Page 1
I. Web Shell & Risk 1. 용어정의 2. Web Shell Risk 3. 웹보안사고동향 4. 사고사례 5. 기존웹보안솔루션제약사항 Page 2
Web Shell : 원격에서웹서버를장악하기위해작성한스크립트파일 (asp, jsp, php 등 ) 또는프로그램 Shell Code : 소프트웨어의취약점을이용하여피해를유발시킬수있는작은코드조각 Command Shell, Machine Code Malware(Malicious Software) : 컴퓨터동작을방해하거나, 민감한정보를수집하거나, 개인컴퓨터시스템에접근하기위해공격자에의해사용되거나만들어진 Software Code/Script/Active Contents/ other software Shell Code ( 파일내콘텐츠 ) Web Shell (Script File, Program) Malware (Code, Script, Active Contents and other software) Local shellcode : 제한된접근이가능한공격자상위권한획득위해취약점이용 Remote shellcode : 표준 TCP/IP 소켓을활용로컬 / 인터넷상에서목표시스템 Targeting Download and execute : Target System에 Malware 형태로다운로드되어실행 (Remote Shellcode의한유형 ) Staged : Shellcode가너무클경우단계적으로공격 Page 3
Webshell은 Web Programming 언어로이뤄진 Script. Web Server의여러취약점을이용해업로드후원격명령을수행할수있는강력한해킹도구이며, Web Server의정보및내부 ( 개인 ) 정보유출등의 2차적인피해를발생시킵니다. 고객사웹서버 (2 차감염 ) 게시판취약점 ( 파일업로드 ) File Include 취약점 HTTP Put Method SQL Injection Struts 취약점 고객웹서버 (1 차감염 ) 번호기능 Risk 1 Web소스편집 악성코드삽입 / 경유지활용 2 File Uploading Backdoor Uploading 3 System 제어 계정활성화 4 DB정보유출 개인정보유출 5 Scanning 다른시스템공격 6 File 전송 중요파일유출 개인정보유출등 2 차피해발생 Web Page 변조 Backdoor uploading Web Script 파일들로구성됨 (asp, jsp, php 등 ) <%@ Language=VBScript %> ' -- create the COM objects that we will be using -- ' Set oscript = Server.CreateObject("WSCRIPT.SHELL") Set oscriptnet = Server.CreateObject("WSCRIPT.NETWORK") <%@ LANGUAGE = VBScript.Encode %> #@~^rjwbaa==@#@&?nm\ DRUmMrwDKr: W;O{,,O1,O,,O@#@&I /awu/ n EW0.P{Y.; @#@&6U,2.DK.,InkEs+Pg+XO@#@&:Hls+xE 삽빠 g2,+(?t ssprrz @!8D@*@!mPOlML+D'8smx3~4M+W'Dn <?php @Zend;3222;print "<html><body>\n";print "<a href=\"http://www.zend.com/store/products/zend-safeguardsuite.php\"><img border=\"0\" 수신 파일유출 계정활성화 / Root Admin 권한획득 Scanning/ 타시스템취약점공격 DB 정보유출 / 내부 ( 개인정보 ) 유출 Page 4
OWASP Top 10 Major Attack Method/Tool 주소창 (Direct Command) 주소창 (Cookies/Config) Script Script(Attack Code) Human Mistake Injection, Spoofing/Sniffing, Unsalted 주소창 Script Related All Method 주소창 XSS 가장다수발생 (1 위 ) : 55% Cross-Site Request Forgery : 19% 기타다른취약점에서도 Shellcode 적용가능성높음 Page 5
사고경과 / 원인 H 사 경유지서버해킹 ( 필리핀 / 브라질 ) 협력사서버 메인서버개인정보유출 중요데이터유출 금전적손실신뢰도하락 2011. 3~4 월해커가관리자계정습득공격 화면복사, 해킹프로그램설치후웹쉘을 이용하여시스템분석및주요로그획득 홈페이지의취약점인 SQL Injection 을이용해 주요정보탈취 협력사보안준수미흡 42 만명개인정보유출 1 만 3 천명개인정보유출 ( 정확한피해금액알수없음 ) 사고경과 / 원인 E 사 E 사홈페이지 메인서버개인정보유출 중요데이터유출 금전적손실신뢰도하락 중국발 IP E 사홈페이지취약점스캐닝 E 사홈페이지내게시판취약점발견 게시판내첨부파일형태로웹쉘업로드 웹쉘 SQL 조회로 DB 정보탈취 홈페이지취약점보안준수미흡 400 만명개인정보유출 대외신뢰도하락 사고경과 / 원인 I 사 광고대행사 국내유명포털사 서비스중단 광고대행사게시판취약점웹쉘업로드 웹쉘을이용한악성코드삽입 국내포털사악성코드유포 2주일이상광고서비스중지대외신뢰도하락 일반유저 금전적손실신뢰도하락 일반유저악성코드다운로드 ( 계정정보등의개인정보유출 ) 협력업체보안준수미흡 일반유저의개인정보유출 ( 정확한피해금액알수없음 ) Page 6
DB 구분 FW IDS IPS WAF OSI 7 Layer Transport & Network Layer(L3 ~ L4) Session ~ Application Layer(L5 ~ L7) 검사영역 Packet Header, Connection Status +Application Payload + Multiple 핵심보안기능 IP/Port 제어 패턴매칭탐지 (Signature) 패턴매칭탐지 / 차단 (Signature) Stream 분석에의한 Contents 분석 / 차단 특성 HTTP Port Open/Close 로 패턴이없을경우대응불가 웹서버수정 / 변조등에서는 웹프로토콜에특화된전문솔 대응 IDS 우회공격의다양화 IDS 보다좋음 루션 웹해킹대응불가 ( 암호화, 주소창을활용한 (IDS 특성상속 ) Positive Security 공격등 ) 불법정보유출대응불가 ( 정의되지않은 Traffic 차단 ) False Negative HTTP/HTTPS 에대한모니터링 OWASP TOP 10 에대한기본적 방어 Page 7
II. W-Shield 1. 웹쉘전용탐지 / 대응솔루션 2. W-Shield 주요프로세스 3. W-Shield 핵심장점 4. 구성도 5. 타사솔루션비교 Page 8
W-Shield 는고객사서비스의환경을이해하고축적된보안관제 Know-How 를통해체계적이고안정적으로개발된웹쉘전용탐지 / 대응솔루션입니다. Page 9
W-Shield 는 Non-Agent 기반의 W-Script 가신규 / 변경되는 Web Contents 에대한 Hash 를추출한후 신규 / 변경발생시해당 Web Contents 를관리서버로전송하고, 제안사자체 WebShell 패턴및난독화 분석을통해 Web Shell 를탐지하여대응합니다. 고객사 WEB/WAS Server 8 웹쉘탐지 Alert 1 Web Shell 여부확인및 Hash 정보등추출 지원 OS : Windows Server /Linux/Unix 6 탐지파일분석 W-Shield Appliance Server 3 DB 화 2 기준정보전송 5 탐지된 File Manager 전송 8 웹쉘아니면 Update 4 신규 / 변경탐지 지원 Web/WAS : IIS, apache 등 : tomcat, Jeus, Web Logic, Web Spere 등 W-Shield Manager 탐지파일 Parsing 등분석 난독화 난독화해제 이상탐지수행 웹셀탐지및 Alert, 대응 Script 이상유무점검및관리 기타 W-Script 검색디렉토리서칭 검색디렉토리정보수집 (Hash 외다수정보 ) 탐지파일전송 W-Script Page 10
W-Shield 는경쟁사대비 Non-Agent 기반, 다양한분석방법론, 신뢰할수있는지속적인패턴 생성 / 분석역량, 난독화기술등핵심역량을제공합니다. Not-Agent 설치및유지보수용이 관제대상시스템의리소스최소화 관제대상시스템의가용성확보 장애시파급력최소화 ( 관련페이지 ) 탐지 / 분석일원화 (Manager) 난독화등기술력 최대난독화기술보유 (Base64/VbEncode/Gzip/Zend) 최대 CERT 인력을활용한난독화분석역량보유 난독화및 Anomaly 분석기술 사고발생시원인분석및대응역량 Script Base 국 내외특허출원 국내최대규모의보안관제 보안관제전문인력 450 여명 자체보유패턴 400 여개 / 최대패턴 Source 보유 사고대응을통한신규 / 미탐지패턴 패턴생성 / 분석역량 다양한분석방법론 해싱외 4 종정보활용무결성정보확인 / 안정적변화탐지 웹쉘패턴비교분석 Anomaly Inspection Analysis 24 시간관제를통해전문 Top Cert 분석 / 포렌직 ( 옵션 ) Page 11
W-Shield 는 DMZ 에위치하는관제대상웹서버에 Script 를설치하고, 내부망에분석엔진및전용 콘솔이구축됩니다. Internet W-Shield Web Application Web Server W-Shield Engine Data Base OS Page 12
W-Shield 는관제대상시스템에 Server Side Script 을삽입하여시스템부하최소화및안정성을확보하고, 인포섹자체패턴 / 난독화탐지모듈을활용하여신뢰성있게 WebShell 을탐지하고대응할수있습니다. 기능 W-Shield 타사솔루션 Agent 설치형태 Server Side Script 로설치 ( 파일복사 ) 배포서버를이용한신속한배포 (JSP/PHP/ASP) Compile 된실행파일이며구축기간장시간소요 서버 NAT 구간위치시 1:1 NAT 필요 시스템충돌서버내다른프로세스와간섭이없음 (OS 독립 ) 서버내다른프로세스충돌가능성존재 (OS 종속 ) 리소스사용매우가볍고, 서버자원소모거의없음상시작동 (Daemon/VM) 으로서버리소스부담 실시간탐지 패턴수집 주기적작동으로 WebShell 탐지 (Soft Realtime) : 분 / 시 / 일등 패턴수집 / 분석을위한자체 R&D 인력보유 - 관제 /CERT 450 명을통한실시간신규패턴수집 - 분석전담인력 Top-CERT 8 명 Hard Realtime 형 WebShell 탐지 별도패턴수집에대한연구인력없음 운영대행보안관제서비스를통해운영이슈해결가능 ( 옵션 ) 별도분석운영인력필요 ( 정오탐구분 ) 사고대응 Top-CERT 조직을통해사고대응가능 WebShell 로인한사고발생시대응불가능 난독화 Base64/Vbscript/ 난독화탐지로직 Base64/VBscript Page 13
III. 주요기능 1. Dash_board 2. 침해탐지 / 대응 3. W-Script 관리 4. 탐지패턴관리 5. 관리자관리 6. 관리자알림 7. 보고서 8. Reference Page 14
Dash-Board 기능을통해 W-Script 정상동작여무및 WebShell 탐지현황을확인할수있습니다. Page 15
WebShell 탐지및대응 Action 에대한모든 Activity/History 를처리하실수있습니다. Page 16
W-Script 의등록 / 검색위치 / 대응 / 상태관리에대한부분이관리서버에서 Control 합니다. Page 17
WebShell 탐지패턴에대한업데이트가지원되며, W-Script 개별다른패턴적용을통해오탐지처리에 유연성을지원합니다. Page 18
관리자권한에대한등록기능을지원하며, 관리자로등록시 WebShell 탐지에대한 SMS/Email 을받아볼수있습니다. Page 19
관리자로등록된사용자에게 W-Shield 는 Web Shell 를탐지시다음과같은알림기능을제공합니다. Page 20
W-Script 정보 / Web Shell 탐지 / Web Shell 대응내역 / 패턴관리 / 관리자정보에대한내용을기간별로통계 분석할수있습니다. Page 21
PoC 진행중 (2013. 3 기준 ) Page 22
IV. 회사소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 Page 23
I. 회사현황소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 회사명 인포섹 Infosec co., Ltd. 설립년도 2000년 6월 26일 대표이사 신수정 직원수 830명 (2012.12. 현재 ) 자본금 21.8억 최대주주 경영실적 SKC&C 매출액 : 2012 년 1,000 억 본사서울시강남구대치동 1008-4 새마을운동중앙회 7 층,4 층 연락처 TEL : 02-2104-5114 FAX : 02-568-7504 Page 24
I. 회사현황소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 06 인포섹코리아법인설림 01 인포섹 로사명변경 02 통합보안관제시스템 (CYMON) 구축 03 SKC 에서 SKC&C 로대주주변경 03 SK C&C, SKT 통합보안관리시스템구축 10 정보보호전문업체지정 ( 정보통신부 ) 주요연혁 03 KISA 정보보호관리체계인증획득 11 ' 공공기관정보보호수준제고사업 ' 8 개기관수행 01 ISS 국내독점총판계약체결 02 응용시스템개발단계적용보안컨설팅방법론개발 06 AOCERT 회원 SecurityMap.Net 인수 04 FIRST 정회원가입 10 정보통신부정보보호컨설팅전문업체재지정 03 캐나다의유비쿼터스사용자인증솔루션기업인다이버시넷과전략적제휴 06 보안업계첫 ISO27001 획득인증서 08 정보통신부 정보보호안전진단수행업체선정 11 SKT 와 WDC(Web Deface Checkerr) 공동개발 인포섹 아이덴트러스, 국제전자거래인증사업협력체결 01 김봉오대표이사취임 03 분당통합보안관제센터구축 04 SK 브로드밴드 & IDC 입주및보안관제서비스제공 01 개인정보검색솔루션 ( 이글아이 ) 출시 04 모바일보안컨설팅방법론개발 07 SK C&C 자회사편입 12 정보보호컨설팅 100 억수주달성 2010 01 신수정대표이사취임 01 보안기술연구소설립 Page 25
I. 회사현황소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 2009 2011 년 2010 2012 년 03월 : 개인정보보호법안준수무료컨설팅실시 01월 : 사업추진력향상을위한전사조직개편 03월 : 인포섹, 윤리경영선포 01월 : 특성화고기업체현장맞춤형교육진행 06월 : 2011 Infosec Conference 개최 02월 : 정보보호전문인력양성훈련과정 개설 07월 : 인포섹, 침해사고대응자동화프로그램개발 02월 : 국내최초일본현지대상원격웹진단컨설팅 10월 : 인포섹-한국정보기술연구원 MOU체결프로젝트및모의해킹수행 10월 : 지식경제부, 보안관제전문업체지정 04월 : DT브랜드파워전문가부문 MDM 솔루션 11월 : 지식경제부, 지식정보보안산업유공자장관표창 M-쉴드 선정 12월 : 행정안전부, 개인정보영향평가기지정 SK 분당통합보안관제센터 2008 년 3 월분당 U- 타워에 SK 그룹과의통합보안관제센터를증축하여 SK 그룹과의협력체계가구축 되었고이에따라타기관연계성및보안정보질적측면에서향상되었습니다. Page 26
I. 회사현황소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 인포섹은총 5 개본부, 24 개팀으로구성되어있으며, 총 750 여명의전문인력을확보하여국내최대규모의정보보호전문조직을구성하고있습니다. 대표이사 2013. 01. 현재 영업본부솔루션사업본부컨설팅사업본부관제사업본부경영지원본부 SI 사업 개인정보보호사업 보안관제 지식관제 전문기술인력 (2012년 12월기준총 156명 ) 컨설팅프로젝트수행경험이풍부한인력보유 전문 CERT 인력다수확보및보안관제서비스수행 관제센터및 ESM 구축 SI 경험보유 산업별프로젝트수행경험 : 금융 ( 은행, 보험 ) 공공 IT SI기업 통신사 대형 IT 시스템 대형네트워크운영유경험자보유 지식경제부등록기술인력현황 구분고급일반합계 2012. 12 월기준 27 명 128 명 156 명 Page 27
매출액 2 nd To-be 목표 : 2012 년까지매출 1,000 억원달성 I. 회사현황소개 1. 회사개요 ( 단위 : 백만원 ) 2 nd To-be 1,000 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 130 200 1 nd To-be 260 290 352 431 640 880 '00~'03 2004 년 2005 년 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) 총자산영업이익경상이익 39,684 4,299 4,355 32,000 1,900 2,000 24,516 1,485 1,123 2009 년 2010 년 2011 년 2009 년 2010 년 2011 년 2009 년 2010 년 2011 년 Page 28
I. 회사현황소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 보안관제서비스는고객의보안환경및솔루션에기반하여다양한형태의서비스를모듈화 / 체계화하여다음과같은고객맞춤형관제서비스를제공합니다. 관제서비스 공유형관제서비스 단독형관제서비스 개인정보보호 PKG APT 대응 PKG 보안동향정보제공 FW / IDS / IPS 관제 (Shared Service) 보안동향정보제공 FW / IDS / IPS 관제 (Dedicated Service) 방화벽룰관리 단독형관제서비스 제공서비스 방화벽룰관리 침해위협보고서 침해사고 ( 서버 ) 분석 정기 ( 월간 ) 관제보고서 침해위협보고서 개인정보검색 / 암호화 개인정보보호지침 / 절차수립프리미엄전문가 ( 보안기획 ) 단독형관제서비스 L7 FW 관제 정보유출탐지 / 차단 침해흔적조사 ( 서버, Web) 악성코드탐지 / 차단프리미엄전문가 ( 포렌식 ) 구분 기본 선택서비스 예방모니터링 / 분석사고대응보고 보안동향정보제공 FW / IDS / IPS 관제방화벽룰관리 (Web-CRS) 24시간 Service Desk 최신공격분석보고서 IT 자산가용성관제 침해사고 ( 서버 ) 분석 침해위협 / 분석보고서 취약점진단 ( 시스템 /NW) DDoS 관제침해사고 (PC) 분석 SMS 상황전파서비스 FW 정책진단서비스 WAF 관제 FW 로그감사서비스정기 ( 월간 ) 관제보고서 모의해킹서비스 L7 FW 관제침해흔적조사 ( 서버, Web) 프리미엄보고서 ( 금융 ) 프리미엄서비스 NW 인프라진단 / 개선악성코드탐지 / 차단프리미엄전문가 ( 포렌식 ) 정보유출탐지 / 차단 프리미엄전문가 ( 보안기획 ) 프리미엄보고서 ( 일반기업 ) Page 29
2011 년국내파견관제, 원격관제실적 1 위 I. 회사현황소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 인포섹은고객사의다양한환경을충족하기위해전문가파견서비스를통한파견관제및 원격관제와의혼합형등다양한모델의보안관제서비스를제공하고있습니다 구분원격관제혼합형파견관제 고객사규모 / IT의존도소규모 / 낮음중규모 / 보통대규모 / 높음 정보의민감도낮음보통높음 클라이언트보안수준아웃소싱중심일부보유다수보유 Reference 보유인력 (CERT, 관제, SE) 1위 - 332명 파견관제 1위 원격관제 1위최근 3년간보안관제매출실적 OO 대학교 - 교내 IT 보안자산위탁운영 (FW, IPS, UTM) - 교육 ISAC 연계하여침해사고대응 - 취약점진단및모의해킹수행 - 학교홈페이지에대한악성코드삽입차단및연구실 PC 사고대응등 OO 쇼핑몰 - IDC 및본사 IT 보안자산위탁운영 (FW, IPS, DDoS 등 ) - 파견보안전문가을통한신속한침해사고대응 - 스마트폰앱진단등최신보안이슈에대한선제적대응 - DDoS 대응훈련등서비스가용성개선 OO ISAC - 정부부처및산하단체보안운영업무용역 - 보안기획 /CERT/ 진단업무수행 - 예방활동이중요하며취약점진단 / 모의해킹전담인력운영 - 정보의민감성으로인해폐쇄적운영필요 매출 215 억 145 억 75 억 93억 40억 53억 56억 89억 140 억 암호화통신 암호화통신 2009 2010 2011 년 파견관제 원격관제 Page 30
I. 회사현황소개 1. 회사개요 2. 회사연혁 3. 회사조직 4. 매출현황 5. 관련분야사업소개 인포섹은자체통합보안관제센터운영뿐만아니라그룹사관제를통해습득한노하우를바탕으로체계적인방법론과자체솔루션을통해숙련된인력이보안관제업무를수행함으로써고객이요구하는높은품질의서비스를단기간내에제공할수있습니다. 인프라방법론시스템인력 인포섹 ISMM DMM 업계최대 332 명보유 통합관제센터 취약점 / 공격기법연구전담조직운영 (Top-CERT) SK 그룹관제 전국단위보안관제노하우 SKT, SKB 등무선, ISP, IDC 고유의보안이슈협업 SK 차이나 ( 중국 ) 보안관제 FW, IPS, DDoS, WAF 통합관제룰 인포섹자체개발패턴약 200 여건포함 보안장비장애이벤트에대한분석룰포함 SMMoK 조기관제안정화를위한가이드라인 / 체계제공 자체 ESM ISMM 방법론기반구현 타사솔루션 고객사관제시스템에 SMMoK 룰을적용 관리직 PM CERT 모의해킹 SE 보안관제특급고급중급초급 46 (13.9%) 71 (21.4%) 33 (9.9%) 21 (6.3%) 158 (47.6%) 중급이상 : 61.1% 외부협력 기타 FIRST 정회원 KrCERT, NCSC 협력 국내외보안솔루션벤더협력 1단계 2단계 3단계 4단계 인포섹아카데미운영등지속적인교육및훈련 외부교육기관협력 Page 31
Thank You Page 32