1. 웹의 위협과 취약점
웹은 여러 가지 웹관련 서비스, 구성요소, 다른서비스와의 연계 등을 통해 발생되는 복합적인 보안취약점을 가지고 있다.
특히 웹서버는 패스워드 등을 이용한 인증문제, 사용프로토콜 문제 도메인이름나 IP주소를 통한 접근통제 문제, 사용자/그룹이나 디렉트리 및 파일의 접근문제, 구성파일문제 등에서 살펴보아야 한다.
2. 웹서버 보안 취약점
웹서버 구현상의 취약점, CGI 관련 취약점, 그리고 웹서버 구성상의 취약점으로 구분할
수 있다.웹서버 구현상의 취약점은 공개용 웹서버 또는 상용 웹서버의 구현상의 문제로 인하여 보안취약점이 존재하는 경우다. CGI 관련 취약점은 외부의 사용자에게 호스트의 정보를 보여주는 취약점과 사용자 입력 양식(Form)을 통해서 임의의 명령을 수행할 수 있는 취약점이 존재하는 경우가 있다. 웹서버 구성상의 취약점은 웹서버 구성의 잘못으로
인한 파일 접근 권한 획득, 디렉토리 내용 리스팅, 심볼릭 링크등의 취약점을 유발할 수 있다.
4. 웹서버 보안 관리
4-1. 안전한 네트워크 환경 구축
가. 침입 탐지 시스템과 웹서버
웹서버는 침입차단시스템 앞단에 두는 방법과 침입차단시스템 뒤에 두는 방법이 있다. 외부망과 내부망사이에 완충서브넷인 DMZ을 사용할 경우 침입차단시스템 앞단에 두는 호스트로 운영하여 침입 차단시스템 내부망을 보호할 수 있다.
침입차단시스템 안쪽에 있을 경우에는 웹서버 해킹시 내부망전체가 해킹당할 수 있는 위험지역(일명 "Zone of RISK")에 빠지게 된다.
나. 패킷필터와 웹서버
패킷필터가 외부에서 웹서버로 오는 패킷에 대하여 80이나 8080등 약속된 웹서비스 포트만을 통과시킴으로서 웹서버에 다른 서비스의 접근을 막는다.
4-2. 배스천호스트 구축으로 웹전용서버 준비
웹서비스와 필요하지않은 모든 자원을 제거하여 배스천호스트를 구성한다.
배스천호스트의 구성으로 현재까지 알려진 해당 호스트에대한 내/외부에서의 침입위협으로부터 모두 안전할 수 있도록 하는 것이다.
4-3. 보안기능을 강화한 웹서버 운영
가. 접근제어, 패스워드 인증기능 사용
나. 로그강화
다. 암호화 기능 이용
라. 웹서버의 소요비용 대비 보안기능
마. 철저한 백업
바. 원격관리
사. 침입탐지시 경고기능
아. 각종 보안도구의 설치/운영