HTML5

I. 차세대 웹 HTML 표준, HTML5

HTML5의 개념

추가 플러그인 없이 다양한 어플리케이션을 표현, 제공하도록 진화한 웹 프로그래밍 언어

HTML5의 특징

하위 호환성– 기존 모든 문서 타입과 호환성 제공
간단한 문법– 생산성 향상된 코딩 지원, 문서 크기 감소
No Plugin– 플러그인 없이 미디어 재생 가능

II. HTML5 주요 기능

구분주요 기능설명
멀티미디어 제어A/V Element
  • 오디오/비디오 제어 기술
  • 영상/음성 미디어 스트림
Canvas
  • 그레디언트, 이미지 효과
  • Canvas 2D API, Context
SVG
  • Scalable Vector Graphic
  • XML기반 2차원 벡터 그래픽
Web Data Caching/StorageOffline WebApplication
  • 웹페이지 및 데이터 캐싱
  • Offline WebApp 서비스
Web SQL DB
  • 표준 SQL기반 질의 API
  • Web SQL Database
Local Storage
  • 쿠기 기능 개선, Key-Value
  • Web Storage, SQLite
통신 및 측위 기술WebSocket
  • WebApp 양방향 서비스
  • Web Socket API
Web Form
  • 사용자 입력, Form 정의
  • Markup, Attribute, Event
Geolocation
  • 디바이스 지리 정보 제공
  • 표준 Geolocation API

III. HTML5 보안 위협 및 대응방안

보안 위협대응방안세부 기법
웹스토리지 데이터유출– 민감정보대상 ISO25237적용
  • 민감정보 마스킹, 삭제
  • 가명, 총계, 범주화 처리
– 웹스토리지 내 정보 암호화
  • 고비도암호화 3DES, SEED
  • ARIA, AES, LEA 등
Web Data XSS– WebApp API Secure Coding
  • 입력 값 검증, 보안 코드
  • 에러메시지 처리, 캡슐화
– Binary HTML
  • HTML 소스 인코딩
  • XSS 소스 변경 방지
WebSocket 정보 유출– Socket 정보 DLP, SIEM적용
  • 지능형 Data 유출 방지
  • 이상 행동 탐지 스캐너
– 웹 방화벽
  • 내부 네트워크 스캐닝 방어 – 시그니처 기반 White list
XDM 메시지 위조– SPF, DNS등록
  • DNS서버 SPF 영역에 등록
  • 발송 계정 신뢰성 검증
– SHA-2기반 메시지 전송
  • SHA-2 FIPS 180-2 표준적용
  • 메시지 무결성 확보
CORS 파일업로드 악용– 업로드 파일 대상 CDR
  • 악성 파일 업로드 위협
  • 헤더 분석, 슬랙 공간 탐지
– 불분명 IP차단

ACL 적용

  • 업로드 파일 분석, IP차단
  • IP List기반 Permit/Deny
  • Geolocation 위치정보 수집 허용을 악용한 JavaScript 대응 위해 필요 시에만 위치 기능 사용 권장

IV. 전자인증을 위한 HTML5 보안 개선방안

  • 공인인증서 사용을 위한 ActiveX를 비롯한 플러그인 기술의 한계 해결 및 취약점 개선을 위해 HTML5 사용
  • FIDO 2.0 등 다양한 인증 기술이 W3C 웹표준 기반 HTML5을 사용하고 있어 아래와 같은 개선방안이 필요

첫째, 암호화 알고리즘 및 해시 키 길이를 SHA-256 등 권고 수준 이상으로 사용

둘째, 인증서 등 인증정보 저장 시 Trust Zone 등 보안 구역에 저장 API를 구성하여 유출에 대비

셋째, SSL/TLS를 구성하여 HTTP 컨텐츠 무결성 및 기밀성 확보를 통한 안정적 인증 수행

  • 상기 방안을 통해 HTML5 사용 시 APT 공격 및 Zero-Day Attack 등에 효과적인 보호 가능

댓글을 남겨주시면 감사드려요~*^^*