📄 2025.12.23 (Day 41) - 웹 해커의 도구 및 SNS 보안 위협
1. 핵심 개념 정리
웹 브라우저 개발자 도구
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 1 | Chrome DevTools | 구글 크롬의 개발자 도구로 웹 페이지 분석 및 데이터 수정 가능 | 취약점 분석 시 클라이언트 사이드 검증 우회에 활용, F12 또는 Ctrl+Shift+I로 실행 |
| 2 | Edge DevTools | 마이크로소프트 엣지의 개발자 도구, IE 대체 브라우저 | 페이지 레이아웃, CSS, HTML 코드 검토 및 쿠키 값 조작에 유용 |
| 3 | Firefox DevTools | 파이어폭스의 개발자 도구, 요소 검사 및 소스 수정 | 실시간 DOM 조작 및 네트워크 트래픽 분석, 한글 폰트 설정 필요 시 대응 |
| 4 | Element Inspector | 특정 웹 페이지 영역 선택 시 해당 HTML/CSS 코드 표시 | 클라이언트 사이드 데이터 변조 공격 테스트, hidden 필드 값 수정 |
| 5 | 데이터 수정 기능 | 브라우저에서 직접 HTML 요소 및 속성값 변경 | 가격 정보, 권한 체크 등 클라이언트 검증 로직의 취약점 발견 |
Burp Suite 프록시 도구
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 6 | Web Application Proxy | 브라우저와 서버 사이의 HTTP/HTTPS 트래픽 중간 가로채기 | 모든 요청/응답 패킷 분석 및 조작, 침투 테스트의 핵심 도구 |
| 7 | Target 기능 | 탐색한 사이트의 구조 및 정보 시각화 | 웹 애플리케이션의 디렉터리 구조 파악, 공격 표면 분석 |
| 8 | Intruder 기능 | 변숫값 자동 생성 및 반복 요청으로 취약점 탐색 | Brute Force, Fuzzing 공격 시뮬레이션, Payload 설정을 통한 자동화 테스트 |
| 9 | Repeater 기능 | 특정 요청을 반복 전송하며 응답 확인 | 수동 취약점 검증, 파라미터 조작 후 서버 반응 분석 |
| 10 | Intercept 기능 | 실시간 트래픽 가로채기 및 수정 | Request/Response 실시간 변조, 인증 우회 테스트 |
웹 취약점 스캐너
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 11 | Nikto | 2001년 출시된 데이터베이스 기반 웹 서버 취약점 스캐너 | 알려진 취약점 패턴 매칭, 빠른 스캔이지만 오탐 가능성 존재 |
| 12 | Acunetix | 상용 휴리스틱 웹 취약점 스캐너, 2005년 출시 | 크롤링 및 자동 취약점 탐지, 상세한 보고서 생성 기능 |
| 13 | Sqlmap | SQL Injection 자동화 도구, 오픈소스 | 자동 데이터베이스 덤프, Blind SQLi 지원, 침투 테스트 필수 도구 |
| 14 | Absinthe | 0x90 그룹의 SQL Injection 전용 툴 | GUI 기반 SQLi 공격, 다양한 DBMS 지원 |
| 15 | AppScan | IBM의 웹 애플리케이션 취약점 스캐너 (구 Watchfire) | 엔터프라이즈급 스캔 도구, CI/CD 통합 가능 |
SNS 보안 위협
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 16 | 웹 2.0 환경 | 사용자 참여형 양방향 정보 공유 플랫폼 | 개방·참여·공유 특성으로 인한 정보 유출 위험 증가, 공격 표면 확대 |
| 17 | 악성 소프트웨어 | SNS를 통해 전파되는 Malware (Koobface 등) | 전통적 OS 취약점 공격에서 SNS 경로 전파로 진화, 확산력 극대화 |
| 18 | 피싱 (Phishing) | 가짜 사이트로 유도하여 개인정보 탈취 | SNS 메시지/링크를 통한 피싱 공격 증가, URL 확인 필수 |
| 19 | 이블 트윈 어택 | 타인 명의로 가짜 계정 생성하여 사칭 | 명예 훼손, 주가 조작 등 악의적 목적 가능, 시스템적 차단 불가 |
| 20 | 신원 도용 | 허가 없이 타인의 신원 정보 사용한 사기 | SNS 정보 수집으로 인증 우회 용이, 개인정보침해신고센터(118) 신고 |
2. 실습 내용 정리
실습 1: Chrome 개발자 도구를 이용한 웹 페이지 분석
목표: 웹 페이지의 HTML 요소를 검사하고 실시간으로 데이터를 수정하여 클라이언트 사이드 검증의 한계 이해
실습 환경:
- Google Chrome 브라우저
- 한빛출판네트워크 웹사이트 (hanbit.co.kr)
- 개발자 도구 (F12 또는 Ctrl+Shift+I)
실습 단계:
- Chrome 브라우저에서 한빛출판네트워크 접속
- 개발자 도구 실행: [설정] - [도구 더보기] - [개발자 도구] 또는 F12
- Element Inspector 활성화: 개발자 도구 좌측 상단 Select an element 아이콘 클릭
- 웹 페이지 특정 영역 선택 (수정하고자 하는 텍스트나 이미지 영역 클릭)
- HTML 코드 실시간 수정: Elements 탭에서 텍스트 더블클릭하여 내용 변경
분석 포인트:
- HTML 구조 및 CSS 스타일 분석
- 클라이언트 사이드에서 수정 가능한 데이터 식별
- hidden 필드, disabled 속성 등 제약 조건 확인
- JavaScript 이벤트 핸들러 및 검증 로직 파악
보안 인사이트:
- 클라이언트 사이드 검증만으로는 보안 확보 불가능
- 중요한 비즈니스 로직은 반드시 서버 사이드에서 재검증 필요
- 가격, 수량, 권한 등 민감한 데이터는 클라이언트에서 조작 가능
실습 2: Burp Suite의 Target 기능으로 웹 사이트 구조 분석
목표: Burp Suite를 통해 웹 애플리케이션의 디렉터리 구조와 파일 목록을 시각화하고 공격 표면 파악
실습 환경:
- Burp Suite Community Edition
- 웹 브라우저 (프록시 설정)
- 한빛출판네트워크 웹사이트
실습 단계:
- Burp Suite 실행 및 프록시 설정: [Proxy] 탭에서 Intercept is on 확인
- 브라우저 프록시 설정: 브라우저 설정 => 프록시 localhost:8080
- 웹 사이트 탐색: 홈, 도서, 이벤트 등 다양한 메뉴 클릭
- Intercept 비활성화: [Proxy] 탭 => Intercept is on 클릭 => off로 전환
- [Target] 탭 => Site map => 도메인 확장하여 디렉터리 구조 확인
분석 포인트:
- 디렉터리 계층 구조 (academy, brand, channel, event 등)
- 파일 확장자별 분류 (html, js, css, 이미지 등)
- 파라미터 전달 방식 (GET/POST)
- 쿠키 및 세션 관리 방식
방어 방법:
- Rate Limiting 구현 (요청 빈도 제한)
- 디렉터리 리스팅 비활성화
- 민감한 파일/디렉터리 접근 제어
실습 3: Burp Suite Intruder로 자동화 공격 시뮬레이션
목표: 변숫값을 자동으로 증가시키며 여러 페이지를 탐색하는 Fuzzing 공격 수행
실습 단계:
- [Target] 탭에서 공격 대상 선택 (이벤트 페이지 hbe_idx=96) => 우클릭 => Send to Intruder
- [Intruder] => [Positions] 탭에서 hbe_idx 파라미터 값이 페이로드 포지션으로 자동 지정됨
- Attack type: Sniper (단일 변수 공격)
- [Payloads] 탭 => Payload type: Numbers 선택
- From: 96, To: 105, Step: 1
- Start attack 버튼 클릭
- 결과 분석: Status 200 => 페이지 존재, Status 404/500 => 없음, Length 차이로 컨텐츠 유무 판단
Intruder 공격 타입:
- Sniper: 단일 변수 순차 공격
- Battering ram: 모든 포지션에 동일 값 대입
- Pitchfork: 각 포지션마다 다른 페이로드 세트 매칭
- Cluster bomb: 모든 조합 테스트
발견 가능한 취약점:
- 권한 없는 리소스 접근 (IDOR)
- 숨겨진 페이지나 관리자 페이지 노출
- 예측 가능한 세션 ID 패턴
- 순차적 ID 기반의 정보 열람
방어 방법:
- CAPTCHA 또는 Rate Limiting 적용
- 세션 기반 접근 제어 및 권한 검증
- UUID 등 예측 불가능한 식별자 사용
실습 4: Burp Suite Repeater로 수동 취약점 검증
목표: 특정 요청을 반복 전송하며 파라미터를 수동으로 조작하여 서버 응답 분석
실습 단계:
- [Target] 탭에서 특정 페이지 우클릭 => Send to Repeater
- [Repeater] 탭으로 이동: Request 창에 HTTP 요청 내용 표시
- 파라미터 수동 수정: GET 파라미터 또는 POST 데이터 직접 수정 (hbe_idx=96 => hbe_idx=97)
- Send 버튼 클릭 => Response 창에서 HTTP 상태 코드, 헤더, 본문 확인
- 다양한 입력값 테스트:
- SQL Injection 패턴: ’ OR ‘1’=‘1
- XSS 패턴: script 태그 삽입
- Path Traversal: ../../etc/passwd
Repeater 활용 시나리오:
- 파라미터 타입 변경 (숫자 => 문자열)
- 특수문자 삽입 (’, “, <, > 등)
- 범위 초과 값 입력 (음수, 매우 큰 수)
- NULL 또는 빈 값 전송
실습 5: Acunetix를 이용한 자동 웹 취약점 스캔
목표: 상용 웹 취약점 스캐너를 사용하여 종합적인 보안 진단 수행 및 보고서 생성
실습 환경:
- Acunetix Trial/Demo Version
- 테스트 대상: testasp.vulnweb.com (취약점 테스트용 공개 사이트)
실습 단계:
- Acunetix 설치: 다운로드 파일 실행 => 관리자 계정 생성 (이메일, 패스워드)
- 타겟 추가: Create New Target => Address: testasp.vulnweb.com => Add Target
- 스캔 설정: [Advanced] 탭 => Technologies에서 ASP, ASP.NET 체크 => Save
- 스캔 실행: Scan 클릭 => 진행률 및 중간 결과 실시간 확인
- 취약점 분석: [Vulnerabilities] 탭 => Threat Level (High/Medium/Low)별 분류
발견된 주요 취약점:
- Blind SQL Injection: time-based 기법으로 데이터베이스 존재 확인
- Directory traversal: 상위 디렉터리 접근 가능, 파일 노출 위험
- CSRF 미보호: 토큰 없이 폼 제출 가능, 강제 요청 공격 가능
- 평문 전송: HTTPS 미사용 시 자격증명 스니핑 위험
- HTML form without CSRF protection
- User credentials sent in clear text
- ASP.NET version disclosure
- Clickjacking: X-Frame-Options header missing
보고서 생성 방법:
- [Reports] 탭 클릭
- 보고서 템플릿 선택
- Affected Items: 발견된 취약점 목록
- Developer: 개발자용 상세 기술 정보
- Executive Summary: 경영진용 요약
- Compliance: 규제 준수 관점
- Generate Report => Download (PDF 형식)
실습 6: SNS 개인정보 설정 점검 (페이스북)
목표: SNS 플랫폼의 개인정보 공개 범위를 확인하고 적절히 설정하여 정보 유출 방지
점검 체크리스트:
- 기본 게시물 공개 범위: 친구
- 이메일 주소 공개: 나만 보기
- 전화번호 공개: 나만 보기
- 생년월일 공개: 친구 (또는 숨김)
- 친구 목록 공개: 나만 보기
- 검색 엔진 연결: 비활성화
- 태그 사전 검토: 활성화
- 위치 정보 공유: 비활성화
실습 7: 이블 트윈 어택 이해 (교육 목적)
목표: SNS에서 동일한 이름의 가짜 계정이 얼마나 쉽게 만들어질 수 있는지 이해
이블 트윈 방지책:
- 친구 요청 시 프로필 정보 꼼꼼히 확인
- 공통 친구가 있어도 의심스러우면 직접 확인
- 중복 계정 발견 시 즉시 신고
- 본인 이름으로 정기적 검색 수행
실제 피해 사례:
- 유명인 사칭 계정으로 팬 금전 사기
- 경영진 이름 도용하여 내부 정보 요청
- 정치인 가짜 계정으로 허위 정보 유포
- 주가 조작 목적의 기업 임원 사칭
3. 도구 비교 분석
웹 프록시 도구 비교
| 항목 | Burp Suite | OWASP ZAP | Fiddler | 사용 시기/적용 방안 |
|---|---|---|---|---|
| 라이선스 | Community(무료) / Pro(유료) | 완전 무료 오픈소스 | 무료 (Windows 중심) | 기능 vs 비용 고려하여 선택 |
| UI/UX | 직관적, 학습 곡선 완만 | 기능 많으나 복잡 | Windows 친화적 | Burp Suite가 초보자에게 적합 |
| 자동화 기능 | Intruder, Scanner(Pro) | Automated Scan 내장 | 스크립트 확장 가능 | ZAP은 무료 스캐너 포함 |
| 확장성 | BApp Store (플러그인) | Marketplace | Extensions | 모두 확장 가능, 커뮤니티 활성화 |
웹 취약점 스캐너 비교
| 항목 | Acunetix | Burp Suite Pro | OWASP ZAP | 사용 시기/적용 방안 |
|---|---|---|---|---|
| 스캔 방식 | 자동 크롤링 + 휴리스틱 | 수동 + 반자동 스캔 | 자동 스파이더 + 스캔 | 대규모 사이트는 Acunetix, 정밀 분석은 Burp |
| 속도 | 빠름 (병렬 처리) | 보통 (정확도 우선) | 빠름 | 시간 제약 시 Acunetix/ZAP 선호 |
| 정확도 | 높음 (낮은 오탐률) | 매우 높음 (수동 검증) | 보통 (오탐 존재) | 최종 검증은 수동 확인 필수 |
| 보고서 | 다양한 템플릿 제공 | 커스터마이징 가능 | 기본 보고서 제공 | 경영진 보고는 Acunetix 유리 |
SQL Injection 전문 도구 비교
| 항목 | Sqlmap | Absinthe | 사용 시기/적용 방안 |
|---|---|---|---|
| 인터페이스 | CLI (명령줄) | GUI (그래픽) | CLI 익숙하면 Sqlmap, 초보자는 GUI 도구 |
| 기능 | 매우 강력, 다양한 기법 | 기본적 SQLi | 전문적 침투 테스트는 Sqlmap |
| 지원 DBMS | MySQL, MSSQL, Oracle 등 다수 | 주요 DBMS 지원 | 다양한 환경 테스트는 Sqlmap |
| 업데이트 | 활발 (오픈소스) | 중단 | Sqlmap이 현재 사실상 표준 |
4. 심화 분석
Burp Suite 공격 타입 상세 분석
| 구분 | Sniper | Battering Ram | Pitchfork | Cluster Bomb | 분석/인사이트 |
|---|---|---|---|---|---|
| 변수 개수 | 1개 | 1개 이상 | 1개 이상 (동일 개수) | 1개 이상 | 공격 복잡도에 따라 선택 |
| 페이로드 세트 | 1개 | 1개 | 각 변수마다 1개 | 각 변수마다 1개 | Pitchfork는 매칭, Cluster는 조합 |
| 요청 횟수 | N | N | N | N1 × N2 × … | Cluster Bomb은 요청 수 급증 |
| 사용 예시 | ID 순차 증가 테스트 | 모든 필드에 동일 값 | ID/PW 리스트 매칭 | 모든 ID/PW 조합 시도 | Brute Force는 Cluster Bomb |
악성 소프트웨어 종류별 특징 분석
| 악성코드 유형 | 주요 특징 | 전파 경로 | 피해 양상 | SOC 탐지 포인트 |
|---|---|---|---|---|
| Crimeware | 불법 행동(해킹) 수행 | 이메일, 악성 링크 | 금융 정보 탈취 | 비정상 네트워크 연결, C&C 통신 |
| Spyware | 정보 수집 및 감시 | 번들 소프트웨어 | 키로깅, 스크린샷 | 의심스러운 프로세스, 외부 전송 트래픽 |
| Ransomware | 파일 암호화 및 금전 요구 | SNS, 이메일 첨부 | 데이터 손실, 업무 중단 | 대량 파일 변경, 특정 확장자 생성 |
| Browser Hijacker | 브라우저 설정 변조 | 악성 확장 프로그램 | 광고 노출, 피싱 사이트 유도 | 홈페이지 변경, 비정상 DNS 쿼리 |
피싱 공격 흐름 분석
피싱 공격은 크게 4단계로 진행된다:
- 미끼 메시지 작성: 긴급 보안 경고, 계정 정지 위협 등 심리적 압박 문구 활용. 실제 서비스명과 유사한 도메인 (faceb00k, facebok 등) 사용
- 가짜 로그인 페이지 생성: 진짜 사이트와 거의 동일한 디자인으로 위장. HTTPS 인증서도 무료로 발급 가능 (Let’s Encrypt)하여 자물쇠 아이콘만으로 신뢰 불가
- 정보 탈취: 입력된 이메일/패스워드, IP 주소, User-Agent 등 수집
- 정상 사이트로 리다이렉트: 사용자는 로그인 실패 정도로 인식 => 공격자는 자격증명 획득 완료
피싱 탐지 방법:
- URL 철자 확인 (페이스북 => faceb00k 등)
- HTTPS 인증서 발급자 확인 (신뢰할 수 있는 CA인지)
- 로그인 전 주소창 재확인
- 이메일 발신자 도메인 검증
SNS 정보 유출 경로:
- 공개 프로필 정보 (이름, 나이, 성별, 거주지, 학력, 직장)
- 게시물 및 댓글 분석 (현재 위치, 일상 패턴, 인간관계)
- 친구 네트워크 분석 (공통 친구를 통한 신뢰 구축)
- 크로스 플랫폼 정보 결합 (페이스북 + 인스타그램 + LinkedIn)
공격자 활용 시나리오:
- 소셜 엔지니어링: 수집한 정보로 신뢰 구축 후 민감 정보 요청
- 스피어 피싱: 개인 맞춤형 피싱 메일 작성
- 패스워드 추측: 생일, 반려동물 이름 등 힌트 획득
- 물리적 침입: 부재 시간, 거주지 파악
5. 실무/보안 적용
SOC 분석가 관점 - 웹 공격 탐지 포인트
| 단계/유형 | 탐지 포인트 | 로그 예시 | 대응 방안 |
|---|---|---|---|
| 스캔 단계 | 짧은 시간 내 다수 URL 접근, 404 에러 대량 발생, 알려진 스캐너 User-Agent | 192.168.1.100이 /admin 접근 시도 404 응답 반복 | IP 기반 Rate Limiting, 스캐너 시그니처 차단, 허니팟 디렉터리 설정 |
| SQLi 시도 | SQL 문법 키워드 탐지, 특수문자 다수 포함, 응답 시간 지연 (Blind SQLi) | id=1’ OR ‘1’=‘1 – 패턴 탐지 | WAF 시그니처 업데이트, 파라미터 화이트리스트, DB 에러 메시지 숨김 |
| 브루트 포스 | 동일 계정 다수 로그인 실패, 순차적 ID/PW 시도, 높은 요청 빈도 | admin 계정 로그인 실패 15회/20회 from 10.0.0.50 | 계정 잠금 정책 적용, CAPTCHA 도입, IP 차단 및 알림 |
웹 방화벽 (WAF) 룰셋
ModSecurity 기반 WAF 방어 규칙 (설명):
- SQL Injection 방어: ARGS에서 union, select, insert, update, delete, drop, create 키워드 탐지 시 403 차단
- XSS 방어: ARGS에서 script 태그 패턴 탐지 시 403 차단
- Path Traversal 방어: ARGS에서 ../ 또는 ..\ 패턴 탐지 시 403 차단
- 알려진 스캐너 차단: User-Agent에서 nikto, nmap, sqlmap, burp 문자열 탐지 시 403 차단
- Rate Limiting: 동일 IP에서 100회 이상 요청 시 429 차단
웹 애플리케이션 보안 체크리스트
입력 검증:
- 모든 사용자 입력을 서버 사이드에서 검증
- 화이트리스트 기반 입력 필터링
- 파일 업로드 시 확장자 및 MIME 타입 검증
- 파일 크기 제한 설정
인증 및 세션 관리:
- 강력한 패스워드 정책 적용
- 세션 ID 예측 불가능하게 생성 (UUID)
- 세션 타임아웃 설정 (15~30분)
- 로그아웃 시 세션 완전 파기
- 2FA(이중 인증) 구현
암호화:
- HTTPS 사용 (TLS 1.2 이상)
- 패스워드 해싱 (bcrypt, PBKDF2)
- 민감 데이터 DB 암호화
- API 키, 시크릿 환경 변수화
6. 배운 점 및 인사이트
새로 알게 된 점
- 웹 브라우저 개발자 도구의 강력함: 단순한 디버깅 도구가 아닌 보안 테스트의 출발점. 클라이언트 사이드 검증만으로는 보안을 담보할 수 없다는 것을 실습으로 확인. 개발자 도구는 모든 사용자가 접근 가능하므로 중요한 로직은 반드시 서버 사이드에서 처리해야 함
- Burp Suite의 다양한 활용 방안: Target으로 사이트 구조 파악, Intruder로 자동화 공격, Repeater로 정밀 분석. 하나의 도구로 정찰부터 취약점 검증까지 전 과정을 커버
- Acunetix의 상용 스캐너 품질: 자동 크롤링, 휴리스틱 분석, 다양한 보고서 템플릿. 기술팀, 경영진, 감사팀 등 대상별 맞춤 보고서 생성 가능. 오탐률이 낮고 재현 방법까지 상세히 제공하여 실무 활용도가 높음
- SNS 보안 위협의 현실성: 웹 2.0 환경에서 이블 트윈 어택은 시스템적 차단이 불가능하며, 사용자 경각심이 유일한 방어책
- 통합적 보안 접근의 필요성: 도구만으로는 부족하며, 개발 보안 + 네트워크 보안 + 사용자 교육이 모두 결합되어야 효과적
이전 학습과의 연결고리
- XSS/CSRF => 브라우저 개발자 도구 활용: 이전에 학습한 XSS와 CSRF 취약점을 개발자 도구로 재현하고 분석 가능
- SQL Injection => Burp Suite/Sqlmap 연계: 수동으로 학습한 SQL Injection을 Burp Suite Repeater로 정밀 테스트하고, Sqlmap으로 자동화
- 소스코드 분석 => 웹 취약점 스캐너 결과 해석: 스캐너 결과를 소스코드 수준에서 검증. Acunetix가 제시한 취약점이 실제로 존재하는지 판단
- 네트워크 보안 => 웹 프록시 트래픽 분석: Wireshark로 학습한 패킷 분석 지식을 HTTP/HTTPS 트래픽에 적용. Burp Suite는 Application Layer 프록시
실무 적용 아이디어
SOC 분석가 관점:
- 웹 공격 시그니처 데이터베이스 구축: Burp Suite로 발견한 공격 패턴을 SIEM 룰로 변환
- 웹 취약점 스캔 결과 상관 분석: Acunetix 스캔 결과와 실제 공격 로그를 매칭하여 우선순위 산정
- SNS 위협 인텔리전스 수집: 기업명, 임원 이름으로 SNS 모니터링 자동화
침투 테스트 관점:
- 모의 해킹 시나리오 개발: Target => Intruder => Repeater 순서로 체계적인 공격 수행
- 취약점 검증 자동화: Sqlmap, Acunetix 등 스캐너 결과를 수동 검증하는 프로세스 정립
7. Quick Reference
Burp Suite 주요 사용법
프록시 설정:
- Proxy: 127.0.0.1 / Port: 8080
- Intercept 토글: Intercept is on/off 버튼 클릭
Request를 다른 도구로 전송:
- 우클릭 => Send to Repeater (Ctrl+R)
- 우클릭 => Send to Intruder (Ctrl+I)
- 우클릭 => Send to Comparer (Ctrl+Shift+C)
Repeater에서 요청 전송: Send 버튼 또는 Ctrl+Space
Intruder 공격 실행: Start attack 버튼
한글 폰트 설정: [User options] => [Display] => HTTP Message Display => Change font => 맑은 고딕, 나눔고딕 등 선택
웹 취약점 스캐너 비교 요약표
| 구분 | 도구명 | 핵심 키워드 | 주요 내용 | 적용 방법 |
|---|---|---|---|---|
| 데이터베이스 기반 | Nikto | 알려진 취약점 스캔 | 2001년 출시, 빠른 스캔, 높은 오탐률 | 초기 정찰 단계, 빠른 취약점 스크리닝 |
| 상용 종합 스캐너 | Acunetix | 휴리스틱 분석, 보고서 | 자동 크롤링, 상세 보고서, 낮은 오탐 | 정기 보안 진단, 경영진 보고 |
| 상용 종합 스캐너 | AppScan | IBM, 엔터프라이즈급 | CI/CD 통합, 대규모 스캔 | 기업 환경, DevSecOps 파이프라인 |
| SQLi 전문 도구 | Sqlmap | 자동화, 다양한 DBMS | Blind SQLi 지원, DB 덤프 | SQL Injection 정밀 검증 |
SNS 보안 점검 체크리스트
페이스북 개인정보 보호:
- 기본 게시물 공개 범위: 친구로 설정
- 이메일 주소 공개: 나만 보기
- 전화번호 공개: 나만 보기
- 생년월일: 연도 숨김 또는 나만 보기
- 친구 목록 공개: 나만 보기
- 태그 사전 검토: 활성화
일반 SNS 보안 수칙:
- 출처 불명 링크 클릭 금지
- 모르는 사람 친구 요청 거부
- 민감 정보 게시 자제 (여행 계획, 주소 등)
- 2단계 인증(2FA) 활성화
- 연동된 앱 권한 정기 검토
- 중복 계정 모니터링 (이블 트윈 확인)
8. 트러블슈팅
| 문제 | 원인 | 해결 방법 |
|---|---|---|
| Burp Suite에서 HTTPS 사이트 접속 불가 | SSL 인증서 미설치 | Burp Suite CA 인증서 다운로드 후 브라우저 인증서 저장소에 신뢰할 수 있는 루트 인증 기관으로 등록 |
| Burp Suite Response에서 한글 깨짐 | 기본 폰트가 한글 미지원 | [User options] => [Display] 탭 => HTTP Message Display => Change font => 맑은 고딕, 나눔고딕 등 한글 폰트 선택 |
| Acunetix 스캔 속도가 너무 느림 | 기본 설정이 보수적 | [Advanced] 탭에서 스캔 속도 조정, Technologies 선택으로 불필요한 테스트 제외, Scan Speed를 Fast로 변경 |
| Intruder 공격 시 모든 요청이 동일한 응답 | 세션 만료 또는 CSRF 토큰 불일치 | [Options] 탭에서 세션 관리 설정, Grep - Extract로 CSRF 토큰 자동 추출하여 각 요청마다 새 토큰 적용 |
| 웹 취약점 스캐너 오탐(False Positive) 많음 | 스캐너 시그니처와 실제 환경 불일치 | 발견된 취약점 수동으로 재검증, Burp Repeater로 정밀 테스트, 소스코드 레벨에서 확인 |
| SNS에서 이블 트윈 계정 발견 | 타인이 본인 이름으로 가짜 계정 생성 | 해당 SNS 플랫폼에 신고, 친구들에게 가짜 계정임을 알림, 본인 계정에 공지 게시, 필요시 법적 조치 검토 |
Today’s Insight:
웹 보안 도구는 단순한 소프트웨어가 아닌 보안 사고방식을 체화하는 학습 도구다. 브라우저 개발자 도구로 클라이언트 검증의 한계를 직접 확인하고, Burp Suite로 HTTP 트래픽의 모든 측면을 분석하며, Acunetix로 자동화 스캔의 효율성을 경험했다. 이러한 도구들은 공격자와 방어자 모두가 사용하며, 차이는 목적과 윤리에 있다. SOC 분석가는 공격자의 도구와 기법을 이해해야만 효과적인 탐지 룰을 작성할 수 있고, 개발자는 이러한 도구로 자신의 코드가 어떻게 공격받을 수 있는지 미리 체험해야 한다.
SNS 보안 위협은 기술적 취약점을 넘어 인간의 심리와 신뢰를 악용하며, 시스템적 방어가 불가능한 영역도 존재한다는 점에서 교육과 경각심이 최후의 방어선임을 깨달았다.