보안 취약점 점검 기준

입사 전까지 펑펑 놀려고 했는데 양심에 찔려서 책을 펼쳐본다...

우리나라는 실무에서 참고하는 종목이 총 3가지 정도인 것 같다

OWASP TOP 10, 국정원 8대 점검항목 및 행정안전부 WEB 보안 취약점 점검 기준 등등...

OWASP TOP 10

은 3년에서 4년마다 웹 어플리케이션 취약점 중 가장 영향력 있고 위협적인 취약점 10개를 선정하여 발표한다. 최신 업데이트 목록은 2018년에 발표되었다. 현재의 OWASP Top 10 은 다음과 같다.

1. Injection
2. Broken Authentication
3. Sensitive Data Exposure
4. XML External Entities (XXE)
5. Broken Access control
6. Security misconfigurations
7. Cross Site Scripting (XSS)
8. Insecure Deserialization
9. Using Components with known vulnerabilities
10. Insufficient logging and monitoring

1. Injection
인젝션은 공격자가 웹 어플리케이션으로 비정상적인 명령어, 쿼리 등을 보내 시스템에 접근할 수 있는 취약점이다. 공격자는 개발자의 의도와는 다른 접근으로 시스템의 데이터를 변조, 수정, 유출하는 악의적인 행동을 할 수 있다. 대표적으로 우리가 흔히 아는 SQL Injection 이 있다. Injection 취약점은 오래전부터 위협적인 취약점으로 알려져 많은 대응 방안이 나왔지만 여전히 이 취약점으로 인한 피해 사례가 발생하고 있다. 그 이유는 계속해서 새로운 Injection 기법이 나오기 때문도 있지만, 기존의 대응 방안을 제대로 수행하지 않고 있다는 점도 있다.

2. Broken Authentication (취약한 인증)
인증 및 세션 관리와 관련된 웹 어플리케이션의 기능이 잘못 구현되어 공격자가 암호, 키 또는 세션 토큰을 위험에 노출시키거나 일시적 또는 영구적으로 다른 사용자의 권한 획득을 위해 악용하도록 허용할 수 있는 취약점이다. 취약한 인증은 웹에서 매우 일반적으로 발견할 수 있으며 여려 유형이 존재한다. 예를 들어, brute force 공격이 허용된다거나, 약한 암호화를 사용하고 있다거나, 세션 ID 를 제대로 관리하지 않는다거나 등이 있다. 
 
3. Sensitive Data Exposure (민감한 데이터 노출)
개인 식별 정보나 신용 정보가 대표적인 민감 데이터라고 할 수 있다. 웹 어플리케이션마다 중요한 민감 데이터를 취급하고 있을 것이며 이를 올바르게 보호하지 않는다면 공격자에게 노출될 수 있다. 민감한 데이터 노출은 저장되어 있는 데이터일 수도 있고 전송중인 데이터일 수도 있다. 데이터를 평문 전송하는 것이 그 예이다. 현재에도 많은 웹 어플리케이션의 암호화되어 있지 않는 평문 데이터들이 공격자에게 노출되어 있을 것이다.

4. XML External Entities (XXE)
취약하게 설정된 XML parser에 의해 공격자가 XML 문서에서 외부 엔티티를 이용하여 공격자가 의도하는 외부 URL 을 실행시킨 뒤, 서버의 로컬파일 정보 등을 출력하거나 DOS 공격을 수행할 수 있는 취약점이다.

5. Broken Access Control (취약한 접근 통제)
인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되어 있지 않다면, 공격자는 이를 악용하여 다른 사용자 계정에 접근하거나 중요 파일 열람, 다른 사용자 데이터 수정, 액세스 권한 변경 등과 같은 악의적인 행위를 할 수 있다. 대표적인 타겟이 바로 관리자 페이지이다. 접근 제한이 제대로 되어 있지 않는 관리자 페이지는 공격자의 공격 루트가 된다. SSH, FTP 와 같이 서버에 액세스할 수 있는 서비스들도 접근 제한이 제대로 되어 있지 않다면 공격자에게 악용될 수 있다.

6.  Security Misconfiguration (잘못된 보안 구성)
안전하지 않은 기본 구성, 불완전한 구성 또는 임시 구성, 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 자세한 에러 메시지 등으로 인한 취약점이다. 불필요한 기능 (포트, 서비스, 페이지, 계정) 등이 활성화 되어있으면 공격자의 공격루트가 된다. 그리고 자세한 오류 메시지는 Blind SQL Injection 과 같은 공격에 사용될 수 있다. 만약 시스템을 업그레이드 했다면 최신 보안 기능이 비활성화되어 있을 수도 있다.

7. Cross-Site Scripting (XSS)
XSS 는 공격자가 피해자의 브라우저에 악의적인 스크립트를 넣는 공격 기법이다. 공격자는 피해자의 브라우저에 스크립트를 실행하여 사용자 세션 탈취, 웹 사이트 변조, 악의적인 사이트로 이동할 수 있도록 허용할 수 있다.

8. Insecure Deserialization (안전하지 않은 역직렬화)
- 직렬화 : 객체를 직렬화하여 전송 가능한 형태로 만드는 것
- 역직렬화 : 저장된 파일을 읽거나 전송된 스트림 데이터를 읽어 원래 객체의 형태로 복원하는 것
데이터를 역직렬화하는 과정에서 원격코드 실행이나 권한 상승 등의 취약점이 발생할 수 있다.

9. Using Components with Known Vulnerabilities (알려진 취약점이 있는 구성 요소 사용)
라이브러리, 프레임워크 및 다른 소프트웨어 모듈 같은 컴포넌트는 어플리케이션과 같은 권한으로 실행된다. 만약에 취약한 컴포넌트가 악용된 경우, 이는 심각한 데이터 손실을 일으키거나 서버가 장악된다. 알려진 취약점이 있는 구성 요소를 사용하는 어플리케이션과 API는 어플리케이션 방어를 약화시키고 다양한 공격과 영향을 줄 수 있다.

10. Insufficient Logging & Monitoring (불충분한 로깅 및 모니터링)
불충분한 로깅 및 모니터링, 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자는 시스템을 추가로 공격하고 지속성을 유지하며 더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있다.

국정원 8대 취약점

1. 디렉토리 리스팅 취약점
홈페이지의 속성을 설정하는‘웹사이트 등록정보’에 특정디렉토리에 대하여 ‘디렉토리 검색’ 항목이 체크되어 있거나(IIS 웹서버), ‘httpd.conf 파일’에서‘Indexes’옵션이 ON되어 있는 경우(아파치 웹서버)
인터넷 사용자에게 모든 디렉토리 및 파일 목록이 보여지게 되고, 파일의 열람 및 저장도 가능하게 되어 비공개 자료가 유출될 수 있다.

2. 파일 다운로드 취약점- OWASP 와 중복
게시판 등에 저장된 자료에 대해‘다운로드 스크립트’를 이용하여 다운로드 기능을 제공하면서, 대상 자료파일의 위치 지정에 제한조건을 부여하지 않았을 경우
URL칸의 다운로드 스크립트의 인수값에‘../’문자열 등을 입력하여 시스템 디렉토리 등에 있는 /etc/passwd와 같은 비공개 자료들이 유출될 수 있다.
*특히, 리눅스 및 유닉스 계열의 웹서버에 각별한 주의가 필요하다.

3. 크로스 사이트 스크립트 취약점 - OWASP 와 중복
게시판에 새 게시물을 작성하여 등록할 때와 같이 사용자의 입력을 받아 처리하는 웹 응용프로그램에서 입력 내용에 대해 실행코드인 스크립트의 태그를 적절히 필터링하지 않을 경우에
악의적인 스크립트가 포함된 게시물을 등록할 수 있어 해당 게시물을 열람하는 일반 사용자의 PC로부터 개인정보인 쿠키를 유출할 수 있는 등의 피해를 초래할 수 있다.

4. 파일 업로드 취약점 - OWASP 와 중복
첨부파일 업로드를 허용하는 홈페이지 게시판에서 .php, .jsp 등의 확장자 이름의 스크립트 파일의 업로드를 허용할 경우에
해커가 악성 실행 프로그램을 업로드한 후에 홈페이지 접속 방식으로 원격에서 서버 컴퓨터의 시스템 운영 명령어를 실행시킬 수 있다.

5. WebDAV 취약점 - 원격 실행
윈도우 서버 컴퓨터에서 기본으로 설치되는 원격관리기능인 WebDAV가 계속 사용가능하도록 설정되어 있고, WebDAV 라이브러리 파일의 속성 및 홈페이지 디렉토리에 쓰기 권한이 모두 허용되어 있는 경우
해커가 WebDAV 도구를 사용, 원격에서 홈페이지 디렉토리에 임의의 파일을 삽입하여 화면을 변조할 수 있다.

6. 테크노트(Tech note)취약점
국내에서 개발되어 무료 배포중인 게시판 제작 프로그램‘테크노트’의 일부 CGI프로그램들에서 인수값 처리시에 ‘|’문자 이후에 나오는 컴퓨터 운영 명령어가 실행될 수 있는 결함이 있음
해커는 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할수 있다.
'테크노트’는 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되고, 윈도우 계열의 홈페이지에서도‘Perl’이 지원될 경우에 사용될 수 있다.

7. 제로보드(ZeroBoard)취약점
국내에서 개발되어 무료 배포중인 게시판 제작 프로그램 ‘제로보드’의 일부 PHP프로그램이 원격에 있는 PHP파일을 실행할 수 있는 결함이 있어
해커는 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할수 있다.
'제로보드’는 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되고, 윈도우 계열의 홈페이지에서도‘PHP’가 지원될 경우에 사용될 수 있다.

8. SQL injectin 취약점 - OWASP와 중복
웹브라우저 주소(URL)창 또는 사용자 ID 및 패스워드 입력화면 등에서 데이터베이스 SQL문에 사용되는 문자기호(' 및 ")의 입력을 적절히 필터링 하지 않은 경우에
해커가 SQL문으로 해석될 수 있도록 조작한 입력으로 데이터베이스를 인증절차없이 접근, 자료를 무단 유출하거나 변조할 수 있다.

행정안전부 소프트웨어 보안 취약점 기준

입력데이터 검증 및 표현 

1. DBMS 조회 및 결과 검증 - 입출력 검증
DBMS 조회시 질의문(SQL) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리방법 설계

2. XML 조회 및 결과 검증
XML 조회시 질의문(XPath, XQuery 등) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리방법 설계

3. 디렉토리 서비스 조회 및 결과 검증
디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계

4. 시스템 자원 접근 및 명령어 수행 입력값 검증
시스템 자원접근 및 명령어를 수행할 때 입력값에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계

5. 웹 서비스 요청 및 결과 검증
웹 서비스(게시판 등) 요청(스크립트 게시 등)과 응답결과(스크립트를 포함한 웹 페이지)에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계

6. 웹 기반 중요 기능 수행 요청 유효성 검증
비밀번호 변경, 결제 등 사용자 권한 확인이 필요한 중요기능을 수행할 때 웹 서비스 요청에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계

7. HTTP 프로토콜 유효성 검증
비정상적인 HTTP 헤더, 자동연결 URL 링크 등 사용자가 원하지 않은 결과를 생성하는 HTTP 헤더·응답결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계

8. 허용된 범위내 메모리 접근
해당 프로세스에 허용된 범위의 메모리 버퍼에만 접근하여 읽기 또는 쓰기 기능을 하도록 검증방법 설계 및 메모리 접근요청이 허용범위를 벗어났을 때 처리방법 설계

9. 보안기능 입력값 검증
보안기능(인증, 권한부여 등) 입력 값과 함수(또는 메소드)의 외부입력 값 및 수행결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계

10. 업로드·다운로드 파일 검증 - 파일 검증
업로드·다운로드 파일의 무결성, 실행권한 등에 관한 유효성 검증방법 설계 및 부적합한 파일에 대한 처리방법 설계

보안기능

1. 인증 대상 및 방식 - 인증 관리
중요정보·기능의 특성에 따라 인증방식을 정의하고 정의된 인증방식을 우회하지 못하게 설계

2. 인증 수행 제한
반복된 인증 시도를 제한하고 인증 실패한 이력을 추적하도록 설계

3. 비밀번호 관리
생성규칙, 저장방법, 변경주기 등 비밀번호 관리정책별 안전한 적용방법 설계

4. 중요자원 접근통제 - 접근권한 관리
중요자원(프로그램 설정, 민감한 사용자 데이터 등)을 정의하고, 정의된 중요자원에 대한 신뢰할 수 있는 접근통제 방법(권한관리 포함) 설계 및 접근통제 실패 시 처리방법 설계

5. 암호키 관리 - 암호관리
암호키 생성, 분배, 접근, 파기 등 암호키 생명주기별 암호키 관리방법을 안전하게 설계
암호
관리

6. 암호연산
국제표준 또는 검증필 암호모듈로 등재된 안전한 암호 알고리즘을 선정하고 충분한 암호키 길이, 솔트, 충분한 난수 값을 적용한 안전한 암호연산 수행방법 설계

7. 중요정보 저장 - 중요정보 관리
중요정보(비밀번호, 개인정보 등)를 저장·보관하는 방법이 안전하도록 설계

8. 중요정보 전송
중요정보(비밀번호, 개인정보, 쿠키 등)를 전송하는 방법이 안전하도록 설계 

에러처리

1. 예외처리 - 에러처리
오류메시지에 중요정보(개인정보, 시스템 정보, 민감 정보 등)가 노출되거나, 부적절한 에러·오류 처리로 의도치 않은 상황이 발생하지 않도록 설계 

세션통제

1. 세션통제 - 세션통제
다른 세션 간 데이터 공유금지, 세션ID 노출금지, (재)로그인시 기존 세션ID 재사용금지 등 안전한 세션 관리방안 설계

입력데이터 검증 및 표현

1. SQL 삽입
SQL 질의문을 생성할 때 검증되지 않은 외부 입력 값을 허용하여 악의적인 질의문이 실행가능한 보안약점

2. 코드 삽입
프로세스가 외부 입력 값을 코드(명령어)로 해석·실행할 수 있고 프로세스에 검증되지 않은 외부 입력 값을 허용한 경우 악의적인 코드가 실행 가능한 보안약점

3. 경로 조작 및 자원 삽입
시스템 자원 접근경로 또는 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접근 및 악의적인 행위가 가능한 보안약점

4. 크로스사이트 스크립트
사용자 브라우저에 검증되지 않은 외부 입력값을 허용하여 악의적인 스크립트가 실행 가능한 보안약점

5. 운영체제 명령어 삽입
운영체제 명령어를 생성할 때 검증되지 않은 외부 입력값을 허용하여 악의적인 명령어가 실행 가능한 보안약점

6. 위험한 형식 파일 업로드
파일의 확장자 등 파일형식에 대한 검증없이 파일 업로드를 허용하여 공격이 가능한 보안약점

7. 신뢰되지 않는 URL 주소로 자동접속 연결
URL 링크 생성에 검증되지 않은 외부 입력값을 허용하여 악의적인 사이트로 자동 접속 가능한 보안약점

8. 부적절한 XML 외부 개체 참조
임의로 조작된 XML 외부개체에 대한 적절한 검증 없이 참조를 허용하여 공격이 가능한 보안약점 

9. XML 삽입
XQuery, XPath 질의문을 생성할 때 검증되지 않은 외부 입력값을 허용하여 악의적인 질의문이 실행가능한 보안약점

10. LDAP 삽입
LDAP 명령문을 생성할 때 검증되지 않은 외부 입력 값을 허용하여 악의적인 명령어가 실행가능한 보안약점

11. 크로스사이트 요청 위조
사용자 브라우저에 검증되지 않은 외부 입력 값을 허용하여 사용자 본인의 의지와는 무관하게 공격자가 의도한 행위가 실행 가능한 보안약점

12. 서버사이드 요청 위조
서버 간 처리되는 요청에 검증되지 않은 외부 입력값을 허용하여 공격자가 의도한 서버로 전송하거나 변조하는 보안약점

13. HTTP 응답분할
HTTP 응답헤더에 개행문자(CR이나 LF)가 포함된 검증되지 않은 외부 입력값을 허용하여 악의적인 코드가 실행 가능한 보안약점

14. 정수형 오버플로우
정수형 변수에 저장된 값이 허용된 정수 값 범위를 벗어나 프로그램이 예기치 않게 동작 가능한 보안약점

15. 보안기능 결정에 사용 되는 부적절한 입력값
보안기능(인증, 권한부여 등) 결정에 검증되지 않은 외부 입력값을 허용하여 보안기능을 우회하는 보안약점

16. 메모리 버퍼 오버플로우
메모리 버퍼의 경계값을 넘어서 메모리값을 읽거나 저장하여 예기치 않은 결과가 발생하는 보안약점

17. 포맷 스트링 삽입
printf 등 포맷 스트링 제어함수에 검증되지 않은 외부 입력값을 허용하여 발생하는 보안약점
* 포맷 스트링: 입·출력에서 형식이나 형태를 지정해주는 문자열

보안 기능

1. 적절한 인증 없는 중요기능 허용
중요정보(금융정보, 개인정보, 인증정보 등)를 적절한 인증없이 열람(또는 변경) 가능한 보안약점

2. 부적절한 인가
중요자원에 접근할 때 적절한 제어가 없어 비인가자의 접근이 가능한 보안약점

3. 중요한 자원에 대한 잘못된 권한 설정
중요자원에 적절한 접근 권한을 부여하지 않아 중요정보가 노출·수정 가능한 보안약점

4. 취약한 암호화 알고리즘 사용
중요정보(금융정보, 개인정보, 인증정보 등)의 기밀성을 보장할 수 없는 취약한 암호화 알고리즘을 사용하여 정보가 노출 가능한 보안약점

5. 암호화되지 않은 중요정보
중요정보(비밀번호, 개인정보 등) 전송 시 암호화 또는 안전한 통신채널을 이용하지 않거나, 저장 시 암호화하지 않아 정보가 노출 가능한 보안약점

6. 하드코드된 중요정보
소스코드에 중요정보(비밀번호, 암호화키 등)를 직접 코딩하여 소스코드 유출 시 중요정보가 노출되고 주기적 변경이 어려운 보안약점

7. 충분하지 않은 키 길이 사용
암호화 등에 사용되는 키의 길이가 충분하지 않아 데이터의 기밀성·무결성을 보장할 수 없는 보안약점

8. 적절하지 않은 난수 값 사용
사용한 난수가 예측 가능하여, 공격자가 다음 난수를 예상해서 시스템을 공격 가능한 보안약점

9. 취약한 비밀번호 허용
비밀번호 조합규칙(영문, 숫자, 특수문자 등) 미흡 및 길이가 충분하지 않아 비밀번호가 노출 가능한 보안약점

10. 부적절한 전자서명 확인
프로그램, 라이브러리, 코드의 전자서명에 대한 유효성 검증이 적절하지 않아 공격자의 악의적인 코드가 실행 가능한 보안약점

11. 부적절한 인증서 유효성 검증
인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안약점

12. 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출
쿠키(세션 ID, 사용자 권한정보 등 중요정보)를 사용자 하드디스크에 저장되어 중요정보가 노출 가능한 보안약점

13. 주석문 안에 포함된 시스템 주요정보
소스코드 주석문에 인증정보 등 시스템 주요정보가 포함되어 소스코드 노출 시 주요정보도 노출 가능한 보안약점

14. 솔트 없이 일방향 해쉬함수 사용
솔트*를 사용하지 않고 생성된 해쉬 값으로부터 공격자가 미리 계산된 레인보우 테이블을 이용하여 해쉬 적용 이전 원본 정보를 복원가능한 보안약점
* 해쉬 적용하기 전 평문인 전송정보에 덧붙인 무의미한 데이터

15. 무결성 검사없는 코드 다운로드
소스코드 또는 실행파일을 무결성 검사 없이 다운로드 받아 실행하는 경우, 공격자의 악의적인 코드가 실행 가능한 보안약점

16. 반복된 인증시도 제한 기능 부재
인증 시도 수를 제한하지 않아 공격자가 반복적으로 임의 값을 입력하여 계정 권한을 획득 가능한 보안약점

시간 및 상태 

1. 경쟁조건: 검사 시점과 사용 시점(TOCTOU)
멀티 프로세스 상에서 자원을 검사하는 시점과 사용하는 시점이 달라서 발생하는 보안약점

2. 종료되지 않는 반복문 또는 재귀 함수
종료조건 없는 제어문 사용으로 반복문 또는 재귀함수가 무한히 반복되어 발생할 수 있는 보안약점

에러처리

1. 오류 메시지 정보노출
오류메시지나 스택정보에 시스템 내부구조가 포함되어 민감한 정보, 디버깅 정보가 노출 가능한 보안약점

2. 오류상황 대응 부재
시스템 오류상황을 처리하지 않아 프로그램 실행정지 등 의도하지 않은 상황이 발생 가능한 보안약점

3. 부적절한 예외 처리
예외사항을 부적절하게 처리하여 의도하지 않은 상황이 발생 가능한 보안약점

코드오류

1. Null Pointer 역참조
변수의 주소 값이 Null인 객체를 참조하는 보안약점

2. 부적절한 자원 해제
사용 완료된 자원을 해제하지 않아 자원이 고갈되어 새로운 입력을 처리할 수 없는 보안약점

3. 해제된 자원 사용
메모리 등 해제된 자원을 참조하여 예기치 않은 오류가 발생하는 보안약점

4. 초기화되지 않은 변수 사용
변수를 초기화하지 않고 사용하여 예기치 않은 오류가 발생하는 보안약점

5. 신뢰할 수 없는 데이터의 역직렬화
악의적인 코드가 삽입·수정된 직렬화 데이터를 적절한 검증 없이 역질렬화하여 발생하는 보안약점
*직렬화: 객체를 전송 가능한 데이터형식으로 변환
*역직렬화: 직렬화된 데이터를 원래 객체로 복원

캡슐화

1. 잘못된 세션에 의한 데이터 정보 노출
잘못된 세션에 의해 인가되지 않은 사용자에게 중요정보가 노출 가능한 보안약점

2. 제거되지 않고 남은 디버그 코드
디버깅을 위한 코드를 제거하지 않아 인가되지 않은 사용자에게 중요정보가 노출 가능한 보안약점

3. Public 메소드부터 반환된 Private 배열
Public으로 선언된 메소드에서 Private로 선언된 배열을 반환(return)하면 Private 배열의 주소 값이 외부에 노출되어 해당 Private 배열값을 외부에서 수정 가능한 보안약점

4. Private 배열에 Public 데이터 할당
Public으로 선언된 데이터 또는 메소드의 인자가 Private으로 선언된 배열에 저장되면 이 Private 배열을 외부에서 접근하여 수정 가능한 보안약점

API 오용

1. DNS lookup에 의존한 보안결정
도메인명 확인(DNS lookup)으로 보안결정을 수행할 때 악의적으로 변조된 DNS 정보로 예기치 않은 보안위협에 노출되는 보안약점

2. 취약한 API 사용
취약한 함수를 사용해서 예기치 않은 보안위협에 노출되는 보안약점

nis_guide_lines_2021_11_1.hwp

1.81MB

행정·공공 웹사이트 구축·운영 가이드(2017년 10월).pdf

3.16MB

소프트웨어 보안약점 기준(제52조 관련).hwp

0.03MB

 

 

 

 

 

 

 

 

 

 

 

출처 - https://mikrkosmos97.tistory.com/101