게이터, 익스플로러 및 핫자바(hot Java) 등과 같은 웹 브라우저를 사용하여 웹을 항해할 때 여러 가지의 다양한 정보에 관심을 두지만, 이러한 과정에서 자신의 프라이 버시 정보가 노출될 수 있다는 점은 인식하지 못하고 있다. 따라서 웹 브라우저의 사용자들은 웹 브 라우저를 사용할 때 프라이버시 및 보안상의 문제점을 이해하고 있어야 한다. 웹 브라우저의 사용자 들이 주의하여야 할 웹 브라우저 관련 보안 사항은 다음과 같다.
＊ 웹 브라우저는 사용자가 인터넷을 항해한 정보를 가지고 있다. 만약 이러한 내용이 노출된다면 사용 자의 관심 사항이나 인터넷 항해 기록 등에 대한 프라이버시가 노출된다.
＊ 전자우편을 통하여 송수신한 메시지의 모든 내용이 하드 디스크에 저장되므로 이러한 내용이 노출되 었을 경우 메시지의 내용 및 송수신 상대방에 대한 정보가 노출된다.
＊ 모든 웹 브라우저는 자체 내의 캐쉬(cashe)를 사용한다. 이는 사용자가 동일한 웹사이트를 반복적으 로 방문하였을 경우 해당 페이지를 다시 다운로드 하기보다는 캐쉬에 저장되어 있는 내용을 보여 줌 으로써 시간을 절약하기 위한 방법이다. 그러나 침약자가 캐쉬 디렉토리에 접근할 수 있다면 사용자의 관심 사항이나 인터넷 항해 기록 등을 파악할 수 있으며, 또한 악성 코드를 캐쉬에 저장하여 이를 실 행하게 하는 경우 발생할 수 있다.
＊ 외부 프락시(proxy) 서버를 사용할 경우, 내부의 네트워크에서는 사용자가 인터넷의 어느 사이트를 방문하였는지 알 수 없지만 프락시 서버의 운영자는 사용자의 인터넷 항해 기록을 전부 가지고 있기 때문에 사용자의 프라이버시가 노출될 수 있다.
＊ 자바와 자바 스크립트는 웹 페이지에 화려함을 더해 주지만, 그에 따른 보안상의 많은 취약점을 가 지고 있다. 따라서 사용자는 신뢰할 수 있는 웹 사이트를 방문한 경우 제외하고는 자바와 자바 스크 립트 기능의 사용에 주의하여야 한다.
＊ 대부분의 웹 브라우저는 매우 복잡한 기능을 제공하고 있다. 그러나 사용자들은 웹 브라우저가 제공 하는 보안 관련 기능을 이해하거나 사용하는데 그다지 큰 관심을 두지 않는 경우가 많다. 사용자들은 웹 브라우저가 제공하는 보안 기능을 적절히 설정하여 활용함으로써 웹 환경의 보안성을 강화시켜야 한다.
＊ 웹 브라우저가 다운로드 받은 파일을 처리하지 못할 때 외부의 도움 프로그램(helper program)을 이용하여 실행하는 경우가 많다. 그러나 이러한 도움 프로그램도 악성인 것이 많기 때문에 도움 프로 그램의 사용에 주의하여야 한다.
＊ 대다수의 사용자들은 웹 브라우저가 제공하는 팝업(pop-up) 윈도우에 기술된 길고 장황한 설명을 읽지도 않고 무슨 내용인지도 모르면서 응답을 하는 경향이 많은데 이로부터 심각한 보안 침해 공격 이 이루어질 수 있으므로 주의하여야 한다.
▶ 호스트 보안
⇒ 호스트는 웹 서버 프로그램이 수행되는 컴퓨터로써 호스트가 안전한 운영 환경에서 운용되어야만 호 스트 상의 웹 서버 프로그램이 안전하다. 호스트를 안전하게 운용하기 위해서는 다음과 같은 사항을 준수하여야 한다.
＊ 간결성
: 안전한 정보 시스템을 구축하는 데에는 간결성이 매우 중요하다. 웹 서버를 구축할 때 보안에 민 감한 기능은 기타의 시스템과 별도로 구축하여야 한다. 또한 불필요한 기능은 서버에서 모든 제거하 여야 한다. 서버에서 많은 기능을 제공하면 할수록 각 기능의 취약점으로 인한 위험 부담을 감수하 여야 한다. 서버에 로그인 할 수 있는 인원의 수도 최소화하여야 한다. 관리자는 지속적으로 사용자 명단을 검토하여 불필요한 인원의 로그인을 가능한 한 줄이도록 노력하여야 한다.
＊ 슈퍼 사용자의 권한 제한
: 서버가 최소한의 기능만을 수행하도록 하여도 슈퍼 사용자의 권한은 호스트 보안의 기초가 되는 것으로 이의 관리는 매우 중요하다. 따라서 슈퍼 사용자의 권한을 꼭 필요로 하는 사용자 이외에는 어떠한 방법으로도 슈퍼 사용자의 권한을 가질 수 없도록 제한하여야 한다.
＊ 접근 통제
: 웹 서버 프로그램을 안전하게 보호하기 위해서는 호스트에 대한 접근 통제가 매우 중요하다. 따라 서 일반적인 컴퓨터 시스템에 대한 접근 통제와 동일한 수준의 접근 통제가 호스트에 대해서도 동등 하게 적용 되어야 한다.
＊ 책임 추적성의 확보
: 인터넷은 다양한 유형의 컴퓨터가 상호 연결되어 운용된다. 이러한 환경에서 모든 시스템을 정확 하고 완벽하게 통제하기란 매우 힘들다. 따라서 누가 무엇을 사용하여 어떠한 작업을 언제 수행하 였는지에 대한 정확한 정보를 기록해 두어야 한다. 정확하게 통제할 수 없는 경우에도 누구의 책임 인가를 밝힐 수 있는 최소한의 정보는 기록해 두어야 한다.
＊ 시스템 감사
: 호스트의 보안성을 향상시키기 위해서는 정기적으로 시스템 감사를 수행하는 것이 필요하다. 시스 템 감사는 업무 수행의 효율성에 영향을 미칠 수 있기 때문에 보안성을 향상시킬 수 있는 적정한 수준에서 수행되어야 한다. 그러나 호스트 시스템이 자주 변경된다거나 여러 사람이 서버를 관리하 는 경우, 혹은 관리하여야 하는 데이터의 양이 많고 보안 침해의 표적이 되는 서버를 운용하는 경 우에는 보다 빈번하게 시스템 감사를 실시하여야 한다.
＊ 보안의 중요성 공고
: 호스트의 보안 취약점을 여러 사용자에게 알리는 것 역시 호스트 보안에 매우 중요하다. 이는 시 스템의 취약점을 파악하여 시스템을 안전하게 하거나, 혹은 사용자가 신뢰할 수 없는 소프트웨어 를 사용하지 않도록 함으로써 안전한 시스템을 운용할 수 있도록 한다.
＊ 백업 및 복구
: 정보보호에 있어서 가장 중요하면서도 기초가 되는 것이 시스템 및 데이터의 백업이다. 시스템 관 리자와 사용자가 완벽한 보호 체제를 갖추고 있다. 하여도 완벽하게 안전한 시스템은 존재할 수 없 다. 따라서 만약 시스템이 보안 침해 사고를 당하거나 관리가 또는 사용자의 실수로 인하여 데이터 나 시스템에 이상이 생겼다면, 사고가 발생하기 이전의 업무 환경으로 복귀하는 것이 매우 중요하다. 이를 위하여 관리자는 정기적으로 시스템을 백업하여야 하며, 사용자는 업무상 중요한 데이터를 변 경 주기에 따라 수시로 백업해 두어야 한다.