파이어폭스 브라우저의 개발사인 모질라에서 SSL Labs 및 High-Tech Bridge의 분석 서비스와 유사한 Observatory라는 무료 웹사이트 보안 검사 유틸리티를 발표 했습니다.
https://observatory.mozilla.org
0에서 130까지 점수를 매긴 다음 다시 A에서 F 등급으로 변환해서 점수를 표시해주는데요.
최근 bitfinex 해킹사건도 있었고 예전 마운트곡스 사건도 일어나면서 거래소를 이용하는 유저들은 거래소 보안에 대한 관심이 크게 있을거라 보입니다.
해당 유틸리티는 우리가 자주 사용하는 거래소들은 얼마나 사이트 보안에 신경썼는지 알수있는 하나의 지표가 될 수 있지 않나 싶습니다.
물론 이점수가 100%라고는 할 수는 없습니다. 사이트 디자인에 따라 필요없는 보안기능은 줄이는게 웹디자인에 최적화에 도움이 된다고 보네요.
가벼움을 위해서라두요. 그렇다고 이 결과들이 무시할 수 있는 부분은 아니라고도 생각이 되구요.
거래소라면 가벼움보다는 보안에 더 신경써야 된다고 저 개인적으로 생각하고 있습니다.
검사하는 내용은 아래와 같습니다.
[1] 콘텐츠 보안 정책 Content Security Policy (CSP)
[2] 쿠키 파일의 보안 플래그 여부
[3] 교차출처 자원 공유 Cross-Origin Resource Sharing (CORS)
[4] HTTP Public Key Pinning (HPKP)
[5] HTTP Strict Transport Security (HSTS)
[6] HTTP에서 HTTPS로 자동 리다이렉트 존재 여부
[7] 하위 리소스 무결성 Subresource Integrity (SRI)
[8] X-Content-Type-Options
[9] X-Frame-Options (XFO)
[10] X-XSS-Protection
본 검사가 130만 곳 이상의 웹사이트를 자동 검사한 결과 91% 이상이 이 테스트를 통과하지 못 했다고 합니다.
국내쪽 포털이나 이런쪽은 F로 전멸이네요.
우선 세계적으로 또는 국내에서 주요 사용하는 웹사이트들을 측정해보겠습니다.
Google D
https://observatory.mozilla.org/analyze.html?host=google.com
Ebay F
https://observatory.mozilla.org/analyze.html?host=www.ebay.com
Amazon F
https://observatory.mozilla.org/analyze.html?host=amazon.com
icloud C+
https://observatory.mozilla.org/analyze.html?host=www.icloud.com
Facebook B
https://observatory.mozilla.org/analyze.html?host=www.facebook.com
Twitter A
https://observatory.mozilla.org/analyze.html?host=twitter.com
GitHub A+
https://observatory.mozilla.org/analyze.html?host=github.com
Wikipedia C-
https://observatory.mozilla.org/analyze.html?host=www.wikipedia.org
Naver F
https://observatory.mozilla.org/analyze.html?host=naver.com
Daum F
https://observatory.mozilla.org/analyze.html?host=www.daum.net
땡글 F
https://observatory.mozilla.org/analyze.html?host=www.ddengle.com
최근 해킹당한 인터파크 F
https://observatory.mozilla.org/analyze.html?host=www.interpark.com
이정도만 보면 많은 사이트들이 F 부적격 판정을 받고있네요.
그럼 자주 사용하는 거래소들은 어떨까요?
우선 요번에 해킹사건이 있었던 비트파이넥스입니다.
Bitfinex F
https://observatory.mozilla.org/analyze.html?host=www.bitfinex.com
Okcoin F
https://observatory.mozilla.org/analyze.html?host=www.okcoin.com
Chbtc F
https://observatory.mozilla.org/analyze.html?host=www.chbtc.com
Huobi F
https://observatory.mozilla.org/analyze.html?host=www.huobi.com
Bitstamp F
https://observatory.mozilla.org/analyze.html?host=www.bitstamp.net
Poloniex B-
https://observatory.mozilla.org/analyze.html?host=poloniex.com
Kraken C
https://observatory.mozilla.org/analyze.html?host=www.kraken.com
Bithumb F
https://observatory.mozilla.org/analyze.html?host=www.bithumb.com
Korbit B-
https://observatory.mozilla.org/analyze.html?host=www.korbit.co.kr
Coinone F
https://observatory.mozilla.org/analyze.html?host=coinone.co.kr
Coinplug F
https://observatory.mozilla.org/analyze.html?host=www.coinplug.com
Coinpia F
https://observatory.mozilla.org/analyze.html?host=www.coinpia.com
Cointrade F
https://observatory.mozilla.org/analyze.html?host=www.cointrade.co.kr
상당수의 거래소들이 F판정 부적격을 받았네요. 거래소들이라면 최소한 D이상은 받았으면 좋겠는데... 아쉽네요.
F=보안이 낮다? 꼭 그렇지만은 않습니다. 모든 사이트들마다 각자의 보안시스템이 적용되고 있고 사이트 디자인에 따라 다를 수 있습니다.
그래서 해당 결과들이 무조건적으로 맞는 지표라고 보기도 어렵습니다. 하지만 또 결과가 틀렸다고는 할 수는 없겠죠.
해당 결과는 사이트 보안이 어느정도 수준인지 참고하실때 좋을것 같네요.