웹 취약점 점검의 필요성과 자세한 기능 안내

웹 취약점 점검의 필요성과 자세한 기능 안내

 

안녕하세요, 에프엑스컨설팅 입니다.

App Scan 웹 취약점 진단 도구에 대한 필요성 및 자세한 기능에 대하여 안내 드리고자 합니다.

먼저 App Scan 웹 취약점 진단 서비스는 웹, 모바일 서비스에 대한 취약점 진단을 통해 문제점을 점검하고 원인을 파악하여 해결 방안을 제시함으로써 취약성을 사전에 진단하여 악성 코드 공격 및 보안 위협 요소로부터 예방 및 대응이 가능한 서비스 입니다.

 

최근 웹 취약점을 이용한 공격들이 지속적으로 발생되며 증가하고 있습니다. 웹서버나 웹사이트의 체계적인 보안 관리가 제대로 이루어지지 않은 회사가 다수이고, 웹사이트는 사용자들에게 항상 노출 되어 있으며, 접근 방법이 매우 쉽기 때문에 보안 사고가 끊임없이 발생 되고 있습니다.

전체 개인정보유출 피해의 75%가 외부 해킹이 원인이며, 가장 취약한 웹에서 부터 시작 된다고 합니다. 이렇게 잦은 보안 사고로 개인정보보호법, 정보통신망법, 전자금융거래법 시행령, 신용정보법 등등..  법적 의무와 처벌이 강화되는 추세입니다.

 

대표적으로 개인정보보호법에 대하여 간단하게 안내 드립니다.

  • 개인정보보호법 제 28조 : 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

 

  • '정보통신망 이용 촉진 및 정보보호 등에 관한 법률', '신용정보의 이용 및 보호에 관한 법률' 등의 개별 법령에서 다루고 있는 개인정보와 관련된 사항을 통합하여 규정한 법으로 2012년에 시행되었다. 각 규정에 따라 3년~10년의 징역 또는 3천만 원~1억 원의 벌금에 처하고 있다.

이에 따라, 웹 취약점 진단을 수행 하여 보안 관련 법률 규정을 준수하며, 보안 수준을 파악하고  발견된 취약점에 대한 대책 수립을 통하여 보다 신뢰성 있는 웹 서비스를 제공하고 안전한 환경을 목적으로 합니다.

 

웹 취약점 진단의 도입 효과

 

 

 

 

 

App Scan 구성

App Scan은 취약점 점검을 하고자 하는 웹 사이트에 별도의 프로그램 설치를 하지 않으며

점검 대상의 도메인 주소 URL을 기초로 원격으로 점검을 수행 합니다.

 

 

AppScan은 실제적인 공격자 입장에서 패러미터를 위변조 하거나 공격 코드를 입력 후 웹 애플리케이션의 응답을 분석하여 취약점을 찾아내는 방식입니다.

 

App Scan 특장점

취약성 스캔 기능

다양한 방식 및 연계된 여러 Application 취약성 분석

  • 모든 종류의 운영체제의 운영중인 웹 서버(IIS, 아파치, 넷스케이프 등) 및 기반기술(ASP,  PHP, AJAX, .NET 등)에 대한 인프라스트럭처 및 애플리케이션 점검 지원

  • 일반 사용자 및 전문가와 모의해킹 검사자를 위한 다양한 도구 지원

  • Client Side의 인증, SSL, NTML 등 다양한 인증관리 및 로그인 지원

  • Web 2.0에 대한 대응 지원

  • SDK연동 기반의 AXF-확장지원 툴을 통한 유연성 및 확장성

  • 델타분석을 통한 취약점 점검 및 개선 사항 확인

javascript, Flash 등에 대한 분석

  • 플래쉬, 자바스크립트 등에 대한 분석 기능

  • 정적 분석과 동적 분석을 통해 클라이언트 측 보안 취약성 점검 (업계 유일)

사용자 정의 테스트 / 정책 설정

  • 등록할 수 있는 사용자 정의 테스트 유형

  • -경로 수정(인프라) / 매개변수 및 쿠키 수정 / 전체 요청 수정 / 패턴 검색(수정 없음) /  글로벌 유효성 검증(모든 AppScan 테스트에 해당)

  • 취약점에 대한 업데이트 룰셋 적용 목록

    - 취약점 심각도 / 보안 권고문 / 조치방안 테스트 / 수정안

 

분석 결과의 정확성

  • 특정 취약성 유형에 대해 “취약하지 않음으로 설정”하여 이후 스캔에서 제외

  • 심각도(상/중/하) 조정

  • False Positive인 경우 문제를 암호화하여 기술지원팀에 전송하여 문제 보고

보고서 기능

  • 점검 후 발견된 취약점에 대한 한글화된 보안 권고문, 진단 시 사용한 웹 요청/응답 정보 제공

  • 다양한 산업 표준 및 컴플라이언스 보고서 제공

  • OWASP Top 10 / SANS 25 / ISO27001(27002) / FIPPA / PCIDSS 등

 

사이버 위협과 웹 사이트의 보안 문제에 대하여 고민이시라면, 망설이지 마시고 문의 주시기 바랍니다.  App Scan 웹 취약점 진단을 통하여 웹 사이트를 보호하고, 안전한 웹 서비스 제공과 보안 강화로 보안 취약점을 100% 근접 제거하시기 바랍니다.

 

 

소개자료(제안서) 다운로드

https://drive.google.com/open?id=10ODEDi4WB33NfingbqOKyDDJu6r_Qw89

 

태그가 없습니다.

6개의 댓글이 있습니다.

약 2년 전

잘보았습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4년 이상 전

보안관제를 별도로 받고 있어 관리 포인트가 하나 줄었어요
정말 다행이라 생각합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4년 이상 전

잘 보고 갑니다. App Scan구성 부분의 이미지는 연회색 바탕에 흰색 글씨라 잘 안보입니다...

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4년 이상 전

소개자료 감사합니다. 한번 검토해보겠습니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4년 이상 전

IBM... 이런거 하나 있으면 좋을텐데....

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

1st 5stars

4년 이상 전

잘 읽었습니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입