티핑포인트 ‘웹 애플리케이션 디지털백신’ 서비스

기존 웹 방화벽 보완하는 취약점 분석·맞춤형 필터 제공

티핑포인트는 오늘 티핑포인트의 보안 연구소인 티핑포인트 DV랩스(Digital Vaccine Labs)팀 방한 기자 간담회를 갖고 웹 애플리케이션의 취약점을 이용한 보안 위협을 방어하는 새로운 ‘웹 애플리케이션 디지털 백신(Web Application Digital Vaccine, 이하 웹 애플리케이션 DV)’ 서비스를 소개했다.

이 서비스는 웹 애플리케이션 취약점을 악용한 공격으로부터 위험을 줄여주고 신용카드협회 데이터보호 국제표준(PCI-DSS) 규정에 따른 설치 방법을 제공한다. 박진성 티핑포인트 이사는 “웹 애플리케이션 디지털 백신과 함께 곧 출시할 통신망 취약점 스캐닝 서비스를 함께 활용하면 기업들은 전방위 침입방지시스템을 구축하는데 한 발 더 다가설 수 있을 것”이라고 설명했다.

즉 티핑포인트의 ‘웹 애플리케이션 DV’ 서비스는 웹 애플리케이션의 취약점을 악용해 발생하는 공격으로부터 위험을 줄여서 사용자의 보안 투자를 극대화한다. 또한 신용카드협회 데이터보호 국제표준(PCI-DSS)의 규정에 따른 설치 방법을 제공하며 웹방화벽으로도 해결하지 못한 취약점을 발견해 이를 방어하는 근원적인 필터를 제공해줌으로써 앞으로 발생할지도 모를 피해를 사전에 예방할 수 있게 해준다.

최근 웹 애플리케이션은 기업의 자산 목록 및 CRM을 포함한 사용자, 파트너 계약, 데이터 교환 등 다양한 분야를 지원하고 있으며 신용카드 데이터나 개인정보와 같이 민감한 데이터 자산의 접근을 제한한다. 웹기반으로 바뀌기 이전의 애플리케이션은 보안 레이어 뒤 기업 네트워크의 깊숙한 곳에 자리잡고 있었으나 지금은 사용자를 지원하기 위해 웹기반으로 변화하고 있으며 네트워크 경계 가까이로 옮겨 오고 있다.

티핑포인트의 ‘웹 애플리케이션 DV’ 서비스는 사용자의 애플리케이션 내 취약점들을 확인하고 포괄적인 네트워크 보안을 제공하는 DV의 기본필터와 함께 사용자 맞춤형 커스텀 DV 필터가 작동되도록 설정했다.

또 SQL 인젝션, XSS (Cross Site Scripting) 및 리버스 프록시(Reverse Proxy)와 같은 악성 공격에 이용될 수 있는 구역 및 코드에서 약점을 결정하는 애플리케이션 및 연합된 URL들의 스캔을 시작한다. 일단 검사가 완료되면 사용자들은 티핑포인트 DV랩스를 통해 취약점을 엄격하게 분류한 리포트를 받게 되고 계약에 의거하여 티핑포인트 IPS를 통해 설치될 필터 설정 및 커스텀 필터를 생성한다.

로힛 다만카(Rohit Dhamankar) 티핑포인트 DV랩스 수석디렉터는 “티핑포인트의 웹 애플리케이션 DV 서비스는 이전에 발견되지 않았던 보안 취약점들을 찾아내 차단하는 IPS의 기능을 포함하고 있다”며 “기본 필터에 사용자 맞춤형 커스텀 필터를 추가한 티핑포인트 IPS는 사용자들에게 기업 자산을 보호하는 또다른 레이어를 제공한다”고 덧붙였다.

아울러 위험한 취약점에 대비한 웹 애플리케이션 스캔뿐 아니라, 기업의 중요한 자산을 보호하는 커스텀 필터를 제공함으로써 PCI 규정을 철저히 준수하고 있음을 증명해줄 수 있다. 게다가 사후 스캔의 한 부분으로, PCI 보고서에서 입증된 필터를 통한 보안 기능과 함께 확인된 취약점을 해결했다는 것을 검증해준다.

박진성 이사는 “기존의 웹방화벽을 보완하기 위해 이번에 출시된 웹 애플리케이션 DV외에 크리티컬 워치(Critical Watch)사의 Fusion VM(취약점관리) 솔루션과 맺은 기술협약에 의해 조만간 출시할 예정인 네트워크 취약점 스캐닝 서비스를 함께 활용한다면 각 기관들이 360도 전방위 침입방지시스템을 구축하는데 한발 더 다가설 수 있을 것”으로 도입효과를 전망했다.

[김태형 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)