SharedIT | 묻고 답하기(AMP)

사내 시스템 구성 해킹/정보보안 대응

안녕하세요.
현재 외주업체를 통한 사내 모바일App+웹페이지 시스템 구축 중입니다.

시스템 보안면에서 취약한것으로 보여(소스코드 등) 
웹 취약점진단 혹은 소스코드 검증 등 정보보안관련하여 사전점검 진행하고 싶습니다.

서버구성은
클라우드 서비스 사용하며, 앞단에 보안관제서비스(방화벽, IPS, WAF) 서비스를 이용할 예정입니다.

업체에 뭘 요청해야할지 어떤 산출물 자료를 요청해야할지 모르겠습니다.
  
가이드 부탁드립니다.

감사합니다.
 

8개의 답변이 있습니다.

Andrew Gil
  0 추천 | 5년 이하 전
클라우드 서비스 사용하며, 앞단에 보안관제서비스(방화벽, IPS, WAF) 서비스를 이용할 예정입니다.

-> 도입할 업체에, 취약점 점검과 모의해킹 테스트 요청하시면 됩니다
혹시 동일한 업체는 아니겠죠? 동일하면 안됩니다. 보안관련 업체는 다른 업체로 진행하세요
팔은 안으로 굽습니다.
쿨가이
  0 추천 | 5년 이하 전
이런경우 요구사항과 수준이 천차만별이라서. 일단 보안업체 컨설팅이나 영업담당과 미팅 후

좀 더 구체적인 가이드라인을 정하고 진행하시는게 수월해 보입니다.

일반적인 웹서버 보안강화에서는 시큐어코딩준수와 웹방화벽 탐지 수준으로 보안성을 향상시키는게

무난한것 같습니다.
차바라기
  0 추천 | 5년 이하 전
요즘은 개발업체 계약을 하면서 이러한 부분도 포함을 시키더라구요~워낙에 보안 취약점때문에 문제가 생기닌까요~
빨간신발
  0 추천 | 5년 이하 전
저희가 app+웹으로 솔루션을 구축하면서...
사업범위에 취약점 점검으로 포함해서 진행했는데...
그냥 했다거에 의의가 있지..
실제로는 별 도움은 안되었습니다.
그 사람들이 서버취약점 점검한다고 서버에 심어둔 스크립트는 인터넷에 공개된 스크립트였고...
웹취약점도 했다고는 하는데...
잘 모르는 제가 대충 점검해도 나오는데.. 그 사람들은 이상없음으로 보고 했습니다.
너무 믿지는 마시고.. 행위를 했다는 것에 의미를 두시는 것이 좋을 듯 합니다.
Genghis Khan
  0 추천 | 5년 이하 전
질문 : 웹 취약점진단 혹은 소스코드 검증 등 정보보안관련하여 사전점검 진행
답변 : 웹 취약점은 해당 URL로 취약점 점검을 받을수 있고 그에 관련된 산출물 결과가 나옵니다.
        전문업체 웹 취약점은 비용이 많이 비쌉니다.
         
wansoo
  0 추천 | 5년 이하 전
서버 주소를 알려 주면 되지 않을까요..?
어떤 용도의 어떤 서비스를 하고 있다는 내용을 알려 준다면 도움이 더 될 거 같아 보이고...
업체가 선정되었다면 추가 필요한 내용들은 그 업체에서 요구 할것으로 보이고요.
 
guest
  0 추천 | 5년 이하 전
안녕하세요~

우선 보안장비를 두고 점검을 진행하실건지, 아니면 보안장비를 제거하고 순수한 웹페이지에 대해서 점검할지에 대해서 생각하셔야 될 것 같습니다.

보안장비를 두고 점검을 진행할 경우에, 소스코드 내에 취약점이 존재하여도 앞단에 보안관제서비스(방화벽, IPS, WAF) 서비스에서 차단(?)이 되기 때문에 온전한 보안점검을 진행하기 어려운 부분이 있습니다. 이점 참고하시고요.

업체에게는 소스코드 정적분석에 대한 시큐어코딩 점검 결과와 조치보고서를 의뢰 하시고,

완성된 웹사이트에 대한 모의해킹 결과보고서를 요청하시면 됩니다. 
체크리스트
  0 추천 | 5년 이하 전
개발을 맡긴 외주업체와 개발계약에 웹취약점진단까지 포함해서 계약하셨나요?
일전에 저희회사가 웹취약점진단 알아봤을때 개발비보다 더 비싸서 깜놀했던 기억이 있어서요;;;