안녕하세요,
서버 보안을 맡고 있는 시스템 모니터입니다.
2015년도에 https://www.fmkorea.com/241301823 에펨코리아 "보안 강화" 프로젝트 관련 공지를 올렸으며, 모두 완료하는데 2년 반이라는 긴 시간이 걸렸지만, 관련 공지에 있던 모든 보안 사항 및 추가적인 보안 사항들이 적용되었습니다.
다음 사항들이 적용되었습니다:
1. 사이트 전체 통신 암호화
악성 또는 감염된 공유기, WIFI 및 네트워크 장비에서 로그인, 회원가입, 회원정보 변경시에 해당 장비에서 아이디나 암호를 가로채는 게 불가능하게 하고, 통신 장비를 이용해서 사용자가 어떤 사이트를 방문하는지 어떤 페이지를 방문하는지 감시가 가능하지 않게 국제 표준인 SSL/HTTPS로 보호 조치
2. 암호 데이터의 암호화 기법 강화
애초부터 암호를 관리자나 제3자가 알 수 없게 md5 단방향 암호화 기법으로 저장되고 있지만,
뉴스에 나온 여러 해킹 사건이 해당 암호화 기법을 사용해서 상당한 비난을 받았음
그 이유는 기술의 발달로 인해 해킹으로 데이터베이스가 유출될 경우, 현재 여러 가지 공격에 해당 암호화 기법이 취약함
그리하여 사전 공격이나 무작위 공격 기법이 어려운 전세계적으로 검증된 최신 CRYPT_BLOWFISH 및 salt 사용 기법으로 내부 암호화 기법을 교체함
신규 사용자는 자동 적용되고, 기존 사용자는 한번 로그아웃하고 다시 로그인하면 관련 부분이 자동 적용됨
3. 회원 가입 인증 이메일 및 비밀번호 복구 이메일의 암호화
과거에는 이메일을 일반 문자열 데이터로 전송했었는데,
이메일 서비스가 암호화를 지원할 경우 앞으로 국제 표준인 TLS/SSL 암호화로 전송되어서 중간에 통신 장비 등에서 이메일 내용을 가로챌 수 없게 됨
4. 회원 아이디/암호 무작위 시도 제한
이미 유출된 회원 자료나 무작위 기법을 이용해서 회원들의 아이디/암호를 탐지하기 위해 다량으로 로그인 시도를 시도하는 경우 자동 차단
5. 로그인/로그아웃 강화
로그인 성공 및 실패 기록 열람 가능하도록 업데이트: "내 정보" -> "로그인 기록"
자동 로그인을 기기별로 관리가 가능하도록 업데이트: "내 정보" -> "자동 로그인 관리"
그 외에 로그아웃 할 경우, 해당 아이디의 모든 일반 로그인 세션을 보안상 삭제 및 로그아웃
6. 네트워크 방화벽 도입
외부에서 기본적으로 내부 서버들에 대한 모두 접속 차단
7. 웹방화벽 도입
XSS, SQL injection 등, 범용적인 해킹 기법으로부터 사이트 보호
8. HTML 고급 필터 적용
HTML 을 허용하는 게시판 사이트들은 각종 태그 공격으로부터 쉽게 취약하지만, 이런 태그 공격에 취약하지 않도록 고난도 고급 필터링 기법들 적용
9. DDoS 공격에 대한 대비
DDoS 공격에 대한 대비책을 가져, 공격 받을 경우 빠르게 사이트 복구
10. 소스코드 관리 시스템 및 서버 자동 배포 기능 도입
해커들이 만약에 소스 코드를 변조를 시도할 경우,
해당 부분이 바로 탐지가 되도록 소스코드 자동 관리 시스템 및 소스 코드 배포 자동화 시스템 구축
11. 서버 설정 최적화
근본적으로 보안 구멍이 있더라도 해킹이 어렵도록 여러 보안 프로그램 설치 및 단계별 보안 제한들을 설정
12. 보안 헤더 추가
Strict-Transport-Security, X-Content-Type-Options, X-XSS-Protection 의 보안 헤더를 추가해서, 브라우저의 보안 처리를 강화시킴
추후 계획:
[2018.07.26] 흔히 상요되는 암호는 사용 못하도록 적용 완료
요약:
1 .에펨코리아 및 사용자 보안을 위해 상당히 노력 중입니다.
2. 암호 저장에 대해 신규 암호화 기법을 적용하려면, 신규 사용자는 자동 적용되고, 기존 사용자는 한번 로그아웃하고 다시 로그인하면 관련 부분이 자동 적용됩니다.
3. 해킹에 취약한 흔히 사용되는 암호를(예를 들어 123456) 사용할 수 없도록 막을 예정이며, 그런 암호를 사용하는 아이디의 암호는 모두 강제 변경하도록 시스템을 개편할 예정입니다완료되었습니다[2018.07.26 추가 업데이트].