2022년 테스팅 사례 공유 - 농업0000시스템 GS인증평가모듈 기반 테스팅(보안성)

2022년 고품질 SW개발 컨설팅 및 테스팅 지원 사업 테스팅 사례 공유 합니다.

(재)전주정보문화산업진흥원의 SW품질역량센터에서는

2011년 부터 전라북도 ICT/SW기업을 대상으로 품질 향상을 위한 컨설팅 및 테스팅을 지원하고 있습니다.

본 테스팅 사례는 농업0000 시스템 GS인증평가모듈 '보안성' 항목에 대해서 테스팅을 수행한 사례입니다.

 

목차

 

1. 테스팅 개요

- 기업명 : 000 기업

- 기업주소 : 전라북도 전주시 ***

- 테스팅 내용 :  농업0000시스템 v1.0 GS 인증 평가 모듈 보안성 테스팅 지원

- 테스팅 목적 : 기업 개발한 제품을 대상으로 GS인증 보안성 기반 테스트를 통해서 GS인증 취득을 용이하게 하고, 고객에게 보안이 강화된 고품질 제품을 전달하기 위한 테스팅

 

2. 테스팅 일정

수 행 일 정	컨설팅 내용	담 당 자
2022. 3. 22.(화)	테스팅 신청	기업 담당자
2022. 3. 23.(수)	테스팅 신청서 접수	컨설턴트(JICA)
2022. 5. 6.(금) 2022. 5. 9.(월) 2022. 6. 8.(수)	GS인증평가모듈 기반 테스팅 지원(보안성) - GS평가모듈 기반 보안성 테스팅 - 결함리포트 작성 - 결함에 대한 재 테스팅 진행	컨설턴트(JICA)
2022. 7. 1.(금)	테스팅 보고서 작성 및 기업 제공	컨설턴트(JICA)

 

3. 테스팅 결과 요약

본 테스팅의 지원 내용은 다음과 같습니다.

 

1) 시험 환경

○ 시험구성도

[그림 2] 시험 구성도

※ 시험 대상 제품인 농업0000시스템 v1.0은 시험서버(카페24 웹호스팅)에 설치됨

※ 시험도구인 Wireshark 3.6.5, OWASP ZAP 2.11.0, Chrome 103.0은 시험PC에 설치됨

 

○ 시험도구

도 구 명	용 도
WinHTTrack Website Copier 3.49-2	DB, File 직접 접근이 가능한지 여부를 확인하기 위한 접근통제 시험도구
Wireshark 3.6.5	실시간 패킷 캡쳐한 데이터를 로그인 패스워드 암호화 여부를 확인하기 위한 시험도구
OWASP ZAP 2.11.0	SQL 인젝션, XSS 취약점 진단을 위한 시험도구
Chrome 103.0 64bit	시험 대상 제품의 전반적인 보안성 기능 시험을 확인하기 위한 웹브라우저 시험도구

[표 5] 테스트 항목

 

○ 하드웨어 및 소프트웨어 환경

구 분	항 목		사 양
시험서버	HW	CPU	Intel Xeon 2.2 GHz
		RAM	8GB
		SSD(HDD)	100GB
		Cache	1GB
	SW	OS	--
		DBMS	---
		Web Server	Apache 2.4.6
		Script Language	PHP 7.4
		차트	----
		암/복호화	-----
		보안코딩	-----

 

구 분	사 양
시험장비 (제조사 : 000, 모델명:000)	HW	CPU	Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz 3.19GHz
		Storage	250 GB
			(ST2000DM006, 2TB)
		RAM	32 GB
		해상도	1 920 x 1 080
		Graphic	GTX 1050
		네트워크	Realtek PCIe GBE Family Controller
	SW	OS	Windows 10 Pro for Workstations 64 bit

[표 6] 하드웨어 및 소프트웨어 환경

* 시험 환경에 대한 상세한 스펙은 명시하지 않았습니다.

 

2) 시험 장소

전주정보문화산업진흥원 내 소프트웨어 시험실

 

3) 점검 항목

점검 항목은 과학기술정보통신부고시 소프트웨어 품질인증 운영에 관한 지침 제2021-101호 제2장 제12조(실행 소프트웨어 품질인증 기준) 6항 보안성을 기준으로 설정함

순번	분류	품질특성	항목 내용
1	보안성	접근통제	인가되지 않은 사용자로부터의 데이터 접근 통제
2	보안성	데이터 암호화	권고되는 암호 알고리즘 강도로 데이터 암호화
3	보안성	데이터 무결성	인가되지 않은 접근으로부터 데이터 파손 또는 변경을 방지해야 하고, 데이터 파손을 막기 위한 예방책을 제공
4	보안성	부인방지	특정 행위나 이벤트 발생에 대한 부인방지가 요구되는 경우, 부인방지기능을 지원해야 함
5	보안성	감사 추적	감사 추적이 필요한 경우, 사용자 접근이력 등을 기록해야 하고, 이를 지정된 보유 기간에 따라 안정적인 저장소에 보관해야 함
6	보안성	인증 매커니즘	사용자 인증이 요구되는 경우, 지정된 인증 매커니즘에 따라 사용자를 인증해야 함
7	보안성	인증 규칙	사용자 인증이 요구되는 경우, 지정된 인증 규칙에 따라 사용자를 인증해야 함

 

[표 7] 점검 항목

 

4) 결과 요약

보안성 테스팅은 농업00000시스템 v1.0을 대상으로 이루어졌다. 그 결과 총 4개의 취약점이 발견되었다.

진단 결과는 다음 표와 같다.

번호	코드	점검항목	요약	1차결과	수정확인
1	S-1	접근통제	로그인 기능이 정상적으로 동작하는지, URL 직접 접근제한이 되는지, 웹페이지 자동 차단 확인을 하였으며, 웹페이지 자동 차단(세션차단) 기능이 구현되어 있지 않았으며, Index of 디렉토리 노출 취약점이 발견되었음	FAIL	PASS
2	S-2	암호알고리즘	제품에서 사용하는 암호 알고리즘은 안전한 알고리즘인지 확인 필요	확인 필요	PASS
3	S-3	데이터파손변경방지	데이터파손/변경 방지 점검항목의 경우 해당되지 않는 제품임으로 평가항목에서 제외함	N/A	N/A
4	S-4	데이터파손을 위한 예방책	본 제품의 경우 시스템 백업 기능을 제공(사용자설명서 111페이지 3.2.3. 시스템 백업 및 복원 참고)하며 기능을 확인이 필요함	확인 필요	PASS
5	S-5	부인방지	부인방지가 요구되는 기능을 확인하는 항목으로 해당되지 않는 제품임으로 평가항목에서 제외함	N/A	N/A
6	S-6	감사기록	로그인 기능이 있는 경우 로그인 감사기록(사용자ID, 로그인/로그아웃 일시, 로그인성공/실패여부 등)을 로그 기록 기능을 제공해야 함	FAIL	PASS
7	S-7	감사기록 보관	감사 로그 데이터 백업 기능이 있어야함. 웹 화면에서 엑셀로 내보내기 기능을 추천함(또는 로그로 보관)	FAIL	PASS
8	S-8	인증매커니즘	해당 제품은 ID/Password를 사용하는 제품으로 기능이 정확하게 동작함을 확인하였으며, 해당 취약점은 발견되지 않았음	PASS	PASS
9	S-9	인증규칙	제품에서 사용하고 있는 계정 인증(ID/Password)의 생성규칙, 비밀번호 변경 기능에서 진단을 하였으며, 권장 Password에 못 미치는 부분이 발견되었음	FAIL	PASS
10	S-10	SQL Injection	OWASP ZAP 자동화 도구를 통하여 분석한 결과 해당 취약점은 3개 발견되었음	FAIL	PASS
11	S-11	Cross Site Scripting	OWASP ZAP 자동화 도구를 통하여 분석한 결과 해당 취약점은 발견되지 않았음	PASS	PASS
12	S-12	암호화 전송	Wireshark 3.6.5 도구를 통하여 분석한 결과 로그인시에 비밀번호가 암호화가 되어 있지 않은 상태에서 전송됨을 확인하였음 ※ HTTPS 프로토콜 사용을 권함	FAIL	PASS
13	S-13	비밀번호 저장 암호화	비밀번호는 안전한 일방향 암호화 알고리즘으로 암호화 되었는지 확인 필요함	확인 필요	PASS
14	S-14	로그인 실패시 메시지	로그인 실패시 메시지에 대한 취약점은 발견되지 않았음	PASS	PASS

- 취약점 요약 제공

......

 

 

김영찬 (소프트웨어 품질 전문가)

(재)전주정보문화산업진흥원(JICA)

소프트웨어 개발자로 10년간 발로 코딩 하다가 한계를 느끼고, 

2015년부터 소프트웨어 품질에 몸을 담고 기업을 돕고 있음

email.  sweng@jica.or.kr  / tel. 063-281-4113

주업무 : 소프트웨어 품질 컨설팅, 테스팅,  KOLAS 기술책임자, 개발자 네트워크 운영

자격

  - SP, CMMI, VSE(ISO 29110), ISMS(ISO 27001) 인증 심사원

  - AIT, ISTQB FL, CSTS, 29119 외 다수