# 26년도 웹 서비스 취약점 점검 항목 비교
2026년 주요정보통신기반시설 기술적 취약점 분석·평가 상세가이드에 "III. 웹 서비스" 분야 체크리스트가 추가됐습니다.
기존에 유닉스와 윈도우 서버 항목에 분산되어 있던 웹 서버(Apache, IIS, Tomcat 등) 관련 설정들이 WEB 코드로 통합 및 체계화 됐습니다.
# 웹 서비스 (WEB) 점검 항목 목록
총 26개 항목으로 구성되어 있습니다.
| 구분 | 중요도 | 항목 코드 | 항목 명칭 |
| 1. 계정 관리 | 상 | WEB-01 | Default 관리자 계정명 변경 |
| 상 | WEB-02 | 취약한 비밀번호 사용 제한 | |
| 상 | WEB-03 | 비밀번호 파일 권한 관리 | |
| 2. 서비스 관리 | 상 | WEB-04 | 웹 서비스 디렉터리 리스팅 방지 설정 |
| 상 | WEB-05 | 지정하지 않은 CGI/ISAPI 실행 제한 | |
| 상 | WEB-06 | 웹 서비스 상위 디렉터리 접근 제한 설정 | |
| 중 | WEB-07 | 웹 서비스 경로 내 불필요한 파일 제거 | |
| 하 | WEB-08 | 웹 서비스 파일 업로드 및 다운로드 용량 제한 | |
| 상 | WEB-09 | 웹 서비스 프로세스 권한 제한 | |
| 상 | WEB-10 | 불필요한 프록시 설정 제한 | |
| 중 | WEB-11 | 웹 서비스 경로 설정 | |
| 중 | WEB-12 | 웹 서비스 링크 사용 금지 | |
| 상 | WEB-13 | 웹 서비스 설정 파일 노출 제한 | |
| 상 | WEB-14 | 웹 서비스 경로 내 파일의 접근 통제 | |
| 상 | WEB-15 | 웹 서비스의 불필요한 스크립트 매핑 제거 | |
| 중 | WEB-16 | 웹 서비스 헤더 정보 노출 제한 | |
| 중 | WEB-17 | 웹 서비스 가상 디렉토리 삭제 | |
| 상 | WEB-18 | 웹 서비스 WebDAV 비활성화 | |
| 3. 보안 설정 | 중 | WEB-19 | 웹 서비스 SSI(Server Side Includes) 사용 제한 |
| 상 | WEB-20 | SSL/TLS 활성화 | |
| 중 | WEB-21 | HTTP 리디렉션 | |
| 하 | WEB-22 | 에러 페이지 관리 | |
| 중 | WEB-23 | LDAP 알고리즘 적절하게 구성 | |
| 4. 패치/로그 | 중 | WEB-24 | 별도의 업로드 경로 사용 및 권한 설정 |
| 상 | WEB-25 | 주기적 보안 패치 및 벤더 권고사항 적용 | |
| 중 | WEB-26 | 로그 디렉터리 및 파일 권한 설정 |
# 주요 특징
- 서버 유형 통합: Apache, Nginx, IIS, Tomcat, JEUS 등 다양한 웹 서버 솔루션에 공통적으로 적용 가능한 항목들로 구성됐습니다.
- WEB-20 (SSL/TLS 활성화): HTTPS 통신을 강제하는 보안 설정이 명시적으로 포함됐습니다.
- WEB-18 (WebDAV 비활성화): 취약점이 자주 발생하는 WebDAV 기능 차단이 중요 항목으로 다루어집니다.
2026년 가이드의 웹 서비스 취약점 점검 항목 비교를 스프레드시트 형태로 만들어 봤습니다.
아무래도 누락된 부분이 있을 수도 있으니, 참고만 하길 바랍니다.
'100. IT & Security > 105. ETC' 카테고리의 다른 글
| 제어시스템-2026년 주요정보통신기반시설 수정/변경 (0) | 2026.01.05 |
|---|---|
| PC-2026년 주요정보통신기반시설 수정/변경 (0) | 2026.01.04 |
| Windows-2026년 주요정보통신기반시설 수정/변경 (0) | 2026.01.04 |
| Linux/Unix-2026년 주요정보통신기반시설 수정/변경 (0) | 2026.01.04 |
| 26년도 주요정보통신기반시설 변경 건 (0) | 2026.01.03 |
