웹 취약점 관리의 비용 및 복잡성 최소화

Size: px

Start display at page:

Download "웹 취약점 관리의 비용 및 복잡성 최소화"

대성 뇌
5 years ago
Views:

1 백서 : 웹취약점관리의비용및복잡성최소화 백서 웹취약점관리의비용및복잡성최소화

2 웹취약점관리의비용및복잡성최소화 목차 간소화된웹취약점평가의필요성 취약점방치로인한웹사이트보안약화 ,253 개의새로운취약점 웹공격 93% 증가 값비싸고복잡한기존솔루션 웹취약점탐지간소화 : 관리형방식 웹사이트취약점평가개요 웹사이트취약점평가 vs 악성코드검사 취약점평가서비스구성 취약점검사 취약점평가리포트검토 결론 용어설명 Crimeware( 크라임웨어 ) Cross-Site Scripting( 교차사이트스크립팅, XSS) Identity Theft( 신원도용 ) SQL Injection(SQL 인젝션 ) Vulnerability( 취약점 )

3 간소화된웹취약점평가의필요성 2010 년 6 월한해커그룹이 AT&T 웹사이트의보안허점을악용하여 Apple ipad 고객 12 만명이상의이메일주소를알아냈습니다. 1 유출고객에는정부기관, 군기관및금융, 미디어, 기술업계기업의최고책임자까지포함되어있었습니다. 2 이와같은 사고가흔하게발생하고있습니다 년에는웹기반공격이 93% 나증가했으며 한해동안해킹으로발생한데이터보안사고를통해평균 23 만명의신원정보가 유출되었습니다. 3 최근 Ponemon Institute 에서실시한조사결과를살펴보면 4 지난 12 개월간보안사고가 2 건이상발생했다고밝힌응답자가 90% 를차지했으며, 같은기간에수차례사고가발생했다고응답한사람이거의 2/3 에달했습니다. 이러한보안사고는막대한경제적 부담을초래할수있습니다. 앞서말한조사에서확인된미국내데이터유출사고의평균 비용은 720 만달러였으며사고해결에최고 3,530 만달러가투입된경우도있습니다. 5 개인정보가관련된보안사고가발생하면소비자는신뢰를잃게됩니다. 실제로인터넷 사용자의절반이상이금융정보가유출될까봐온라인구매를삼가고있습니다. 6 그러므로각기업은각종보안사고를방지하는데총력을기울여야합니다. 취약점방치로인한웹사이트보안약화 6,253 개의새로운취약점시만텍은 2010 년한해동안이보고서를발행한이래가장많은취약점을찾아냈습니다. 뿐만아니라취약점의영향을받는신규벤더의수도 1,914 개로전년대비 161% 증가했습니다. 웹공격 93% 증가 웹공격툴킷이확산되면서 2010 년의웹기반공격볼륨이 2009 년대비 93% 증가했습니다. 여기에는단축 URL 도일조한것으로보입니다 년에 3 개월간관찰한 바에따르면, 소셜네트워크에서발견된악성 URL 의 65% 가단축 URL 이었습니다. 해커와사이버범죄자는정보나서비스의무결성, 가용성, 기밀성을손상시키기위해무수히많은수단을동원하여공격을감행합니다. 상당수는시스템소프트웨어의일반적인결함을이용하는데, 이러한결함은시스템또는네트워크전반에서보안취약점으로작용합니다. 부적절한시스템또는보안구성으로인한취약점을악용하는경우도있습니다. 이미알려진취약점만하더라도수만개에이릅니다. 시만텍은 2010년에 6,253개의신종취약점을찾아냈습니다. 7 이는과거어느해보다도많은것입니다. 대부분의경우취약점이발견되면소프트웨어개발자가신속하게해결에앞장서서소프트웨어업데이트와보안패치를발표합니다. 하지만해커는가장쉽게가장많은수의웹사이트에침투하여중요한데이터를훔쳐내거나악성코드를설치할수있는방법을끊임없이찾아내므로기업이이러한공격에한발앞서대처할리소스나인력을항상보유할수는없습니다. 1 CNET News: AT&T Hacker Indicted, Report Says. 2011년 7월 7일 CNET News: AT&T Web Site Exposes Data of 114,000 ipad Users. 2010년 6월 10일 html 3 시만텍 : 인터넷보안위협보고서 (ISTR) 제16호. 2011년 3월 Ponemon Institute: Perceptions About Network Security. 2011년 6월 - ponemon-perceptions-network-security.pdf 5 Ponemon Institute 및시만텍 : 2010 Annual Study: U.S. Cost of a Data Breach. 2011년 3월 Javelin Strategy and Research: 2011 Identity Fraud Survey Report. 2009년 3월 시만텍 : 인터넷보안위협보고서 (ISTR) 제16호. 2011년 3월 - / 3

4 가장위험한공격은해커가데이터베이스에액세스하기위해이용하는 SQL 인젝션, 웹사이트에코드를추가하여작업을실행시키는교차사이트스크립팅 (XSS) 과같이 자동화할수있는공격입니다. 공격자는이러한방법으로웹애플리케이션을제어하고 서버, 데이터베이스, 기타 IT 리소스에손쉽게액세스할수있습니다. 공격자가일단 리소스에액세스하는데성공하면고객의신용카드번호나그밖의개인정보를입수할 수있습니다. 시만텍이 2010년에밝혀낸악성코드공격은 30억건이상이며, 웹기반공격량은 2009년대비약 90% 증가했습니다. 여기에는자동화된스크립트및웹공격툴킷의확산도원인으로작용했습니다. 일반적으로이러한킷에는취약점을악용하는악성코드가미리작성된형태로포함되어있으므로신원도용및그밖의목적으로손쉽게광범위한공격을시작할수있습니다. 값비싸고복잡한기존솔루션웹기반공격및데이터유출의위험이증가하면서취약점관리가더욱어려워지고있습니다. 기존의솔루션중상당수는 PCI(Payment Card Industry) 데이터보안표준과같은엄격한컴플라이언스요구사항을준수해야하는대기업의상황에맞게설계된것입니다. 이러한솔루션은한정된수의보안위협을탐지하도록되어잇으며우선순위가낮은취약점과관련된불필요한데이터를대량생성함으로써즉시수행해야하는핵심적인보안조치를판별하기어렵다는문제가있습니다. Ponemon Institute 의설문조사에따르면응답한기업의절반가량이네트워크보안솔루션을구현하는최대걸림돌로복잡성과제한적인 IT 리소스를꼽았으며 76% 가 네트워크보안운영의효율화또는간소화가필요하다고답했습니다. 웹취약점탐지간소화 : 관리형방식기업이해커에한발앞서대처하기위해서는웹사이트의최대취약점을신속하고편리하게찾아낼수있는솔루션이필요합니다. 시만텍은클라우드기반의취약점평가를제공하여웹사이트에서가장악용되기쉬운약점을신속하게찾아내해결할수있도록지원합니다. 웹사이트취약점평가개요 시만텍취약점평가를이용하면웹사이트에서악용될소지가있는약점을신속하게 찾아낼수있습니다. 시만텍취약점평가는 Symantec Premium, Pro, EV(Extended Validation) SSL Certificates 구매시무료로이용할수있으며다음과같이기존의보호기능을보완합니다. 일반에게공개되는웹페이지, 웹기반애플리케이션, 서버소프트웨어, 네트워크포트를대상으로매주자동취약점검사를실시합니다. 즉시조사해야하는중대한취약점과리스크가낮은항목을모두알리는리포트를생성합니다. 취약점이해결되었는지여부를확인하기위해웹사이트를다시검사하는옵션도제공됩니다. 취약점평가서비스를 Symantec SSL Certificate 및일일웹사이트악성코드검사 기능과함께사용하면고객의웹사이트와방문객을안전하게보호할수있습니다. 웹사이트취약점평가 vs 악성코드검사 웹사이트취약점평가는보안공격의 진입점을검사하여보고합니다. 악성 코드검사는사이트와네트워크에있는 유해한소프트웨어를찾아냅니다. 사이트에서악성코드가발견되면이미 보안공격의진입점이생성되었다고 볼수있습니다. 사이트의취약점을 해결하면악성코드와같은잠재적 보안공격을차단할수있습니다. 4

5 취약점평가서비스구성 기존고객, 갱신고객, 신규고객모두 Symantec Trust Center, Symantec Trust Center Enterprise 또는 Managed PKI for SSL 관리콘솔 * 에서취약점평가서비스옵션을사용할수있습니다. 이서비스는관련 SSL 인증서의일반이름과동일한 FQDN(Fully Qualified Domain Name) 에서시작합니다. SSL 인증서로여러도메인을보호할경우관리콘솔에서각각에대한취약점평가를활성화할수있습니다. * 구성및알림옵션은사용하는관리콘솔에따라달라집니다. 취약점검사취약점평가는가장대표적인공격에서흔히사용하는진입점을탐지합니다. 이기능이활성화되면최초의취약점검사가 24시간내로시작됩니다. 그런다음매주자동으로사이트검사를실시하며고객은필요에따라재검사를요청할수있습니다. 취약점검사는흔히사용되는네트워크포트를모두검사하는데총 1,000 개가넘습니다. 이검사에서는가장대표적인유형의취약점, 이를테면오래되었거나패치가적용되지 않은소프트웨어, 교차사이트스크립팅 (XSS), SQL 인젝션, 백도어 를탐지하며새로운 취약점이발견되는대로자주업데이트됩니다. 5

6 표 1. 취약점평가검사활동의세부사항 영역 네트워크레벨 웹서버소프트웨어 SMTP 소프트웨어 Telnet 서비스 SSH 서비스 FTP 서비스 웹프레임워크 웹애플리케이션취약점 SSL 인증서사용과관련된잠재적문제 암호화되지않은데이터전송 검사항목의예 기본적인포트검사및데이터분석을수행하여시스템에지장을주지않으면서잠재적취약점식별 Apache HTTP Server 및대표적인플러그인 Microsoft IIS Tomcat JBoss Sendmail Postfix Microsoft Exchange Server Unix 시스템 OpenSSH SSH.com 소프트웨어 대표적인 FTP 데몬 Microsoft ASP.NET, Adobe JRun, Adobe ColdFusion, Perl, PHP, ColdFusion, ASP/ASP.NET, J2EE/JSP 대표적인 CMS 시스템 (WordPress, Django, Joomla, Drupal 등 ) 전자상거래애플리케이션 (CubeCart, ColdFusion Shopping Cart, KonaKart 등 ) 웹관리소프트웨어 (phpmyadmin) Forum 소프트웨어 광고 / 통계추적애플리케이션 상호연관적인교차사이트스크립팅취약점 기본적인 SQL 인젝션취약점 신뢰할수없는 SSL 인증서 ( 알수없는 CA 에서서명한인증서 ) 자체서명인증서검사 인증서일반이름불일치 약한암호사용 인증서만료또는해지 비 SSL 대상양식을제출하는로그인페이지 검사에서취약점이탐지되었고사용자가문제해결조치를수행했다면취약점이제대로 처리되었는지확인하기위해재검사를요청할수있습니다. 6

취약점평가리포트검토 취약점검사가끝나면 Symantec Trust Center, Symantec Trust Center Enterprise 또는 Managed PKI for SSL 관리콘솔에서웹사이트취약점에관한종합리포트를 PDF 형식으로받아볼수있습니다. 검사에서중대한취약점이발견되면콘솔에도알림이 표시됩니다.

7 취약점평가리포트검토 취약점검사가끝나면 Symantec Trust Center, Symantec Trust Center Enterprise 또는 Managed PKI for SSL 관리콘솔에서웹사이트취약점에관한종합리포트를 PDF 형식으로받아볼수있습니다. 검사에서중대한취약점이발견되면콘솔에도알림이 표시됩니다. IT 담당자는각리포트가제공한데이터를활용하여문제를조사하고관리자에게정확하게보고할수있습니다. 이리포트는중대한취약점을알려주며심각도, 관련보안 위협, 잠재적영향등필요한정보를함께제공합니다. 또한각문제를해결하기위해 취해야할조치도설명합니다. 결론 해커와사이버범죄자의공격수법과표적이더욱지능적으로진화하고있습니다. 한발앞서대처하기위해서는신속한툴이필요합니다. 자동취약점평가를수행하여 익스플로잇취약점을탐지하고적절한조치를취한다면해커의표적이되어공격받을 위험성을최소화할수있습니다. 시만텍취약점평가는자동화된검사, 실행가능한리포트, 소프트웨어설치나유지보수의부담이없는클라우드기반아키텍처를제공하여취약점관리의경제적부담을줄이고복잡성을최소화합니다. 이솔루션은웹사이트취약점의전범위를신속하게평가해야하는기업에게매우유용합니다. 웹사이트취약점평가는이미 PCI 등과같은컴플라이언스의취약점을검사하는솔루션을사용중이고그결과를교차검사하는보안솔루션을도입하여보안수준을한층강화하려는기업에게도효과적입니다. 취약점평가서비스를 Symantec SSL Certificates 및일일웹사이트악성코드검사기능과함께사용하면고객의웹사이트와방문객을안전하게보호할수있습니다. 7

8 용어설명 Crimeware( 크라임웨어 ) 범죄를저지르는데사용되는소프트웨어. 사이버범죄와마찬가지로, 크라임웨어는 다양한악성소프트웨어나악용소지가있는소프트웨어를포괄적으로지칭하는 말입니다. Cross-Site Scripting( 교차사이트스크립팅, XSS) 침입자가무단스크립트를삽입하여브라우저의보안장벽을우회하는공격. Identity Theft( 신원도용 ) 사기나기타범죄를저지르기위해타인의신원정보를훔쳐서가장하는행위. SQL Injection(SQL 인젝션 ) 외부자가인터넷에연결된사이트의일부에서안전하지않은코드를통해무단으로 SQL 명령을실행할수있는웹기반공격. 무단 SQL 명령을실행하면마치기업의호스트 시스템에서액세스한것처럼데이터베이스의기밀정보에액세스할수있습니다. Vulnerability( 취약점 ) 공격자가다른사용자로서명령을실행하거나, 데이터에지정된액세스제한을어기고 해당데이터에액세스하거나, 다른개체로위장하거나, 서비스거부 (DoS) 공격을수행할 수있는컴퓨팅시스템또는시스템집합의상태. 8

9 자세히보기 시만텍취약점평가는 Symantec Premium, Pro, EV(Extended Validation) SSL Certificates 구매시추가비용없이이용할수있습니다. 또한시만텍은취약점을제거하고사이트와네트워크를최적의방식으로중단없이운영할수있도록지원하는 업계의대표주자들을선별했습니다. 여기에는컨설턴트부터소프트웨어벤더까지 전문적으로취약점을해결하는모든업체가포함됩니다. 추가정보 웹사이트 Product Specialist 에게제품문의 TEL: 시만텍소개 시만텍은보안, 스토리지및시스템관리솔루션을제공하는세계적선두기업으로, 기업및개인이정보를보호하고관리할수있도록지원합니다. 시만텍의솔루션과 서비스는다양한위협으로부터완벽하고효율적인보호를제공하며정보가사용되거나 저장되는장소에상관없이기업과개인이정보에대한확신을가질수있도록돕습니다. 보다자세한정보는 에서확인하실수있습니다. 지역본사 134 Moray St. South Melbourne, Victoria 3205, Australia Copyright 2012 Symantec Corporation. All rights reserved. Symantec, Symantec 로고, Checkmark 로고는미국및기타국가에서 Symantec Corporation 또는그자회사의상표또는등록상표입니다. VeriSign 및기타관련마크는미국및기타국가에서 VeriSign, Inc. 또는그자회사나계열사의상표또는등록상표이며 Symantec Corporation 에라이센스가부여되었습니다. 다른이름은해당회사의상표일수있습니다.

보안과 신뢰: 인터넷을 통한 비즈니스 활동의 근간

백서: 보안과 신뢰: 인터넷을 통한 비즈니스 활동의 근간 백서 보안과 신뢰: 인터넷을 통한 비즈니스 활동의 근간 보안과 신뢰: 인터넷을 통한 비즈니스 활동의 근간 목차 서론.............................................. 3 암호화 기술 및 SSL 인증서................................. 4 암호화