스티밋(steemit) 웹 사이트의 보안성
안녕하세요.
사실 컴퓨터가 생기고 나서 가장 오래되고 활발한 분야는 컴퓨터 게임이나 모바일 애플리케이션이 아닌 웹사이트입니다.
1989년 월드 와이드 웹(WWW)에 탄생 이후 지금 이 순간까지 엄청난 양의 웹사이트가 만들어지는 거와 같이 수많은 웹 해킹 취약점도 자연스럽게 만들어집니다.
실제로 현대 사회에 큰 문제 중 하나인 랜섬웨어는 대부분 취약한 웹사이트를 접속하는 행위만으로 감염됩니다. 웹사이트의 악의적인 코드가 실행되게 만들어 놓고 접속을 유도하죠.
그렇다면 스티밋 웹사이트의 보안성은 어떨까요?
저는 크게 세 가지로 웹사이트의 보안성을 평가해 봤습니다.
1. HTTPS
공격자가 중간에서 통신을 훔쳐봐도 데이터가 모두 암호화되기 때문에 해석할 수도 변경하지도 못하게 됩니다.
이 외에도 외부의 비정상적인 파일의 유입을 차단하여 해커를 더욱더 힘들게 하는 다양한 보안 기능을 제공합니다.
사실 이거는 현재 웹 사이트들의 가장 기본적인 보안에 대한 태도입니다.
스티밋은 모든 서브도메인까지 HTTPS를 강요하듯이 보안을 준수하고 있습니다.
만약 개인정보를 이용하는 사이트 특히 거래소에서 HTTPS을 사용하지 않는 웹사이트가 있다면 이용하지 않는걸 추천드립니다.
2. HTTP HEADER
솔직히 저는 국내 웹사이트 중 스티밋처럼 이렇게 신경을 많이 쓴 곳을 본 적이 없습니다.
Strict-Transport-Security:max-age=31557600; includeSubDomains; preload
X-Content-Type-Options:nosniff
X-DNS-Prefetch-Control:off
X-Download-Options:noopen
X-Frame-Options:SAMEORIGIN
X-XSS-Protection:1; mode=block
스티밋의 선언된 헤더 정보를 하나하나 보안 측면에서 살펴보면 다음과 같습니다.
- Strict-Transport-Security : HTTP 사용금지
- X-Content-Type-Options : 타입에 대한 Sniff 지원 안 함
- X-Download-Options : 파일 다운로드 시 실행이 아닌 저장 및 취소 지원
- X-Frame-Options : 외부 사이트에서 프레임을 지원하지 않음
- X-XSS-Protection : Cross Site Script(XSS) 보안 사용
위에 요소들이 있고 없고는 정말 천지차이입니다.
예를 들어 랜섬웨어 감염의 주된 원인이 되는 Cross Site Script(XSS) 취약점은 공격 포인트만 찾으면 누구나 쉽게 악의적인 코드의 삽입이 가능합니다.
하지만 만약 위에 헤더 정보들을 선언해주면 제일 중요한 공격 포인트를 찾아도 악의적인 코드를 삽입할 수가 없습니다.
왜냐면 일단 XSS-Protection으로 인해서 공격 포인트에 악의적인 코드를 삽입하려고 하면 백신이 바이러스를 잡듯이 바로 탐지가 돼버립니다. (크롬 XSS-Protection도 최근에 업데이트 후 좋아졌습니다.)
또한 HTTPS 사용으로 인해 외부 리소스 사용에 제약이 걸려서 최근 공격에 사용됐던 link 태그, swf 파일을 이용한 취약점 공격도 방지되고
X-Frame-Options으로 인해서 해커 서버에서 IFrame 태그를 사용하여 타사이트에 프레임을 만드는 방식의 공격도 보안이 되고 X-Content-Type-Options을 통해서 MINE Sniffing 취약점이 보호되는거 같이 알게 모르게 수많은 취약점 공격으로 부터 보호됩니다.
3. 모의 해킹
네E버 같은 일부 커뮤니티에는 조금은 심하다 싶을 정도에 많은 기능을 제공합니다.
덕분에 수많은 개발자가 웹을 작성하게 되고 그중 일부는 불가피하게 취약점을 남깁니다.
하지만 스티밋은 정리 정돈된 구성에 마크다운 스타일을 통한 포스팅 기능, URL 구조, CSRF 토큰 사용 등 베타버전인데도 깔끔하고 안전한 구성으로 공격 벡터가 한정적이고 모두 안전했습니다.
타 사이트에서 사용하지 않는 랜덤한 긴 패스워드 사용으로 인한 안전성까지 생각하면 대단하다는 생각이 듭니다.
결론
제가 내린 결론은 "스티밋은 이미 넘치게 보안에 신경을 쓰고 있다" 입니다.
갑자기 모든 서버의 치명적인 취약점이 공개되거나 예상치 못한 곳에서 해킹사고가 발생했을 때 중요한 건 얼마나 빠르게 대처 하는가라고 생각합니다.
그러기에 웹 관리자의 보안의식이 매우 중요한데 그런면에서 스티밋은 걱정하지 않으셔도 될 거 같습니다.
글을 쓰다보니 벌써 해가 하늘을 비추는 이른 새벽이네요.
시간이 일러서 몇 분이나 보실진 모르겠지만
긴 글 읽어주셔서 감사합니다.
많이 배우고 갑니다. 감사합니다
댓글 감사합니다.
좋은 내용 너무 잘 읽었습니다
포스트 잘 보고 있습니다.
감사합니다.
제 6대의 컴퓨터중 한 대가 감염되어서 어제 포맷했네요
ㅠㅠ 랜섬웨어는 단순히 XSS 취약점 같고 발생하는게 아닌 브라우저 취약점을 동반해서 발생합니다.
구 버전 브라우저 일수록 공개된 취약점이 많아서 쉽게 랜섬웨어에 걸릴 수 있습니다.
늘 크롬 혹은 인터넷 익스플로어의 브라우저 버전을 최신으로 유지해주세요.
스팀의 보안성 테스트 내용 잘 보았습니다.
감사합니다.
ksgeemit님 글 읽으니 뭔가 안심이 되네요^^좋은 글 감사합니다.
안심되셨다니 다행입니다.
좋은 글인거 같아 팔로루 및 보팅하고 갑니다....
흠...요즘..가상코인? , 화폐 같은 것들이....보안에 위험할수(취약)도 있다는 소릴 들은적이 있는데...쩝..;;
이 포스팅을보고, 조금은 안심이 듭니다...^^
즐건 주말 되세요~
가상화폐의 핵심 알고리즘인 블록체인 기법은 이미 구조적 안정성이 보장됐습니다. (덕분에 비트코인이 지금까지 성장할 수 있었고 다른 가상화폐가 나올 수 있었죠)
물론 레이스컨디션 및 기타 취약한 부분이 있기는 하지만 현재로서 그렇게 큰 문제는 아니라 생각됩니다.
지금 제일 큰 문제는 거래소 웹 사이트 자체에 해킹입니다.
사용자의 웹 계정을 탈취해서 해커 계정으로 코인 송금을 하게 하는거지요.
국내 사이트에는 코빗이 보안의 가장 신경을 쓰고 있다고 생각합니다.
안전한 사이트 이용이 가장 중요한 시점입니다.
아...; 해킹...;; 쩝... 아무튼 아주 나뿐 놈들이네요..;; 해커놈들...
자세한 답변 감사 드립니다..^^
스팀잇도 초반에 해킹을 한번 당했던 적이 있지요. 아마 XSS 문제였던 것 같고 제가 피해자입니다 ㅠㅠ 이후 많이 신경쓰는 것 같은데, 혹시나 모를 약점에 대해 눈 부릅뜨고 감시해주세요 ^^
말씀하신 거처럼 img 업로드 기능을 공격포인트로 사용한 XSS 해킹이었다고 하네요.
(https://www.ddengle.com/trading/1316039)
왠지 저 정도로 신경을 쓰긴 어려웠을텐데 한 번의 불미스러운 사고가 있었기 때문이었네요.
현재 구조로서는 XSS 취약점이 재발하고 계정을 탈취할 가능성은 매우 적으니 안심하세요. ㅎㅎ
좋은 내용 잘 읽고갑니다. 앞으로도 꾸준한 포스팅 바라며 업보트&팔로우 드리고 가겠습니다 ㅎㅎ
맞팔라우 하겠습니다. 감사합니다. ㅎㅎ
감사합니다.
감사합니다.~
좋은 내용 감사합니다 ^^ 보안을 공부 하고 있는 사람 입장으로 많이 공감 가는 글이였습니다. 덧붙여 저도 이것저것 확인 해보고 싶은게 많이 있네요 ^^
같이 공유 했으면 좋겠습니다.
저도 그랬으면 좋겠네요 팔로우 감사합니다. ㅎㅎ