1. 차세대 웹 HTML 표준, HTML5
(1) HTML5의 개념
- 추가 플러그인 없이 다양한 어플리케이션을 표현, 제공하도록 진화한 웹 프로그래밍 언어
(2) HTML5의 특징
| 하위 호환성 | – 기존 모든 문서 타입과 호환성 제공 |
|---|---|
| 간단한 문법 | – 생산성 향상된 코딩 지원, 문서 크기 감소 |
| No Plugin | – 플러그인 없이 미디어 재생 가능 |
2. HTML5 주요 기능
| 구분 | 주요 기능 | 설명 |
|---|---|---|
| 멀티미디어 제어 | A/V Element | – 오디오/비디오 제어 기술 – 영상/음성 미디어 스트림 |
| Canvas | – 그레디언트, 이미지 효과 – Canvas 2D API, Context | |
| SVG | – Scalable Vector Graphic – XML기반 2차원 벡터 그래픽 | |
| Web Data Caching/Storage | Offline WebApplication | – 웹페이지 및 데이터 캐싱 – Offline WebApp 서비스 |
| Web SQL DB | – 표준 SQL기반 질의 API – Web SQL Database | |
| Local Storage | – 쿠기 기능 개선, Key-Value – Web Storage, SQLite | |
| 통신 및 측위 기술 | WebSocket | – WebApp 양방향 서비스 – Web Socket API |
| Web Form | – 사용자 입력, Form 정의 – Markup, Attribute, Event | |
| Geolocation | – 디바이스 지리 정보 제공 – 표준 Geolocation API |
3. HTML5 보안 위협 및 대응방안
| 보안 위협 | 대응방안 | 세부 기법 |
|---|---|---|
| 웹스토리지 데이터유출 | 민감정보대상 ISO25237적용 | – 민감정보 마스킹, 삭제 – 가명, 총계, 범주화 처리 |
| 웹스토리지 내 정보 암호화 | – 고비도암호화 3DES, SEED – ARIA, AES, LEA 등 | |
| Web Data XSS | WebApp API Secure Coding | – 입력 값 검증, 보안 코드 – 에러메시지 처리, 캡슐화 |
| Binary HTML | – HTML 소스 인코딩 – XSS 소스 변경 방지 | |
| WebSocket 정보 유출 | Socket 정보 DLP, SIEM적용 | – 지능형 Data 유출 방지 – 이상 행동 탐지 스캐너 |
| 웹 방화벽 | – 내부 네트워크 스캐닝 방어 – 시그니처 기반 White list | |
| XDM 메시지 위조 | SPF, DNS등록 | – DNS서버 SPF 영역에 등록 – 발송 계정 신뢰성 검증 |
| SHA-2기반 메시지 전송 | – SHA-2 FIPS 180-2 표준적용 – 메시지 무결성 확보 | |
| CORS 파일업로드 악용 | 업로드 파일 대상 CDR | – 악성 파일 업로드 위협 – 헤더 분석, 슬랙 공간 탐지 |
| 불분명 IP차단 ACL 적용 | – 업로드 파일 분석, IP차단 – IP List기반 Permit/Deny |
- Geolocation 위치정보 수집 허용을 악용한 JavaScript 대응 위해 필요 시에만 위치 기능 사용 권장
4. 전자인증을 위한 HTML5 보안 개선방안
- 공인인증서 사용을 위한 ActiveX를 비롯한 플러그인 기술의 한계 해결 및 취약점 개선을 위해 HTML5 사용
- FIDO 2.0, WebRTC 등 다양한 통신 기술이 W3C 웹표준 기반 HTML5을 사용하고 있어 아래와 같은 개선방안이 필요
첫째, 암호화 알고리즘 및 해시 키 길이를 SHA-256 등 권고 수준 이상으로 사용
둘째, 인증서 등 인증정보 저장 시 Trust Zone 등 보안 구역에 저장 API 구성하여 유출 대비
셋째, SSL/TLS를 구성하여 HTTP 컨텐츠 무결성 및 기밀성 확보를 통한 안정적 인증 수행
- 상기 방안을 통해 HTML5 사용 시 APT 공격 및 Zero-Day Attack 등에 효과적인 보호 가능