PS ScanW3B 구축사례

Chapter 4 - Case Study

웹 보안 솔루션, 이렇게 활용하라

웹 스캐너로 취약점 점검

웹 방화벽과 웹 스캐너 함께 구축 증가

일반적으로 서버 측면에서 웹 보안을 고려할 때 웹 방화벽과 웹 스캐너를 함께 고려한다. 보호의 성격과 형태가 다르지만, 웹 서버를 외부의 해킹 공격으로부터의 시스템 보호라는 공통된 목적을 가지고 있기 때문에 얼마 전까지만 해도 이 두 가지 중에 한 가지만 선택해 도입하는 경우가 많았다. 그러나 최근에는 웹 보안 시스템을 구축할 때에 웹 방화벽과 웹 스캐너를 함께 도입하거나 이미 웹 방화벽을 도입한 경우에 웹 스캐너를 추가로 도입하는 경우가 늘고 있다. PS ScanW3B의 구축 사례 중에 정보통신부, 증권선물거래소(KRX), 대한주택공사, 양천구청, 삼성전자, KT, 삼성전자, CJ시스템즈 등이 바로 이 두 가지를 함께 구축한 경우이다.

금융권, 웹 취약점 점검과 소스코드 수정

금융권에서는 인터넷뱅킹과 같이 웹 서비스의 안정성이 중요하기 때문에 대부분의 기관에서 웹 방화벽이 도입되지 못하고 웹 스캐너로 취약점을 점검하는 형태로 웹 보안이 이루어지고 있다. 즉, 트랜잭션이 여러 단계인 경우 혹은 HTML의 암·복호화가 이루어지는 경우 등 특별한 경우 웹 방화벽을 통한 보안은 서비스 장애의 요인이 될 수 있기 때문에 웹 스캐너로 취약점을 점검해 소스코드를 수정하는 형태로 웹 보안이 이루어지고 있다.

● 금융결제원 : 공인인증 기관 YesSign의 주체인 금융결제원 ISAC실에서 점검도구로 사용하며 금융결제원의 도움으로 공인 인증서 기반 사이트 (PKI환경)의 부분 암호화 웹 페이지에 대하여 점검이 가능하도록 여러 가지 PKI 솔루션과의 연동 커스터마이징이 이루어져 금융권 점유율 1위의 성과에 밑바탕이 됐다.

● 삼성화재 : 많은 인원이 속해 있는 개발부서에서 수정/개발 되는 웹 애플리케이션의 취약점 점검을 위해 PS ScanW3B CS 제품이 도입되어 여러 담당자들을 통한 상시 점검 및 취약점 관리를 지원하게 됐다. 즉, 여러 개발자가 웹으로 취약점 점검 서버에 접속하여 중앙의 점검서버에서 점검 대상 웹 서버를 점검하고 리포트 생성 및 이력관리를 할 수 있다. 또한 X인터넷에 대한 지원 모듈을 추가 개발로 제공했다.

● 제 1금융권(부산은행, 국민은행 등)과 제 2금융권(삼성카드, LG카드, 대한생명 등) : 여러 PKI 솔루션과의 연동을 통해 인증서를 통한 로그인 과정을 거친 후 인증된 상태로 웹 사이트를 점검 가능하도록 구축됐다. 또한 리스크 관리시스템(RMS)과의 DB차원에서의 연동이나 이중 로그인( ID/PWD 로그인 후 다시 인증서 로그인) 환경, 그리고 여러 가지 ActiveX 환경에서 점검이 가능하도록 커스터마이징 됐다.

기업, 기능 추가 등 커스터 마이징

● KT, 하나로텔레콤, CJ시스템즈, 삼성네트웍스 : 개발부서와 보안부서 사이의 워크플로우 관리 및 이력관리를 위해서 별도 지원 모듈이 커스터마이징 되었으며 여러 계열사의 웹 서버를 점검할 수 있도록 확대 적용됐다.

● 삼성전자 : PS ScanW3B 제품을 다량 구매하여 전국의 각 사업장에 도입하고 삼성전자 내부의 보안 정책에 따라 기능추가 및 커스터마이징(DBMS를 MS SQL Server로 변경) 하여 적용했다. 특히 국내외 모든 제품에 대해 9개월 동안의 엄격하고 자세한 3차 비교테스트(BMT)를 통과하여 PS ScanW3B이 선정됐으며 이것은 삼성그룹의 각 계열사에 공급되는 계기가 됐다.

공공·교육, 웹 취약점 점검 및 관리

● 정보통신부 : 2005년 정보보호 선진화 사업의 일환으로 도입되어 현재까지 운용되고 있으며 개인정보의 노출 여부만 점검하기 위해 SpiderWeb도 추가로 제공했다. 또한 우체국(우정사업부) 및 전파연구소 등의 산하기관에서 웹 취약점 점검을 위해 주기적인 점검이 이루어지고 있다.

● 한국정보보호진흥원, 한국과학기술정보연구원, 한국교육학술정보원 : PS ScanW3B 제품을 도입하고 2005 을지훈련에 사용했다. 이후에도 신규 취약점 대응책에 대해 협력해오고 있다. 예를 들어 중국 해커들이 사용하는 SQL Injection 자동 공격 도구, Google-Dork 도구 등을 개발하여 PS ScanW3B의 부가모듈로 추가했다.

● 서울대학교 : 학교 망을 사용하는 교내 웹 서버 전체의 웹 취약점 점검을 위해 PS ScanW3B CS 제품이 도입되어 수백 명에 달하는 각 서버 담당자들을 통한 상시 점검 및 취약점 관리를 지원하게 됐다. 즉, 공과대, 인문대, 경영대, 법대, 자연대, 예체능대 등 단과대 별로 따로 관리되는 복합적인 환경에서 중앙의 여러 점검서버를 통해 점검과 이력관리 등이 이루어지고 있다.

● 대한주택공사, 한국전력공사 : 전체 웹 서버에 대한 웹 취약점 점검을 위해 PS ScanW3B CS 제품이 도입되어 여러 담당자들을 통한 상시 점검 및 취약점 관리를 지원하게 됐다. 그리고 주택공사의 정책에 따라 DBMS를 MS SQL Server로 변경하여 적용했다. 특히 한국전력공사의 경우 시스템/네트워크 스캐너와의 연동을 통해 모든 취약점을 한눈에 볼 수 있도록 구성됐다.

이 외에도 서울특별시, 경기도청, 영동군청, 의성군청, 양천구청 등의 공공기관과 포털, 게임사에서도 그 성능을 인정받았다.

<글·조일석 패닉시큐리티 과장(cho@panicsecurity.com)>

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)