드루팔로 구축된 미디어웹의 보안은 안전한가?

  • 기사입력 2015.10.23 13:59
  • 최종수정 2023.05.22 02:31
  • 기자명 트렌드와칭


전 드루팔 보안 팀장이였던 그렉 케디슨(Greg Knaddison)은 전문적인 서비스를 제공하는 신규 대형 컨설팅 회사 부티크 소프트웨어(botique software)에 재직 중이며 카드닷컴(CARD.com)에서 엔지니어 디렉터와 드루팔 협회 이사 고문으로 일하고 있다.



현 드루팔 보안 관리 팀장인 마이클 헤스(Micheal Hess)는 미시간대 정보학과를 졸업했으며 동대학원 박사과정을 수료했다. 그는 현재 미시간 대학의 정보학과와 UM 의료센터에서 콘텐츠 관리 플랫폼과 관련된 3개 과정을 가르치고 있으며 수백개의 캠퍼스 사이트의 기능을 관리하고 있고 대학 부서 개선을 위한 역할 개발과 컨설팅을 담당하고 있다. 대형 의료 검색 프로젝트인 블루크로스(BlueCross)에서 컨설팅도 하고있다.



2015 DrupalCon 이전에 필자는 그렉, 마이클과 함께 외부 라이브러리를 통해 얻은 보안 자문을 관리하는 법에 대해 논의했고 자동 보안 업데이트에 대한 계획, 코드리뷰, 드루팔8에 대해 기대하는 점과 드루팔을 처음으로 접하는 사람들에게 해 줄 조언을 계획했다.





Q1) 드루팔의 일부분이 된 외부 라이브러리에 관한 보안 정책은 어떻게 관리하는가?



두 가지 전략이 있습니다. 첫째, 제3의 코드가 Drupal.org 레파지토리에 바로 적용될 수 없도록 하는 것이 일반적인 정책입니다. 2011년 이후 개인 사이트 소유자들이 그들의 사이트에 적용되는 제3의 코드가 업데이트되는 것을 알아야 한다고 조언하고 있습니다. 드루팔 모듈 사용자가 외부 라이브러리 설치 버전의 안전성을 점검할 수 있도록 관리자 메시지를 확인할 수 있는 hook_requirements를 추가해 코드 업그레이드를 시행하는 것을 권장합니다.



둘째, 예외가 발생할 때(드루팔 코어와 같은) 문제점을 보완한 수정판을 배포하기 위해 라이브러리 개발자들과 함께 일할 것입니다. 예를 들어, 문제점을 수정하기 위해 심포니 프로젝트(Symfony project)의 보안팀과 협력하고 있습니다. 드루팔8이 아직 공식적으로 사용할 수 없기 때문에 문제점에 심포니 프로젝트의 조언을 포함하지 않았지만 드루팔8.0.0이 출시되면 포함할 계획입니다.



Q2) 드루팔의 자동 보안 업데이트를 위한 계획이 있습니까?



이 주제는 커뮤니티에서 거론되고 있습니다. 물론 자동 보안 업데이트에 의해 다른 종류의 위험을 부담할 수 있습니다. 때때로 드루팔 코드는 자동 업데이트가 되지 않아 수동으로 해결해야 합니다. 이점 때문에 커뮤니티와 함께 지속적으로 연구하고 있습니다.



목표를 달성함에 있어 보다 안전하고 안정적인 대안도 있습니다. 예를 들어 드루팔에 초점을 맞춘 몇몇 호스팅 회사들은 테스트를 쉽게하고 배포된 보안 관련 내용을 수용하기 위한 사항들을 그들의 계획에 포함시킵니다. 또한 보안에 관련된 배포 사항의 관리 제어 및 업데이트를 위해 고용되는 컨설팅 회사들이 있습니다. 상대적으로 참신한 해결책은 자동 보안 업데이트를 지원하는 호스팅과 개발 툴이 합쳐진 제3의 규칙 기반 서비스인 드롭 가드(Drop Guard)입니다. 이 호스팅 회사들과 서비스 공급자들을 더 자세히 비교하려면 드루팔 사이트를 지속적으로 업데이트하는 서비스 공급자들의 Wiki page list를 보십시오.



변경 전 core/contrib 버전과 비슷하게 구축하고 싶어하는 사람들이나 작은 쉘 스크립트가 편한 사람들은 cronjob에 drush up -y를 입력하십시오. 안전하게 개선하고자 한다면 테스트 환경 안에서 drush up -y를 입력해 자동 테스트를 실행하고 검증 후 이용하기를 권합니다.



Q3) 자동화된 코드리뷰와 보급 테스팅에 대해 어떻게 생각합니까?



우리는 Coder 모듈에 기반을 두고 있는 자동 코드 리뷰들이 올해 모든 프로젝트에 적용되도록 할 것입니다. 그것은 오직 패턴 매칭으로만 쉽게 발견되는 공통 문제점 몇몇을 잡아낼 뿐 더 복잡하고 잠재적으로 손상을 가할 수 있는 문제점들은 놓칠지도 모릅니다. 이 통합된 코드 품질 체크가 drupal.org에 호스트된 모듈들의 보안 이슈를 줄여주길 기대하고 있습니다(프로젝트의 안전성을 높이고 보안팀 업무를 효율적이게 하는). drupal.org가 더욱 긴밀하게 통합되면 Coder 개선을 볼 수 있을 거라고 생각합니다.



자동화된 보급 테스트는 부정확한 확신과 놓치고 있는 많은 현실적 이슈를 포함하는 경향이 있습니다. 드루팔 보안팀은 대중적인 툴의 결과를 보여주는 일반적인 pdf를 얻었지만 정말 마음에 드는 것을 보지는 못했습니다. 그러나 그들은 그것이 더 완벽한 검사를 도와주는 효율적인 도구라고 말합니다.



가장 가치있는 결과들은 코드의 해석 및 목적의 이해를 통해 문제점을 완화시키거나 수정해 실제 사이트를 재생산할 수 있는 전문가의 통찰력 있는 리뷰에서 나옵니다.



Q4) 우리가 드루팔 8에 기대할 수 있는 새로운 보안적 특징은 무엇입니까?



이것은 우리가 LA DrupalCon에서 열리는 우리의 Building secure sites with Drupal 세션동안 심도있게 다루려고 계획한 주제입니다.



드루팔 8은 드루팔의 특징인 PHP 템플릿 시스템을 대체하는 Twig라고 불리는 템플릿 언어를 사용할 것이고 이것은 우리가 템플릿에 PHP코드를 사용하지 않는다는 것을 의미합니다. Twig는 테마 내의 XSS 취약점을 방지하기 위해 auto-escaping feature을 제공합니다.



드루팔 7과 이전의 많은 사이트에서의 위지위그 메뉴얼 통합은 신뢰성 없는 컨텐츠 에디터에게 완전한 HTML 텍스트 형식을 사용 가능하도록 하여 크로스 사이트 스크립팅에 취약점을 남겼습니다. 드루팔 8에서의 위지위그는 위지위그 버튼을 input 형식과 같이 sync안에 유지하는 방식을 통해 훌륭한 기본설정을 갖추었습니다. 이것은 사이트 빌더가 우연하게 Full HTML 텍스트 형식을 작동하게 하려는 가능성을 줄여주고 XSS에 대한 벡터를 도입합니다.



PHP 모듈은 core에서 제거되고 있습니다. 이 변화에 대한 동기로는 크게 두 가지가 있습니다. 첫째, PHP 모듈은 사이트 담당자가 신뢰성없는 사용자에게 PHP를 너무나 쉽게 실행할 수 있게 합니다. 둘째, 만약 공격자가 관리자 계정에 대한 권한을 얻으면(세션 스니핑 또는 보안에 취약한 암호 추측) 공격자는 임시 PHP코드를 실행시키기 위해 PHP모듈을 이용할 수 있습니다. 드루팔 8 사이트들은 이러한 잠재적 위험을 거의 가지고 있지 않습니다.



드루팔 8은 드루팔 8의 라우팅 시스템에 대해서 내장된 CSRF 토큰을 가지고있습니다. 드루팔 4.6부터 CSRF을 막기위해 간단한 함수를 가지고 있습니다: drupal_get_token과 drupal_valid_token 입니다. 이 함수들은 코드에서 필요하다면 여전히 드루팔 8에서 사용 가능하지만 CSRF로부터 URL을 보호하기가 더 용이합니다: 그것이 보호되어야 하는지 혹은 쉽거나 쉽지 않은지 알려주는 파라미터를 포함하는 방법에 대한 정의.



Q5) 보안적인 부분을 고려하여 당신이 드루팔 프로젝트를 구현하는 새로운 사이트의 소유자에게 해줄 충고는 무엇입니까?



여러분의 사이트를 꾸준히 업데이트 하십시오. 보안 관련 RSS를 구독하고 리스트를 메일링하거나 @drupalsecurity를 팔로우하십시오. 보안 사항 배포는 수요일날 이루어지기 때문에 여러분의 팀은 사이트를 계설한 뒤 계획을 세울 수 있으며 보안 업데이트를 위한 시간을 가질 수 있습니다. 여러분의 보안 페이지를 체크하고 여러분의 사이트 상황을 주시하기 위해 보안 리뷰와 같은 툴을 이용할 것을 권장합니다.



아울러 LA의 DrupalCon에서 열리는 Building secure sites with Drupal 세션에서 더욱 논의될 것입니다. 만약 여러분이 이 행사에 직접 참여할 수 없다면, 행사 이후에 사이트에 올라올 짧은 동영상을 참고하십시오.







전 Drupal 보안 팀장이였던 Greg Knaddison은 전문적인 서비스를 제공하는 신규 대형 컨설팅 회사,botique sofware에서 일한다. 그는 최근 CARD.com에서 엔지니어 디렉터와 Drupal 협...


Posted by 드루팔 코리아 on 2015년 10월 18일 일요일




참고기사: http://opensource.com/business/15/5/interview-Greg-Knaddison-Michael-Hess-Drupal






드루팔은 오픈소스 소프트웨어의 장점과 조직에 의해 효율적으로 관리되는 소프트웨어의 장점을 모두 취하기 위해 성공적인 접근을 시도하고 있습니다. by 성다혜





"트렌드와칭 커뮤니티 멤버 특별 혜택 (클릭)"

help@think1more.kr

광고문의 보도자료

이 기사를 공유합니다
개의 댓글
0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400
내 댓글 모음
모바일버전