10일차 : 웹 서버 취약점 및 로그 분석

10일차 학습 범위인 **웹 서버 취약점 및 로그 분석(PART 03 SEC 09)**은 실제 보안 사고가 발생했을 때 **"범인이 남긴 흔적을 어떻게 찾을 것인가"**를 다루는 매우 실무적인 파트입니다.

실기 시험에서는 웹 서버 설정 파일(httpd.conf)의 특정 구문을 수정하거나, 텍스트로 주어진 웹 로그를 보고 어떤 공격이 수행되었는지 식별하는 문제가 핵심입니다.

---

1. 웹 서버 설정 취약점 (SEC 09-01~05)

웹 서버(주로 Apache 기준)의 설정을 잘못했을 때 발생하는 취약점들입니다.

• 디렉터리 리스팅(Directory Listing): 인덱스 파일(index.html 등)이 없는 폴더에 접속했을 때 폴더 내 파일 목록이 웹브라우저에 그대로 보이는 현상입니다.
  • 대응: httpd.conf 설정에서 Options 항목의 Indexes 옵션을 제거하거나 -Indexes로 설정합니다.
• 웹 서비스 메소드 제한: GET, POST 외에 PUT, DELETE, OPTIONS 등 불필요한 HTTP 메소드가 활성화되어 있으면 서버 내 파일을 변조하거나 삭제당할 수 있습니다.
  • 대응: <LimitExcept> 구문을 사용하여 허용할 메소드만 지정합니다.
• 관리자 페이지 및 정보 노출: phpinfo.php나 관리자 페이지가 외부에서 접근 가능한 경로에 노출되지 않도록 설정해야 합니다.

2. 아파치(Apache) 보안 대책 (SEC 09-06)

서버를 요새화(Hardening)하는 구체적인 설정들입니다.

• ServerTokens & ServerSignature: 에러 페이지에서 웹 서버의 버전 정보(예: Apache 2.4.x)를 숨깁니다. (정보 수집 방지)
• Timeout & KeepAlive: DoS 공격 방지를 위해 연결 시간을 적절히 조절합니다.

3. 웹 로그 분석 (SEC 09-07) - 실기 100% 출제

실기 시험에서 가장 중요한 부분입니다. 로그 한 줄을 보고 공격을 읽어내야 합니다.

• 로그 형식: [접속 IP] - - [날짜/시간] "메소드 경로 프로토콜" 상태코드 전송량
• 공격 식별법:
  • SQL Injection: 경로 부분에 ', OR, SELECT, -- 등이 포함됨.
  • XSS: <script>, alert, document.cookie 등이 포함됨.
  • Path Traversal: ../..와 같은 상위 디렉터리 이동 문자가 반복됨.
  • Command Injection: ;, |, ls, cat 등의 OS 명령어가 포함됨.

4. 보안서버 구축 (SEC 09-08)

• SSL/TLS 적용: 6일차에 배운 SSL 인증서를 웹 서버에 적용하는 실무적인 내용을 다룹니다.
• HSTS (HTTP Strict Transport Security): 브라우저가 강제로 HTTPS로만 접속하도록 만드는 보안 헤더 설정입니다.

---

🔍 실기형 핵심 체크리스트

1. 디렉터리 리스팅 방지 설정: httpd.conf에서 Options -Indexes 구문을 꼭 기억하세요.
2. 로그 상태 코드의 의미:
   • 200: 성공 (공격이 성공했을 가능성이 높음)
   • 403: 거부 (보안 장비나 설정에 의해 차단됨)
   • 404: 찾을 수 없음 (공격자가 파일을 찾는 스캐닝 중일 가능성)
3. 버전 정보 숨기기: ServerTokens Prod 설정을 통해 최소한의 정보만 노출하게 만듭니다.

---

✍️ 오늘의 1분 인출 연습:

1. 웹 서버 폴더 목록이 노출되는 취약점을 막기 위해 httpd.conf에서 수정해야 할 옵션 이름은?
2. 로그에 ../../etc/passwd라는 문구가 보인다면 어떤 공격을 의심해야 하는가?
3. 서버 에러 메시지에 웹 서버 버전 정보를 표시하지 않게 설정하는 지시어는?

오늘은 PART 03 SECTION 09를 정독하세요. 특히 교재에 나오는 웹 로그 예시 이미지들을 보면서 "아, 이건 SQL 인젝션이구나"라고 바로 튀어나올 정도로 눈에 익히는 것이 오늘 목표입니다.