽입 등의 피해가 발생할 수 있습니다. |
| TO-04_3 | 홈디렉토리 쓰기 권한 관리 (다) | 다. 웹 소스 홈 디렉터리 권한 확인 일반 사용자가 웹 서버 홈 디렉토리 등의 중요 디렉토리에 쓰기 권한이 있다면, 임의의 파일을 생성하거나 삭제/변조하여 홈페이지 변조, 중요파일 파일 삭제, 백도어 삽입 등의 피해가 발생할 수 있습니다. |
| TO-04_4 | 홈디렉토리 쓰기 권한 관리 (라) | 라. server.xml 파일 설정 확인 일반 사용자가 웹 서버 홈 디렉토리 등의 중요 디렉토리에 쓰기 권한이 있다면, 임의의 파일을 생성하거나 삭제/변조하여 홈페이지 변조, 중요파일 파일 삭제, 백도어 삽입 등의 피해가 발생할 수 있습니다. |
| TO-05_1 | 환경설정 파일 권한 관리 (가) | 가. 환경설정 파일 권한 확인 일반 사용자가 웹 사이트 소스파일을 삭제, 변경할 수 있으면, 홈페이지 변조,작업 실수로 인한 파일 삭제, 백도어 삽입 등의 피해가 발생할 수 있습니다. 이로 인해 시스템이 오작동하여 사용 불능 상태에 빠질 위험이 있습니다. |
| TO-05_2 | 환경설정 파일 권한 관리 (나) | 나. Default 소스파일 권한 확인 일반 사용자가 웹 사이트 소스파일을 삭제, 변경할 수 있으면, 홈페이지 변조,작업 실수로 인한 파일 삭제, 백도어 삽입 등의 피해가 발생할 수 있습니다. 이로 인해 시스템이 오작동하여 사용 불능 상태에 빠질 위험이 있습니다. |
| TO-06 | 디렉토리 리스팅 설정 제한 | 디렉토리 검색 기능(Directory Indexing)이 설정되어 있는 경우, Web 서버 구조 노출 및 설치 파일의 유출 가능성이 있습니다. |
| TO-07 | 에러 메시지 관리 | 공격자가 대상 시스템의 정보를 획득하기 위해 고의적으로 다양한 에러를 유발하여 돌아오는 에러메시지를 통해 웹 프로그램의 구조 및 환경 설정을 추정할 수 있습니다. |
| TO-08 | 로그 파일 주기적 백업 | 침해사고 등의 이슈발생시 원인을 파악하기 위해서는 서버에서 발생하는 각종 이벤트들을 주기적으로 백업해 두어야 합니다. 공격자들은 자신의 행위를 감추기 위해서 로그 파일들을 삭제/변조하기도 하므로, 원격지에 주기적으로 백업하는 것을 권장합니다. |
| TO-09 | 최신 패치 적용 | 주기적으로 보안 패치를 적용하지 않으면, 알려진 취약점 등으로 서버 침해가 발생할 위험이 높아집니다. 주기적으로 보안이 향상된 버전으로 업데이트 하는 것을 권고합니다. |
Nginx 점검 항목
Nginx 보안 설정 점검 항목과 그에 대한 설명은 다음과 같습니다.
| Check ID | 점검 항목 | 점검 항목 설명 |
|---|---|---|
| NG-01 | 웹 서비스 영역의 분리 | Nginx 서비스를 위한 root 디렉토리를 변경하여 사용하는 것을 권고합니다. |
| NG-02 | 불필요한 파일 제거 | Sample/Manual 디렉토리 자체에는 취약점이 없으나 불필요하므로 삭제하는 것을 권고합니다. 불필요한 파일을 통해 공격자에게 서비스의 정보를 노출될 위험이 있습니다. |
| NG-03 | 링크 사용금지 | 일부 서버는 심볼릭 링크(Symbolic link)를 이용하여 기존의 웹 문서 이외의 파일시스템 접근이 가능하도록 하고 있습니다. 이러한 방법은 편의성을 제공하는 반면, 일반 사용자들도 시스템 중요 파일에 접근할 수 있게 하는 보안 문제를 유발할 수 있습니다. 예를 들어, 시스템 자체의 root 디렉터리(/)에 링크를 걸게 되면 웹 서버 구동 사용자 권한으로 모든 파일 시스템의 파일에 접근할 수 있게 되어 "/etc/passwd" 파일과 같은 민감한 파일이 외부에 노출될 수 있습니다. |
| NG-04 | 파일 업로드 및 다운로드 제한 | 파일 업로드 및 다운로드의 사이즈를 제한하지 않으면, 대량의 업로드/다운로드로 인한 서비스 장애가 발생할 위험이 있습니다. 따라서 파일의 크기를 제한하도록 설정하여야 합니다. |
| NG-05 | 디렉토리 리스팅 제거 | 해당 취약점이 존재할 경우 브라우저를 통해 특정 디렉토리 내 파일 리스트를 노출하여 응용 시스템의 구조가 외부에 노출될 수 있습니다. 민감한 정보가 포함된 설정 파일 등이 노출될 경우 보안상 심각한 위험을 초래할 수 있습니다. 디렉토리 인덱싱이란? 특정 디렉토리에 초기 페이지의 파일(index.html, home.html, default.asp 등)이 존재하지 않을 때, 자동으로 디렉토리 리스트를 출력하는 취약점입니다. |
| NG-06 | 웹 프로세스 권한 제한 | Unix 시스템의 경우, Web 서버 데몬이 root 권한으로 운영될 경우 Web Application의 취약점이나 Buffer Overflow시 공격자가 root 권한을 획득할 수 있습니다. 서버 데몬이 root 권한으로 운영되지 않도록 운영하는 것을 권고합니다. |
| NG-07 | 안정화 버전 및 패치 적용 | 주기적으로 보안 패치를 적용하지 않으면, 알려진 취약점 등으로 서버 침해가 발생할 위험이 높아집니다. 주기적으로 보안이 향상된 버전으로 업데이트 하는 것을 권고합니다. |
이 문서가 도움이 되었습니까?