웹서버 호스트 설정 미흡, ‘피싱’ 사고 부른다

2009.09.22 10:18:07 / 이유지 기자 yjlee@ddaily.co.kr

- HTTP 호스트 헤더값 지정 안하면 피싱서버 악용 가능

특정 웹서버의 호스트 설정 미흡이나 오류가 ‘피싱’ 등 웹사이트 사칭 사고를 부를 수 있다는 지적이 나왔다.

22일 한국인터넷진흥원(KISA) 인터넷침해대응센터가 발간한 ‘인터넷 침해사고 동향 및 분석 월보(8월호)’에 따르면, 국내외에서 운영 중인 웹사이트 100개 중 60%가 웹서버 HTTP 헤더의 호스트값을 명확히 설정하지 않고 운영 중인 것으로 나타났다.

이 경우 피싱서버로 악용되거나 운영 중인 웹사이트에 악의적인 내용이 담긴 도메인을 등록해 피해를 입을 수 있다는 분석이다.

웹서버의 설정 호스트 헤더값을 지정하지 않으면 대부분의 웹서버에서는 제한 없이 HTTP 접속 요청을 모두 받아들이기 때문에, 실제 서비스 도메인과 다른 도메인을 웹서버 IP로 등록해도 다른 도메인으로 접속할 수 있기 때문이다.

반면에 적절한 호스트 헤더 설정이 되어 있는 경우, 서비스하는 도메인과 다른 요청에 대해 HTTP 응답코드로 ‘400 Bad request’를 표시하게 되므로 서비스상의 혼란이라 악의적인 접속을 방지할 수 있다.

이렇게 웹서버에 설정되는 호스트 헤더는 하나의 웹서버, 하나의 IP에 다수의 도메인을 설정해 서비스하는 경우처럼 HTTP 규약에 따라 접속 요청의 대상을 구별 짓기 위해 주로 사용된다.  

그러나 웹서버에서 단일 도메인만 서비스하더라도 정확한 도메인정보를 호스트 헤더에 설정해 서비스에 문제가 없도록 운영해야 한다고 KISA는 지적했다.

KISA 인터넷침해대응센터는 “호스트헤더 설정은 시급히 조치돼야 하는 문제는 아닐 수 있겠지만, 서비스하는 호스트정보를 명확히 설정해 운영한다면 기관 사칭이나 악용 가능성을 줄일 수 있을 뿐만 아니라, 잘못 접속한 경우에서도 적절한 접속요청인지 구분할 수 있어 혼란을 줄일 수 있다”며, “이러한 세부 설정까지 문제없이 적용해 운영 중인 웹 사이트라면 운영수준이나 접속자들의 신뢰를 제고시킬 수 있다”고 강조했다.

<이유지 기자> yjlee@ddaily.co.kr


네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
LGU+, VR 헤드셋 가격 부담↓…‘피코 리얼… LGU+, VR 헤드셋 가격 부담↓…‘피코 리얼…
  • LGU+, VR 헤드셋 가격 부담↓…‘피코 리얼…
  • “손연재와 스마트홈트를” LGU+, V50S씽큐…
  • 삼성전자, 파운드리 고객 확보 ‘잰걸음’…獨…
  • LG전자, ‘V50S씽큐’ 시판…출고가 119만…