[ISEC 2009]발전하는 웹 공격, 그에 맞서는 지능형 웹방화벽

펜타시큐리티 이충우 팀장,‘웹공격 발전과 지능형 웹방화벽’내용발표

행정안전부 주최로 9월 8일부터 9일까지 서울 삼성동 코엑스 1층 그랜드볼룸에서 개최되는 보안컨퍼런스 ‘ISEC 2009’에서 첫째날 트랙B 3번째 강연자로 나서는 이충우 펜타시큐리티시스템 IDS/웹방화벽 개발팀장은 ‘웹 보안 동향 분석-웹 공격 발전과 지능형 웹 방화벽’이란 주제로 강연을 펼친다. 이날 강연 내용은 다음과 같다.

최근 웹에 대한 위협이 증가하고 있다. 여기에는 단순한 홈페이지 변조 사고에서부터 웹 서버를 통한 악성 프로그램 유포까지 포함하는 다양한 공격 및 피해 유형을 포함하고 있다.

‘THE WEB HACKING INCIDENTS DATABASE 2008 ANNUAL REPORT’에 따르면 금전적 이익을 목적으로 한 공격이 다수를 차지했으며, 이미 웹을 통한 악성코드 유포가 e-mail을 통한 유포를 앞선지 오래다. 한편 실재 온라인 환경에서 가장 많이 발생한 공격은 SQL Injection으로, 의외로 OWASP에서 언급하는 새로운 취약점은 많이 발생하지 않고 있다.

이날 이충우 팀장은 가트너(Gartner)를 비롯한 시장 조사 기관에서 예측하는 웹 보안 시장에 대해 알아보고, 웹 방화벽의 기본 개념과 기존 웹 방화벽의 한계·발전 방향을 알아보는 한편 자사의 제품을 통해 그 한계 극복의 예를 제시할 예정이다.

펜타시큐리티시스템는 안전한 웹 기반의 서비스 제공을 위해 웹 애플리케이션 전반에 대한 통합 보안 제품을 갖추고 있다. 그중 아이작 웹(ISSAC-Web)은 웹 서버와 사용자 사이의 암호화와 사용자 인증 기능을 제공하는 솔루션이다. 와플(WAPPLES)은 웹에 대한 침입 방지와 URL 기반 접근제어 기능을 제공하는 어플라이언스 장비이다. OWASP의 10대 웹 취약점에 대한 방어기능과 더불어 주민등록번호, 신용카드번호의 유출을 방지하는 기능을 포함하고 있다.

디아모(D’Amo)는 데이터 암호화, 접근제어, 그리고 감사 기능을 함께 제공하는 통합 DB 보안 솔루션이다. DB 내 중요 데이터를 컬럼 단위로 선택적 암호화 할 수 있으며, DB 전체 또는 암호화 컬럼에 대해 접근제어를 수행한다.

이들 제품은 각 사이트의 특성에 맞게 조합될 수 있으며, 상호 연동을 통해 시너지 효과를 얻을 수 있다. 이러한 통합 웹 보안시스템 구축은 웹 애플리케이션의 보안성 향상뿐만 아니라 보안에 대한 TCO 절감을 도모할 수 있다.

■ 참관안내: www.isecconference.org 접속 ->사전참관등록->승인메일 발송->승인메일 출력후 ISEC 2009 현장서 제출->패찰 및 발표자료집 받음.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)