보안

Wink 보안 개요 문서

최종 업데이트: 2024년 9월 7일

버전 1.0

목적 및 범위

사용자 데이터 보호와 보안에 대한 지속적인 약속의 일환으로, 당사는 웹 애플리케이션에 대해 정기적인 침투 테스트를 수행합니다. 이 문서에서는 테스트 방법론을 설명하고, 결과 요약을 제공하며, 지속적인 보안 개선 접근 방식을 강조합니다.

새로운 보고서가 작성되거나 중요한 변경 사항이 발생할 경우 이 문서는 업데이트됩니다.

적용 도메인:
*.wink.travel
*.trippay.io

테스트 빈도 및 일정

당사의 침투 테스트는 연간 단위로 수행되며, 애플리케이션 또는 인프라에 중대한 업데이트가 있을 경우 추가 테스트가 예정됩니다. 이러한 정기적인 테스트 주기는 진화하는 위협에 선제적으로 대응하고 안전한 환경을 유지하는 데 도움이 됩니다.

테스트 방법론

당사의 침투 테스트는 다음을 포함하되 이에 국한되지 않는 다양한 보안 측면을 포괄합니다:

• OWASP Top 10: 인젝션, 인증 취약점, 크로스사이트 스크립팅(XSS) 등 가장 중요한 보안 위험을 집중적으로 테스트합니다.
• 블랙박스 및 그레이박스 테스트: 범위에 따라 외부 및 내부 공격 시나리오를 시뮬레이션하기 위해 이 방법론을 활용합니다.
• 자동화 및 수동 테스트: Burp Suite Pro라는 선도적인 보안 테스트 도구를 사용하여 자동화된 보안 스캔을 수행하고, 복잡한 취약점을 식별하기 위한 수동 테스트 기법을 보조합니다. 특정 취약점 식별을 위해 SQLmap과 같은 전문 도구도 사용합니다.

결과 요약

다음은 최근 침투 테스트 보고서의 주요 요약입니다:

• 식별된 총 취약점 수: 2
• 심각도 분포:
  • 치명적: 2
• 발견된 취약점 유형:
  • 접근 제어 취약
  • 불안전한 설계

자세한 결과는 전체 보고서를 참조해 주십시오.

위험 등급 및 영향

발견된 두 취약점 모두 치명적으로 평가되었으며, 심각한 재정적 영향을 미칠 수 있었습니다. 첫 번째 취약점은 악의적인 인증된 사용자가 다른 회사의 Trippay 결제 계정을 제어할 수 있게 했습니다. 두 번째 취약점은 악의적인 사용자가 예약에 필요한 결제 금액을 변경할 수 있게 했습니다.

수정 및 완화 조치

식별된 취약점을 해결하기 위해 다음과 같은 조치를 취했습니다:

• 즉각적인 패치: 치명적인 취약점은 발견 후 48시간 이내에 패치되었습니다.
• 코드 검토 및 강화: 개발팀은 당사의 권고에 따라 추가 보안 통제를 구현했습니다.

지속적인 개선

침투 테스트는 지속적인 보안 개선을 위한 광범위한 전략의 일부입니다. 각 테스트 결과는 보안 정책을 안내하고, 개발 관행에 영향을 미치며, 보안 아키텍처 개선을 추진합니다.

팀 전문성

당사의 침투 테스트는 다양한 프로젝트와 산업 분야에서 풍부한 경험을 가진 내부 전문가가 수행합니다. 최신 도구와 방법을 사용하여 애플리케이션이 최신 보안 위협에 대해 철저히 테스트되도록 보장합니다.

보안에 대한 약속

당사는 사용자와 이해관계자를 위한 안전한 애플리케이션 환경을 유지하는 데 전념하고 있습니다. 보안 테스트 및 개선에 대한 지속적인 노력은 진화하는 위협으로부터 보호하겠다는 우리의 의지를 보여줍니다.

보고서 접근 및 업데이트

이 문서는 새로운 침투 테스트 보고서가 발행될 때마다 지속적으로 업데이트됩니다. 전체 보고서에 접근하려면 아래 이메일로 문의해 주십시오. 향후 업데이트에는 새로 식별된 취약점, 수정 노력, 테스트 방법론 조정이 포함될 예정입니다.

추가 문의는 [email protected]로 연락해 주십시오.