이제공하는소스코드통합보안관리시스템 BigLook WASS 제안서
1. 회사소개 2. BigLook WASS 개요 3. 상세기능소개 4. 적용사례및기대효과
1. 회사소개 1.1 개요 유무선통합및ICT 기술서비스리더기업 설립연도 : 1984년 3월 무선인터넷, 이동전화, 유무선네트웍서비스 소프트웨어개발및해외투자사업 T-biz 그룹웨어서비스오픈 (2012) Cloud SAP, CRM 서비스오픈 (2012) 구글오피스팩전자결재서비스오픈 (2011) 유무선통신통합 1위달성 (2011) 국가고객만족도 14년연속1위선정 ( 2011) 국내최초 Cloud 컴퓨팅플랫폼구축 (2009) 3
1. 회사소개 1.1 개요 애플리케이션소스코드취약점분석솔루션서비스제공 BigLook WASS 소스코드통합보안관리시스템 BigLook WASS Fuzzer 웹취약점분석시스템 이븐스타는소스코드취약점분석 / 개발자작업이력관리 / 웹취약점분석 / 비인가소스코드변경통제기능을제공하는 BigLook WASS 를중심으로보안솔루션을판매및서비스하고있는회사입니다. 애플리케이션개발단계부터소스코드취약점을점검하며운영및유지보수단계까지애플리케이션보안솔루션을제공함으로써소프트웨어개발전체과정에대한통합보안관리기능을지원합니다 전사보안을위해다양한제품과연동을하고있으며스마트폰앱에대한취약점분석등을수행할수있습니다. 4
1. 회사소개 1.1 개요 GS 인증 CC 인증 5
1. 회사소개 1.1 개요 특허 1 특허 2 특허 3 6
1. 회사소개 1.3 제품및서비스소개 BigLook WASS 소스코드통합보안관리시스템 소스코드취약점분석 / 개발작업이력관리 / 웹취약점, 개인정보노출분석 / 웹소스무결성감시 BigLook WASS Fuzzer 웹취약점분석시스템 OWASP Top 10 취약점점검 / 국정원 8 대취약점점검 / Active-X 연동 / 온라인업데이트 / 취약점해결방안제시 / 개인정보노출점검 / 네트워크취약점분석 BigLook Analyzer 보안로그분석시스템 보안취약점웹로그분석 / 보안사고추적 / 실시간해킹시도모니터링 / 홈페이지접속통계 BigLook Service 웹보안컨설팅 모의해킹 / 소스코드점검 / 보안로그분석 / 보안대책수립 7
1. 회사소개 1.4 고객리스트 BigLook WASS 8
1. 회사소개 1.4 고객리스트 BigLook WASS 모로코수출 9
1. 회사소개 1.4 고객리스트 BigLook Service 10
2. BigLook WASS 개요 2.1 필요성 소스코드취약점점검도구의필요성 애플리케이션공격증가 보안완성도에대한동기부족 보안취약여부확인의어려움 소스코드보안취약점점검 보안규정 소스와관련된전체개발과정을통합하는보안관리체계가필요 11
2. BigLook WASS 개요 2.1 필요성 주관관련규정내용시점비고 행정안전부 정보시스템구축. 운영지침개정안행정예고 SW 개발단계부터보안약점제거 ( 시큐어코딩 ) 의무화 (12-40 억, 14 년 1 월 -20 억, 15 년 1 월감리대상전사업대상 ) 감리법인은보안약점제거여부반드시포함 점검툴은 CC 인증제품사용 2012.05 인프라투자보다개발단계부터취약점제거중요 장광수정보화전략실장 시큐어코딩입법화 2011 년 11 월최종공청회완료 2012 년내시큐어코딩관련입법예고준비 2011.11 관련기사 금융감독원금융위원회 금융회사정보기술 (IT) 부문보호업무모범규준 금융회사는어플리케이션취약점에대해정기평가를실시하고이를 30 일이내금융위원회에보고하여야한다. 금융회사등은추진하고자하는정보기술부문관련사업에대해실제업무에적용하기전에취약점분석 평가를실시하고필요한보완조치의이행을완료하여야한다. (1) 전자금융기반시설의신규설치또는교체 변경하는사업 (2) 홈페이지를신규로개설또는변경하는사업 (3) 새로운정보기술 (IT) 또는전자적장치등을활용하여전자금융거래를처리하는사업 (4) 정보처리시스템개발, 운영등정보기술부문과관련된업무에대한제휴, 위탁또는외부주문 ( 이하 외부주문등 라한다 ) 사업 2011.11 12
2. BigLook WASS 개요 2.2 개요 BigLook WASS 제품개요 BigLook WASS는 Java, C/C++ 등의다양한언어의소스코드취약점분석도구입니다. BigLook WASS는애플리케이션보안사고로부터애플리케이션과데이터를보호할수있도록취약점의근본적인문제및보안성을향상시킬수있는방법론을제공합니다. BigLook WASS는모바일앱취약점점검이가능합니다. 구분 내용 제품용도 제품명 소스코드보안취약점점검 BigLook WASS 제품특징 지원언어 간단한설치와 Web 인터페이스로사용이편리 자동화된점검설정으로업무효율향상 계정별로권한부여해권한별다중개발프로젝트점검이가능 JSP, Java Android Java ASP, PHP C / C++,.NET 13
2. BigLook WASS 개요 2.3 주요기능 BigLook WASS 주요기능 Static Analysis 소스코드취약점분석 Management 권한관리 / 이력관리 소스코드보안취약점점검 Dynamic Analysis 웹취약점점검 / 개인정보노출 점검 / 네트워크취약점점검 Monitoring 소스코드위. 변조모니터링 14
2. BigLook WASS 개요 2.4 흐름도 BigLook WASS Agent 파일버전관리 취약점분석 리포트전송 BigLook WASS Fuzzer 웹취약점분석 개인정보노출점검 보고서생성 네트워크취약점분석 소스코드자동복구 Code Check In 개발자 BigLook WASS Manager 개발자 관리자 사용자인증 사용자권한통제 개발작업시소스코드취약점분석 버그수정 소스코드취약점분석 개발자접근및권한통제 작업이력추적및관리 위변조탐지및자동복구 소스코드취약점분석 소스작업이력추적 파일권한 / 이력관리 취약점이력관리 파일백업 품질 / 보안검수 제품릴리즈관리 개발개발자스스로개발단계에서점검 QA 운영서버이관전전수검사 배포및운영소스코드수정시실시간점검 시스템구성요소 : Manager, Agent, Fuzzer 의 3 가지요소로구성됩니다. 15
3. 상세기능소개 3.1 취약점분석 취약점분석 취약점분석은소스코드를대상으로하는정적분석과운영중인웹사이트를대상으로하는동적분석을동시에수행할 수있습니다. 분석데이터는같은 DB 에저장됩니다. 소스코드취약점분석 웹취약점분석 소스개발작업 소스코드취약점분석 수집된 URL 취약점분석 DB 개발자 작업이력추적 웹페이지 URL 수집 BigLook WASS Manager BigLook Fuzzer BigLook WASS 소스코드취약점분석 개발자의개발소스작업시자동으로수행 웹취약점분석 웹페이지전체링크및링크의취약점분석 16
3. 상세기능소개 3.2 개발작업 개발작업 개발자는소스개발전용인터페이스 ( 개발뷰어 ) 를통해파일업로드, 편집등을수행하며, 필요시타개발도구연동기능 을통해작업을수행할수있습니다. 소스개발작업시자동으로소스코드취약점분석이수행됩니다. Manager 자동소스코드취약점분석 소스코드 배포 웹서버 개발자 ( 개발뷰어 ) 17
3. 상세기능소개 3.3 소스코드취약점분석 ( 샘플 ) 소스코드취약점분석 ( 샘플 ) 소스취약점분석보고서 소스코드취약점분석상세정보 18
3. 상세기능소개 3.4 개발자작업권한통제 개발자작업권한통제 개발자별로권한을부여해서권한내의소스작업만을할수있도록합니다. 권한밖의작업에대해서는접근을불허합니다. 접근제한 사용자권한별기능 개발자 웹서버 1 Manager 전체운영자최상위권한을가지며하위사용자추가및권한을할당할수있는사용자 접근제한 웹서버 2 사이트운영자전체사용자의권한을위임받아하위개발자를추가하고관리하는사용자 개발자 접근허용 관리자 개발자개별혹은다수의도메인에대한작업권한을가지는사용자 웹서버 3 19
3. 상세기능소개 3.5 인가자작업이력 인가자작업이력 개발뷰어를통해작업을수행한사용자 ( 인가사용자 ) 의작업내역은실시간으로추적되어소스변경관리모니터링을수행 할수있습니다. Manager 소스코드변경관리 소스코드 개발자 웹서버 화면 작업이력추적 파일 폴더 생성 수정 삭제 다운로드 생성 수정 삭제 21 15 10 8 6 0 9 20
3. 상세기능소개 3.6 비인가자작업이력 비인가자작업이력 서버에직접접속한사용자 ( 비인가사용자 ) 의작업내역은실시간으로추적되어소스변경관리모니터링을수행할수있습 니다. 비인가사용자의작업내역은 BigLook WASS 에의해원복되도록설정할수있습니다. BigLook WASS Manager 개발자 인가사용자작업 Agent 파일정보모니터링 비인가사용자작업 Library 3.0 2.0 1.0 개발자 원본파일 위변조파일 21
3. 상세기능소개 3.7 웹취약점분석 웹취약점분석 웹사이트의프로그램및설정등취약점전체를검사하기위해사용하며, 해당결과는 Manager 로전송하여취약점이력 을관리할수있습니다. (1) 결과전송 (2) 이력보기 BigLook WASS Manager 관리자 22
3. 상세기능소개 3.8 악성코드점검 BigLook WASS BigLook WASS 는 잉카인터넷의악성코드점검시스템 ( 타키온라이브 ) 과연동됩니다. 이를통해운영서버에업로드되는개발자파일과사용자첨부파일의악성코드감염여부가체크됩니다. 현재타키온은약 420 만개의악성코드패턴을제공합니다. 23
3. 상세기능소개 3.9 상용리포트툴제공 다양한형태의차트구성가능 자체개발한차트를제공하며선차트, 바차트, 영역차트, 2D/3D 차트, 파이차트, 복합차트등다양한차트기능및타사의차트툴과도연동가능 ReportShop Chart 고객맞춤차트추가개발가능 자체개발한차트를제공하며, 동시에고객맞춤형차트를제작지원 금융권등에많은고객을확보하고있는에이치투오시스템테크놀로지 사의리포트제품인 ReportShop 을번들하고있습니다. 이를통해리포트를고객이원하는수많은형태로커스터마이즈할수있고다양한차트를제공할수있습니다. 모든 WASS 제품군에탑재됩니다. 24
3. 상세기능소개 3.10 폴더, 파일이름통제 폴더, 파일이름통제 취약유형의이름에대한패턴 (test, admin 등 ) 을등록하여생성을차단하거나이미존재하는취약한이름정보를탐지합 니다. 취약유형패턴차단기능 취약유형패턴검색기능 test.asp a.asp 업로드허용 패턴검색 개발자 개발자 업로드차단 b.asp testadmin.asp 이름바꾸기허용이름바꾸기차단 drwx------+ 14 charlie_admin 없음 0 Oct 28 22:15. drwx------+ 3 charlie_admin 없음 0 Oct 21 12:13.. -rw------- 1 charlie_admin 없음 6543 Nov 1 10:43.bash_history drwx------+ 2 charlie_admin 없음 0 Oct 21 13:17.ssh drwx------+ 4 charlie_admin 없음 0 Oct 21 12:13.texmf -rwx------+ 1 charlie_admin 없음 6187 Oct 23 10:03 test.asp -rwx------+ 1 charlie_admin 없음 8770 Oct 23 10:03 Crypt-Random- -rwx------+ 1 charlie_admin 없음 51261 Oct 22 19:36 blabla.html drwxr-xr-x+ 5 charlie_admin 없음 0 Oct 22 19:44 admin.asp 25
3. 상세기능소개 3.11 타시스템연동 (Integration) 타시스템연동 (Integration) 소스코드정책을소스컨트롤시스템에서강제 소스컨트롤 전사테스트를위한테스트관리프로세서에통합 테스트관리 CVS 관리자 BigLook WASS 비인가변경파일에접근하는정보를웹방화벽에서차단 웹방화벽 버그자동할당, 통보, 수정에대한검증시스템통합 버그트래킹 26
3. 상세기능소개 3.12 형상관리연동 Commercial Bed BigLook WASS Agent BigLook WASS Agent 1) 소스파일을 BigLook Manager 에게전송한다. 3) BigLook Manager 에게배포를수행하도록요청한다. 2) BigLook Manager 는형상관리시스템에소스파일을저장한다. BigLook WASS Manager 5) BigLook Manager 는컴파일이완료된파일을 BigLook 에이전트를통하여배포한다. Test Bed BigLook WASS Agent 4) BigLook Manager는형상관리시스템의소스파일을컴파일을한다. [ 형상관리연동사례 ] BigLook WASS 다양한형상관리툴과연동됩니다. 형상관리시스템의소스를인가파일로인식하여직접취약점분석을할수있습니다. 경우에따라서는형상관리시스템의소스와운영시스템의소스를비교함으로써파일정합성에대한정보도제공할수있도록구성시킬수있습니다. 27
4. 적용사례및기대효과 4.1 적용사례 적용사례 : 전사개발환경지원 전사개발환경을지원하기위해개발서버의모든소스코드의취약점분석을위해개발서버에매니저와에이전트를같 이탑재하여모든개발소스에대한분석을수행합니다. 단비인가사용자와같은내용은탐지되지않습니다. 배포전소스코드취약점분석 서버 개발자 배포서버 BigLook WASS Manager/Agent, 배포서버 서버 개발자 서버 28
4. 적용사례및기대효과 4.1 적용사례 적용사례 : CVS 사용고객 CVS( 형상관리 ) 를사용하는고객은현재의업무흐름에 BigLook WASS 와통합환경을구축하여사용할수있습니다. 배포 서버의파일을인가자파일로인식되도록 BigLook WASS 를커스터마이징하여통합환경을구축합니다. 배포서버에의해 배포되는파일은인가자파일로인식되어보안취약점분석을수행하게됩니다. BigLook WASS Agent 개발자 (CVS 사용자 ) CVS / 배포서버 개발자 (CVS 사용자 ) BigLook WASS Manager 29
4. 적용사례및기대효과 4.1 적용사례 한국기초과학연구원 (KBSI) 소개 배경 도입효과 출처 : 데일리그리드리서치센터, 한국기초과학지원연구원정적분석툴도입성공사례, 2010 년 10 월 30
4. 적용사례및기대효과 4.2 기대효과 기대효과 개발주기측면 모든수많은애플리케이션에대한보안취약점점검수행 개발주기내에적용하여애플리케이션소스코드취약점에대한근본적인문제해결 전체개발프로세스에적용하여취약점점검프로세스화 관리측면 제한된관리리소스로운영가능한프로세스확립 자동화프로세스를활용한개발자와관리자간의효율적인취약점관리프로세스확립 기존개발환경의수정없이자동화된취약점진단프로세스구축가능 보안측면 각종보안사고에대응할수있는체계구축 행안부보안코딩가이드, 국정원 8 대취약점, OWASP TOP 10, CWE/SANS TOP 25 를만족시키는보안수준구축 단계별취약점점검프로세스를적용하여수정비용의최소화 31
4. 적용사례및기대효과 4.3 Why SKT? Why SKT? 검증된제품 100 여고객, CC, GS 인증 유연성 폭넓은활용방안 높은고객만족도 국내기술, 빠른제품업그레이드 BigLook WASS 비전즐겁고안전한인터넷세상을구현하는기술개발 32