회사 쇼핑몰 웹방화벽 구축

구축이라고 하기는 좀 거창한 것 같지만 드디어 회사 쇼핑몰에도 보안 방화벽을 구축했다.

이유는 PHP의 숙명인 인젝션(SQL Injection) 공격 때문인데 실제로 재작년, 회사 쇼핑몰 메인이 하루 아침에 성인사이트 배너로 떡칠이 된 날벼락도 겪어봤었다.

원인을 분석하고 보니 글쓰기 페이지의 파일 업로드 기능 취약점을 이용한 인젝션 공격이었는데 웹이라는 것이 현재도 계속 발전하고 있고 그만큼 해킹 공격 기술도 따라서 다양해지는 터라 달랑 이 프로그램만으로 그 많은 유해 시도 공격을 다 막아내기는 물론 택도 없지만 나중에 이 회사를 퇴사하게 될 경우 후임자로 온 사람이 보안이나 PHP 지식이 없어도 사이트 관리 업무를 맡을 수 있도록 대안책을 마련해둔 것이다. 그만큼 국내 중소 임대형(혹은 설치형) 쇼핑몰들은 보안에 상당히 취약하다는 얘기로 해석된다.

로그인 세션과 Location 페이지에 코드 몇 줄을 더 추가 후 마무리하고 SSL 구동을 잠시 정지시켜놓고 간단한 업로드 공격을 시도해봤는데 다행히 잘 작동되는 것 같다.

※ 2013.03.20 10:06에 작성했던 포스팅을 본 블로그로 옮김