IBM Rational AppScan 구축사례

Chapter 4 - Case Study

웹 보안 솔루션, 이렇게 활용하라

웹 애플리케이션 취약점 분석도구 활용

광범위한 웹 애플리케이션 취약점 검토와 보안감사 도구

IBM Rational AppScan은 최초 제조사인 Sanctum, Watchfire를 거치는 10년 이상의 세월을 거치면서도 그 최초의 목표인 광범위한 웹 애플리케이션에 대한 보안테스트를 통한 애플리케이션의 문제점 확인과 개발자에 대한 지원으로 안전한 웹 애플리케이션 개발과 운영상의 감사를 통한 보안성 향상을 지속적으로 지원하고 있다.

2004년도에 국내에 처음 소개된 이래, 오랫동안 AppScan Desktop 감사도구를 중심으로 시장에 알려져 왔던 AppScan은 국내 40여개 이상의 고객사와 전 세계 1,000여개가 넘는 고객을 통해 그 품질과 완성도를 인지시켜왔으며 이제 전사적인 지원을 가능케 하는 AppScan Enterprise와 Tester 에디션을 통해 웹 애플리케이션 개발에서 운용에 이르는 다양한 사용자들이 각자의 역할에 따른 이용과 문제점에 대한 추적을 할 수 있는 웹 애플리케이션 보안 플랫폼으로 다시 소개되고 있다.

AppScan은 웹 애플리케이션에서 이용되고 있는 다양한 기술에 대한 지원, 서드파티 애플리케이션 취약점에 대한 분석 및 지원, 그리고 IBM Rational 보안팀의 강력한 지원으로 그 기능을 날로 강화하고 있으며 국내 사용자를 위한 제로보드, 제우스 취약점 업데이트를 시작으로 한국 내 서드파티 애플리케이션과 주요 이용 기술에 대한 지원을 강화해 나가도록 로드맵을 그리고 있다.

이러한 지속적인 지원의 성과로 많은 기업과 조직들이 웹 애플리케이션 취약점 분석 및 감사도구에 신뢰를 보이고 있고 악의적인 공격을 시뮬레이션 하여 실제적인 Exploit을 확인할 수 있다는 강점으로 AppScan은 그 사용자 층을 계속적으로 넓혀가고 있다. 이중에서도 A은행과 D은행, C포탈과 T통신사는 AppScan을 통해 개발시부터 운용에 이르는 웹 애플리케이션 SDLC에 대한 이용을 목적으로 운용하는 대표적인 고객사로서, 웹 애플리케이션 개발시의 가이드라인 및 지침 수립을 시작으로 운영중인 인터넷 서비스 시스템에 대한 보안 점검 및 주요 취약점 점검을 진행하고 실제 운영환경에 놓인 서비스에 대한 정기적인 전수 검사 및 중요 취약점의 확인 및 조치를 목적으로 AppScan을 운용하고 있다.

이들 고객들은 방화벽 및 침입탐지 시스템의 보안 기능을 우회하고 웹 애플리케이션 취약성을 이용한 해킹이 급증함에 따라 웹 애플리케이션 취약점 진단 도구를 도입하여 주기적인 자체 점검으로 웹 애플리케이션 보안성을 강화하기로 했다. 또 웹 애플리케이션 취약점 진단 도구를 도입해 자체적으로 개발(통합/테스트) 및 운영 단계에서 주기적인 웹 서비스의 취약점 진단 및 보완을 목적으로 AppScan을 도입하게 됐다.

AppScan은 웹 애플리케이션 개발에 따른 SDLC에 따른 설계/개발 → 통합/검증 → 배포/운영의 단계에서 효율적인 감사와 검토를 위한 도구로 활용되고 있으며 이를 통해 웹 애플리케이션 점검에 필요한 시간과 인력 및 비용에 대한 부분을 최소화 할 수 있었다.

이러한 운용은 단순히 일회성 점검을 목적으로 하는 것이 아니라 주기적이며 지속적으로 점검, 분석, 감시하여 웹 애플리케이션의 안전성에 대한 지속적인 강화가 가능하다. 이를 통해 개발자와 품질관리 및 보안 담당자가 해당 애플리케이션에 대한 문제점과 웹 애플리케이션의 문제점을 이해하고 안전한 애플리케이션 개발을 위해 이용할 수 있는 방법론과 메소드 및 절차를 숙지하여 새로운 웹 애플리케이션의 개발시 이에 대한 적용이 가능해 개발 초기부터 문제점을 극소화 시킬 수 있도록 도움을 제공하고 있다.

다양한 웹 애플리케이션 개발 및 운영 환경에서 이용되는 AppScan은 그 다양한 환경에 적합하게 운영될 수 있도록 설계 되었으며, 특히 확장 프레임워크는 모의해킹검사자의 능력을 AppScan의 점검 결과와 함께 결합하여 분석하고 결과를 제공할 수 있도록 하다. 또 사용자 정의 점검 정책을 통해서 자사의 애플리케이션에 적합한 취약점 점검 방법이나 개인정보에 대한 패턴 검색을 통한 점검을 진행해 보고할 수 있도록 한다.

이러한 웹 애플리케이션 취약점에 대한 검토 및 감사를 통해 해당 웹 애플리케이션의 구성과 기반환경에 대한 정보를 효과적으로 수집하며 수집된 정보를 기반으로 필요한 점검을 진행하는 AppScan이야 말로 First Line of Defense에서 악의적인 해커가 할 수 있는 행동패턴에 대한 광범위한 점검을 전제로 그 기능을 활용할 수 있다. 해당 도입사들의 기대 효과는 다음과 같다.

웹 애플리케이션 기반의 서비스에 대한 보안 수준 제고를 통한 웹 서비스 보안 사고의 예방

● 신규 웹 애플리케이션 서비스로의 운영 이전 단계 보안 취약점 도출, 보안 대책 비용 절감

● 주기적인 자체 웹 애플리케이션 취약점 진단으로 보안성 높은 대 고객 서비스 제공

● 개발자들의 안전한 웹 애플리케이션 개발에 대한 목표 의식 고취

AppScan은 이러한 목표와 기대효과에 적합한 제품으로 기존의 SDLC의 최소의 부분에 영향을 주면서도 최대의 효과를 낼 수 있도록 적용되었으며 이를 통해 위에 언급된 기대효과 외에도 산업표준 및 컴플라이언스 관련된 부분에 대한 감사의 제공으로 현재 어떤 수준의 안전성을 유지하고 있는지의 지표를 찾을 수 있으며 이를 통해 현재 주어진 웹 애플리케이션 개발과 이를 통한 서비스에서 최상의 효율을 얻고 있다.

AppScan 운용 적용 및 활용 범위

1.웹 애플리케이션 정기 점검과 보안성 평가

·웹 서비스 및 웹 애플리케이션의 취약점 정기 점검

·웹 서비스 개발시 보안성 고려와 평가

·침해사고 사전 대응과 상시적인 웹 서비스 보안성 증대를 위한 작업 수행

2. 웹 애플리케이션 개발자 가이드 개발 및 운용

·개발시 주요 웹 애플리케이션 취약점을 검증 가이드

·개발시 주요 웹 애플리케이션 취약점을 제거 가이드

3. 웹 애플리케이션 취약점 진단 자동화 시스템

·AppScan 7.7과 연동하는 웹 취약점 점검 자동화 시스템 구축 및 운영

·광범위적 웹 보안성 기여와 취약점 점검 서비스

4. 산업 표준 및 법규준수 보고서 활용

·산업표준 보고서: OWASP Top10 2007/2004, SANS Top20 V5/V6, WASC Threat Classification, PCI DSS, NERC CIPC ESS Guide, ISO17799, ISO27001, VISA’s Payment Application Best Practices

·법규준수 보고서: NIST Special Publication 800-53, BASEL II, VISA CISP, MasterCard SDP, FERPA, Title 21 Code of Federal Regulations, The Securities Act, SOX, Safe Harbor, Privacy Act of 1974, NERC Cyber Security Standards, HIPAA, GLBA, FISMA, EFTA, COPPA, Data Protection Act, FIPPA, MITS 등 36개

5. 웹 애플리케이션 취약점 진단 및 보안성 검토 서비스(내부)

·개발자, 테스터, 품질 관리, 보안 담당자에 이르는 역할별 점검 및 접근 진행

·각 역할에 따른 보고서 및 대시보드 제공

6. 전사적인 웹 애플리케이션 취약점 및 이력에 대한 관리

·전체 웹 애플리케이션 취약점에 관련된 통계 및 시정 제공

·발생한 문제에 대한 추적 및 작업 이력관리

·현재 진행하고 있는 작업 및 담당자에 대한 이력관리

<글·이동일 시드시스템 대표이사(jason@seedsystem.net)>

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다