웹서비스해킹징후분석솔루션 PS BlackBox 2015 패닉시큐리티 Copyright 2014 by Panicsecurity Co., LTD. No part of this publication may be reproduced, stored in a retrieval system, Or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwise without the permission of Panicsecurity.com
CONTENTS CONTENTS I Ⅱ III IV 웹해킹징후분석개요웹서비스해킹징후분석솔루션구축사례제안사소개 1
2 I. 웹해킹징후분석개요
1. 웹서버해킹사고증대 각종웹해킹사고가증가하고있어웹서버보안의중요성이강조되고있습니다. 최근웹서버해킹사고가언론에자주보도되고있는데, 그원인은웹서버가사회적으로중요한기능을담당하게됨에따라해커들의관심도늘고있습니다. 2008 년 2 월옥션 9 월 GS 칼텍스 2010 년 2011 년 2012 년 4 월인터넷쇼핑몰 12 월포털사이트 (N 포털,D 포털등 ) 4 월 H 캐피탈, N 은행 5 월 L 투자증권, 소니, 김현중홈피 7 월네이트, 싸이월드 3 월넥슨 4 월중앙선거관리위원회 5 월 EBS 참조 < 인터넷침해대응센터 2012 년인터넷침해사고동향및분석월보 > 단순침입시도 + 기타해킹신고처리 3
2. 웹서버로그관리 2.1 웹서비스보안장비의한계 웹방화벽 보안장비에서잘막고있을까? 어떻게확인하지? Web/WAS - 방법 : 홈페이지변조, 단순침입시도, 피싱경유, 스팸릴레이, 기타해킹등 - 사례 : H 당, T 당, P 정부, P 청, M 업체, J 언론, 티아라, C 호텔, 메이플스토리, 디아블로, 아르고 - 실시간처리를해야하므로, 보안패턴우회공격에대한심도있는분석한계 4
2. 웹서버로그관리 2.2 대용량로그의법적 / 제도적규제 6 개월치? 1 년치? 수동분석하기엔너무많은양의웹로그 Web/WAS - 침해사고방지를위한보안프로그램의설치및운영 - 최소 6 개월이상의접속기록을보존관리하여야함 5
2. 웹서버로그관리 2.3 현행웹로그관리의문제점 매일쌓이는대용량의웹로그 하드디스크용량초과로인해주기적으로삭제하고있음 웹로그별정책상이 웹서버별독립적으로웹로그관리 서버별담당자가다른경우도있고로그관리정책도다름 같은서버에여러개의웹사이트가운영 하나의사이트가침해사고를당하는경우그에파생되어 다른웹사이트에도침해사고를쉽게당함 정보자산측면에서웹로그의활용결여 웹서버별전사적인정책전무 ( 관리주기 / 포맷 / 정책 ) 로그의활용성저하 웹로그의방대한양으로단순보관시추후분석이거의불가능 6
3. 웹서비스해킹징후분석의필요성 웹서버해킹사고증대 법적 / 제도적규제강화 웹서버로그관리 웹해킹사전예방체계구축 웹보안솔루션의한계 7
8 II. 웹서비스해킹징후분석솔루션 (PS BalckBox)
1. 웹서비스해킹징후분석솔루션 PS BlackBox 는대용량의웹로그를효과적으로탐지및분석하여장기간에걸쳐진행되는해킹징후를파악하는웹서비스해킹징후분석솔루션입니다. 최근보안위협의다양화및복잡화에따른보안환경변화를인지하고법적 / 제도적규제강화및내부정보유출, 사이버테러의급격한증가에따른보안위협에적극대응하기위해위험을사전감지할수있는디지털포렌식 (Digital Forensics) 이가능합니다. 징후분석흐름 대용량웹로그관리 일관된정책에의한로그수집및저장 공격시도탐지 분산된웹로그의중앙집중관리 보안장비를통과하여웹서버에요청된실제로그를기반으로해킹징후를효과적인탐지 자동화된로그분석 로그원본보관 주기적인로그분석을통해사고전, 의심행위탐지및대응책마련 웹해킹사고후, 신속한사고경위파악을통해취약점보완및보고서작성 9
2. 보안장비 vs 웹해킹징후분석비교 PS blackbox 기본사상 침입탐지 / 웹방화벽등보안장비 - 많은웹공격실시간판단이모호 - 기구축된 IPS/ 웹방화벽과같은보안장비우회위험존재 IPS, 웹방화벽을통과하였지만, 웹서버에남겨진흔적을분석 장기간에걸쳐이루어진해킹요소를파악 상호보완 10
3. 제품구성 3.1 구성도 로그 DB 정책설정 / 모니터링 로그전송 저장 로그 DB 로그분석 / 정책설정 로그수집 / 가공 / 분석 BlackBox - Agent BlackBox - Spectrum BlackBox - Admin 11
3. 제품구성 3.2 구성요소 구성모듈기능분류기능설명 BlackBox Agent 로그수집 웹로그수집에이전트 웹서버에설치되어, 블랙박스정책에따라로그를전송 웹서버프로세스와별개로운용하여, 웹서버의안정성에영향을주지않음 웹로그를기록하는모든형태의웹서버를지원함 - Microsoft IIS5, 6 웹서버 - Apache HTTPD 1.x, 2.x 웹서버 - 다양한웹서버의로그형태지원 BlackBox Spectrum 로그취합 징후분석 (1 차 ) 웹로그취합및정제화서버 웹서버의에이전트와블랙박스정책서버의정책및수집기능대행 네트워크환경의물리적제약에따라전체블랙박스시스템의재배치가가능하도록지원 압축된로그파일원본을대용량저장공간에서관리하고, 통합검색제공 로그원본에대한인덱스정보및공격시그니쳐관리 위험징후요소에대한정보취합및정규화 로그에대한실시간패턴분석 BlackBox Master 징후분석 (2 차 ) Admin Tool 압축된로그파일원본을대용량저장공간에서관리하고, 통합검색제공 공격시그니쳐관리 과거웹로그와연관분석을통해징후상세분석 사용이간편하고, 직관적인웹기반관리자툴제공 수집에이전트에대한수집정책설정 수집에이전트모니터링및수집현황제공 12
4. 주요기능 4.1 강력한위험진단엔진 공격검증 탐지된위험패턴의정확한검증절차는최고수준의해킹기술을가진전문가들이동일요청수행및이에대한응답정보를통해검증 패턴탐지 웹주요취약점및사용자패턴으로공격징후탐지 통합디코더 다양한형태로인코딩되어우회를노리는 공격을멀티디코더유틸리티로디코딩처리해서분석 웹로그필터 불필요한원본로그필터링 13
4. 주요기능 4.2 보안현황체크 정기적으로탐지된징후의모의공격재현 웹주요취약점 을통한실시간분석 * 탐지된로그에대한공격 검증 실시간탐지결과기록 [ 웹주요취약점 ] - sql injection - xss - up/download - command [ 검증패턴 ]** - 탐지횟수검증 - 웹서버통신검증 [ 보고서생성 ] - 웹기반데이터 - PDF 파일보고서 검증패턴을통한통신 결과조회 / 보고서출력 * : 징후분석시스템에서제공하는웹주요취약점패턴에대한분석작업을수행합니다. ** : 웹주요취약점패턴에대해정의된검증패턴을통해서징후분석결과의신뢰도를향상시킵니다. - 동일한 IP 로부터특정공격이단위시간당 n 회이상반복수행되었는가? ( 예 : PUT/DELETE 등의메소드패턴 ) - 탐지된웹로그에대해, 실제웹서버가해당취약점을포함하는가? ( 예 : 오탐제거를위해검증이필요한패턴 ) 14
4. 주요기능 4.3 침해사고대응 대상범위를좁혀가면서, 반복해서상세분석결과분석 ** 과거웹로그연관분석 * - 웹주요취약점 - 사용자패턴 탐지된로그에대한공격 검증 상세분석결과기록 [ 웹주요취약점 ] - sql injection - xss - up/download - command [ 검증패턴 ] ** - 탐지횟수검증 - 웹서버통신검증 [ 결과조회 ] - 검색결과출력 [ 보고서생성 ] - 웹기반데이터 - PDF 파일보고서 [ 사용자패턴 ] - 공격자 IP/ 국가 - URL 패턴 - 응답코드 검증패턴을통한통신 결과조회 / 보고서출력 * : 징후분석시스템에서제공하는웹주요취약점패턴과, 분석자가검색시입력한사용자패턴에대한분석을수행합니다. - 각패턴에대한 AND/OR 연산지원, 웹로그원본또는이전상세분석결과를통한추가분석 ** : 현재의분석결과를통해추가징후분석을반복적으로수행합니다. - 이전상세분석결과를추가분석하여, 공격원및공격인자를범위를좁혀가면서추적합니다. - 오랜시간이소요되는징후분석에대한작업효율을향상시킵니다. 15
4. 주요기능 4.4 관리 로그관리 스펙트럼 스펙트럼의시스템상태조회 (CPU, Memory, Repository 정보 ) 평균수집되는로그의용량및추이를확인 최근로그데이터를그래프로확인호스트 에이전트별로그용량을그래프와표로확인 로그의용량과수를확인에이전트 수집된파일목록과함께기타상세한정보를확인 가장많은로그가들어오는호스트또는에이전트를확인 평균수집되는로그의용량을확인 에이전트관리 스펙트럼등록및정보수정 웹서버등록및정보수정 에이전트등록및정보수정 시스템관리 감사로그목록 : 웹징후분석시스템의주요한작업들을조회 시스템설정 : 웹로그자동삭제 / 사용자로그인정책 보고서관리 : 웹해킹징후탐지결과에대한보고서 분석일정 : 자동으로수행되는웹해킹분석을일정주기로수행 패턴관리 : BLACKBOX 의사용자패턴을관리 16
4. 주요기능 4.5 부가모듈웹해킹검증도구 - ShadowBox 웹해킹징후탐지결과에대해서, 자동검증도구와연동지원 웹로그상에서공격징후가있는웹어플리케이션에대하여실제로취약점이존재하는지 자동 검증 웹취약점점검도구 (PS ScanW3B) 와동일한공격패턴적용 웹해킹검증결과에대한활용 웹해킹징후와실제취약점존재여부를동시에확인 웹취약점점검도구 (PS ScanW3B) 를통하여별도의점검결과보고서생성지원 17
4. 주요기능 4.5 부가모듈 웹해킹검증도구 - ShadowBox 18
19 III. 구축사례
1. 구축사례 1.1 프로젝트구축사례 성공적인구축을통한검증된기술력 20
1. 구축사례 1.2 관련프로젝트구축사례 웹서버에이전트로그전송 대상서버 : 00 대웹서버 (000 여개웹서비스 ) 스펙트럼 : 2 대 / 웹서버로그수집및분석 DB 서버 : 1 대 / 데이터관리 마스터서버 : 1 대 / 가상화서버로구축웹인터페이스 FTPs 웹로그업로드업로드주기는중앙에서통제 스펙트럼서버 #1 : 3T 스펙트럼서버 #2 : 3T DB 서버 : 1T 웹서버에이전트로그전송 FTPs 웹로그업로드업로드주기는중앙에서통제 스펙트럼서버 #1 로그수집징후탐지, 분석 스펙트럼서버 #2 로그수집징후탐지, 분석 스토리지 DB서버 마스터서버 [ 가상화서버 ] 웹인터페이스 설치용량 : 50M 업로드시간 : 매일 00 시이후중앙에서업로드시간통제시간경과시자동중지익일재개 업로드방식 : FTPS 업로드속도 : 1Mbyte / second 최대업로드 : 5 개채널 21
1. 구축사례 1.2 관련프로젝트구축사례 ( 계속 ) 통합로그시스템 : 기구축됨 스펙트럼서버 - 3 대 / 웹서버로그수집및분석 DB 서버 / 마스터서버 : 1 대 - 데이터관리 / 웹인터페이스 통합로그시스템 로그수집 DB 서버마스터서버 스펙트럼서버 - 로그취합 - 징후탐지및분석 - 통합로그시스템과 Plug-in( 로그수집 ) 마스터서버 : 분석 UI / 시스템관리 DB 서버 : 데이터관리 스펙트럼서버 로그분석 / 정책설정 서울시청, 삼성전자, 삼성생명 22
2. 특장점 웹로그관리 압축보관을통한최적화저장 향후로그분석을위한데이터베이스화 로그서버구성을통해분산된웹로그의통합관리 여러웹서버의로그연관관계를파악 로그백업및삭제에대한일괄정책수립 위험도분석향상 기구축되어있는 IPS/ 웹방화벽의방어력이기대치에못미침 ( 보안레벨을높이면 QOS 저하 ) IPS/ 웹방화벽의분석력취약을보강 보안장비를통과하여웹서버에요청된실제로그를기반으로징후를탐지하여, 각장비별보안정책패턴정책을강화 사후조치분석 보안사고발생시, 과거데이터분석을통한공격유형및유입경로파악 신속한사고경위파악을통해취약점보완및보고서작성 사전징후분석 주기적인로그분석을통해의심행위탐지및대응책제공 개별웹로그가아닌, 기관내전체웹로그분석에의한포괄적위험도분석 위험에대한사전대응으로웹서버안전성향상 23
24 IV. 제안사소개
1. 회사정보 회사명 ( 주 ) 패닉시큐리티대표자신용재 주소서울시금천구가산동 680 번지우림라이온스 612 호 전화번호 TEL : (02) 2027-2890 FAX : (02) 2027-2891 홈페이지 http://www.panicsecurity.com PS ScanW3B 웹취약점진단도구솔루션 주요제품 PS ScanW3B CS 기업용웹취약점점검시스템 PS BlackBox 웹해킹징후분석시스템 1. 국제해킹대회 Defcon 예선전아시아 1 위및라스베가스본선 4 위 특이사항 2. 인터넷뱅킹대상의메모리해킹위험성발표및시연 3. 국내최초웹취약점점검툴개발, 국내최초웹해킹징후분석시스템개발 금융기관 : 대한생명, 국민은행, 삼성카드, LG 카드, 중소기업은행, 금융감독원, 금융결제원등다수 주요고객 공공기관 : 대법원, 정보통신부, 한국정보보호진흥원, 한국거래소, 서울시, 병무청, 인천교육청등다수 일반기업 : 삼성전자, KT, 삼성테크윈, 다음, 넥슨, 현대중공업, 현대제철, GS 홈쇼핑등다수 25
2. 주요사업내역 정보보호컨설팅사업 ( 기술적취약점분석에중점 ) - 서울대, KAIST 출신및정보보호전문인력 ( 정보통신부지정 ) 경험이있는해커출신연구원으로구성. - 다수의모의해킹 (PT, Penetration Test) : KISA, 금융감독원, 은행 / 보험 / 카드, 통신, 홈쇼핑및다수의공공기관 - 컨설팅등의단순유선랜기반모의해킹뿐만이아닌특화된정보보호컨설팅수행. 국내최초의웹어플리케이션취약성진단도구개발및상용화 - PS ScanW3B 은국내최초의순수국내기술로제작된웹어플리케이션취약성진단도구이며, 해커출신전문 - 컨설턴트가개발에참여하여, 웹어플리케이션자동화취약성진단및분석도구를통한현실적대안의제시. - 국내최대레퍼런스보유 금융, 통신, 공공시장에서압도적인점유율 국내최초 ActiveX 취약점진단도구개발및상용화 - 국내웹환경의특징은여러가지 ActiveX를포함하고있으나, 이에대한취약점검증은거의이루어지지않고있음 - 취약한 ActiveX가있을경우, 홈페이지를방문한사용자는자신도모르게악성코드가 PC에설치될수있음 - 국내최초로 ActiveX의취약점점검을자동화한도구웹해킹징후분석시스템개발및상용화 - 보안장비를우회하여웹서버에도달한해킹공격이기록된대용량웹로그를효과적으로분석함 - 서로다른웹서버종류및로그양식에대해서통합분석, 연관분석을지원하여오랜기간에걸친공격징후와피해범위파악 - 통합웹로그관리시스템및빅데이터시스템에연동하여웹해킹징후를탐지하고분석하기위한최적의시스템 26
감사합니다. 패닉시큐리티 주소 : 서울특별시금천구가산디지털1로 2 612 www.panicsecurity.com Tel. 02-2027-2890 / Fax. 02-2027-2891