다수의 사용자가 동시에 접속하는 서비스는 DDoS(디도스) 공격이나 무차별 스캔의 주요 타겟이 되고 있습니다.

​

이에 대응하기 위해 나우컴퍼니는 다음과 같은 보안 체계를 운영 중입니다.

​

DDoS 보호 서비스 – 트래픽 폭주, 자동 감지·차단

​

DDoS(Denial of Service)는 특정 서버에 과도한 트래픽을 집중시켜 정상적인 이용을 방해하는 공격입니다.

이에 대비하여 나우컴퍼니는 HTTP 계열 DDoS 방어 정책을 적용 중입니다.

​

1. 자동 트래픽 감지

• 동일 IP가 60초 내에 특정 URL을 100회 이상 요청할 경우,

→ 해당 IP는 60분 동안 자동 차단됩니다.

​

2. 공격 차단 예시

• 크롤링 봇, 반복 로그인 시도, 강의영상 요청 폭주 등

접속자 IP 목록을 사전에 전달해주시면 예외(화이트리스트) 처리해드립니다.

접근 관리 – 관리자·민감 경로, IP 기반 보호

​

관리자 페이지나 데이터 설정 파일 경로는 해커가 가장 먼저 노리는 지점입니다.

OWASP Top 10에서 지적하는 주요 보안 취약점(A01: 접근통제 실패, A05: 설정 오류)을 방지하기 위해,

나우컴퍼니는 다음과 같은 접근 제어 정책을 운영합니다:

​

• /adm, /backoffice, /phpMyAdmin 등

→ 등록된 IP에서만 접속 가능, 외부 접속은 차단

​

• /config, /data 폴더

웹쉘 업로드, 악성 스크립트 실행 등의 실질적인 보안 위협을 방어하는 핵심 영역입니다.

​

※ 최근 /data 폴더에 업로드된 .sh 파일이 서버를 해킹한 사례도 있었던 만큼,

폴더별 실행 차단 정책은 실제 보안 사고를 방지하는 중요한 요소입니다.

​

웹 보안 룰셋 – OWASP Top 10 기반 대응 정책

​

나우컴퍼니는 국제 웹 보안 기준인 OWASP Top 10을 기반으로 웹방화벽(WAF)을 통한 보안 정책을 운영합니다.

​

• OWASP Top 10이란?

- 웹사이트가 해킹당하지 않기 위해 가장 주의해야 할 10가지 보안 취약점 목록으로,

- 매년 업데이트되며 세계적으로 표준처럼 활용됩니다.

​

​

• 적용 예시:

- A01. Broken Access Control → 관리자 경로 IP 제어

- A05. Security Misconfiguration → 실행 파일 업로드 차단

• 나우컴퍼니의 WAF는 WEB 서버에 적용되어, 실시간으로 공격 패턴을 탐지하고 차단하며

새로운 공격 시도에 대해 룰셋을 지속적으로 업데이트합니다.

​

​

공격은 ‘가능성’이 아닌 ‘현실‘입니다.

최근 다양한 업종의 기업들이 DDoS 공격, 불법 크롤링, 인증 우회 시도 등으로 인해 실제 피해를 입고 있습니다

​

■ DDoS 및 크롤링, 봇 공격시 예상 피해

- 하루 다운 시 약 수천만 원 이상의 피해 발생

- 웹사이트 또는 서버가 공격으로 인해 다운되었을 경우,

​

① 거래 중단

② 매출손실

③ 고객 신뢰 하락 및 고객이탈

④ 브랜드 이미지 타격

​

* 그외 법적 리스크 등으로 인해 수천만 원에 달하는 간접 비용이 추가 발생할 수 있습니다.

온라인 교육 플랫폼, 웹 기반 고객 시스템, 관리자 도구 등

서비스의 90% 이상은 웹 위에서 운영됩니다.

​

보안은 단순한 기술 요소가 아니라 고객 신뢰와 서비스 연속성의 핵심입니다.

​

나우컴퍼니는 앞으로도 DDoS 방어, 접근 통제, WAF 룰셋 강화 등