SECURITY



크게 작게 인쇄

정보보호를 고려한 홈페이지 구축의 필요성

::정보보호를 고려한 홈페이지 구축의 필요성

홈페이지 서버를 포함한 정보시스템의 정보보호를 제공하는 방법은 일반적으로 추가(Add-on) 방식과 내장(embedded) 방식의 두 가지 방법이 있다.
추가 방식은 정보시스템의 설계 또는 구축 이후에 정보보호 제품이나 정보보호 시스템을 추가 구현하는 방식이다. 홈페이지 서버 보안을 위해서도웹 방화벽과 같은 추가적인 보안장비를 도입하는 것이 추가방식이라 할 수있다.
이 방법은 정보보호 요구사항이 시스템 설계에 충분히 반영되지 않았을 경우 적용할 수 있는 방법이지만 정보보호 제품과 정보 시스템 간의 상호운용성 문제로 정보보호 제품 및 운영 중인 정보시스템의 변경이 요구되는 등 성능 및 비용 측면에서 비효율성이 야기될 수 있는 문제점이 있다.
하지만 이미 구축되어 있는 많은 웹 서버가 보안이 고려되지 않았으며 최근공격대상이 웹 서버에 집중되고 있는 점을 고려한다면 추가방식에 의한 웹보안도 고려할 만 하다.
둘째, 내장 방식은 정보시스템 계획 단계에서부터 정보보호 요구사항을 파악하여 정보시스템 분석 및 설계에 정보보호 기능을 구현하는 방식으로, 초기에는 정보보호 요구사항 파악 및 기능 구현을 위한 시간과 노력이 요구되나 다른 정보시스템 기능과 원활한 상호운용성을 제공할 수 있어 결과적으로 비용효과적인 방식이라 할 수 있다.
많은 웹 개발자들은 홈페이지를 구축할 때 효율성 및 편의성에 치중하여설계․구축 단계에서 정보보호를 고려하지 못하고 있다.
또한, 홈페이지의특성상 외부에 공개될 수 밖에 없고, 일반적인 침입차단시스템에 의해서 보호받지 못하고 있어 최근 많은 해킹사고가 발생되고 있다.
해커에 의해서 뿐아니라 업체의 모의해킹시에 주요 공격 대상이 되고 많은 취약점이 발견되는 곳이 홈페이지 서버이다.

이미 구축되어 있는 홈페이지 서버의 보안취약점을 수정하는 것은 기존의운영되고 있는 서비스에 영향을 미칠 수 있을뿐만 아니라 많은 비용이 수반될 수밖에 없다.

정보보호 전문가에 의하면 추가 방식이 내장 방식에 비하여 10배의 추가비용이 발생하는 것으로 나타났으며(Woods, 1996), MIT 경제학자 Hoo et al의 연구(Tangible ROI through Secure Software Engineering, 2001)에서도정보시스템 개발 초기부터 정보보호 요구사항을 반영하면 유지 보수 과정의많은 비용을 절감할 수 있는 것으로 나타났다.
 
특히, 이 연구는 정보보호 투자 수익율(Return On Security Investment)을 밝히기 위해 정보시스템 개발의 각 단계에서 정보보호 취약성을 수정하는데 드는 비용의 절감 효과를 측정한 것으로, 연구 결과 아래 그림과 같이, 정보시스템 개발의 각 단계 중 설계 단계에서 정보보호가 고려될 경우 21%, 구현 단계에서는 15%, 시험 단계에서는 12%의 비용이 절감될 수 있음이 실증적으로 확인되었다.
홈페이지 서버의 경우도 이미 구축․운영되고 있는 서버에서 정보보호를반영하기 위해서는 보다 많은 비용이 수반될 뿐만 아니라 해킹사고 발생으로 인해 서비스 장애로 인한 영업손실, 기업 이미지 실추, 고객 정보유출 등의 피해도 발생될 수 있음을 감안해야만 할 것이다.
코멘트 0
보안정보 | 전체게시물 18
안내

포인트안내닫기

  • 글읽기0
  • 글쓰기0
  • 댓글쓰기0
  • 다운로드0
보안정보리스트
번호 제목 등록일 조회
18 텍스트 11-05 1073
17 텍스트 03-07 2211
16 텍스트 09-17 2595
15 텍스트 03-26 2906
14 텍스트 03-26 2607
13 텍스트 02-15 2698
12 텍스트 02-15 2430
11 텍스트 02-15 2494
10 텍스트 02-15 2508
9 텍스트 02-15 2112
8 텍스트 02-15 2661
7 텍스트 02-15 2147
6 텍스트 02-15 2219
5 텍스트 12-27 3698
4 텍스트 10-29 2873
3 텍스트 10-29 2248
2 텍스트 09-20 2576
1 텍스트
정보보호를 고려한 홈페이지 구축의 필요성
09-19 2294