Transcript PowerPoint Template

Fortify Software - Application 보안
2008. 02.
I. Fortify Software 소개
목차
CONTENTS












애플리케이션 보안
예방방안
유형 비교
요구사항
보안 동향
주요 취약점
Fortify Software
분석 로직
운영방안
적용사례
국내 레퍼런스
해외 레퍼런스
1
www.esvali.com
I. Fortify Software 소개
애플리케이션 해킹 – 기존 보안의 한계
■ HTTP(S) 트래픽은 합법적으로 간주
IDS
웹 브라우져
Web
Client
* SQL Injection
ID:Admin
PWD: ‘ or 1=1 --
Web app
Web
Server
방화벽
웹 서버
DB
Web app
Web app
Hacker
Telnet, FTP, NETBIOS, RPC…
Web app
웹 어플리케이션
DB
데이터베이스
알려진 공격에는 효과적인 차단 가능 (Black List 기반)
Black List의 업데이트 필수
1세대 웹 공격(단순 도구를 이용한 웹 공격)에는 효과적이나 2세대 공격(웹 지식 및 도구 이용)에는 무력
2
www.esvali.com
I. Fortify Software 소개
애플리케이션 취약점을 이용한 사고 사례
■ 최근 애플리케이션 취약점을 이용한 웹 해킹사고가 대형 포털 및 공공기관 등의 전 분야에 걸쳐 발생하고 있음
구분
사례 A
사례 B
사례 C
사례 D
세부 내용
구 버전의 JSP 엔진 (Resin Server)의 취약점 존재
해당 취약점을 이용해 Directory Traversal 가능
시스템 주요 설정파일 노출(DB Connect)
획득한 정보를 이용해 외부에서 Database Server접속
공격 수행시간 : 5~15분, 공격 탐지
: 탐지 안됨. 관리자 인지 못함
웹 컨텐츠 배포자의 환경 설정 취약점을 이용
이미 오래 전부터 알려진 공격 기법을 이용
시스템 설정 오류가 아닌 어플리케이션의 취약한 코드를 이용
단 3번의 명령 실행으로 공격 성공 (SQL Injection)
공격 수행시간 : 5~10분, 공격 탐지
: 탐지 안됨. 관리자 인지 못함
웹 컨텐츠 배포자의 환경 설정 취약점을 이용
윈도우의 경우 WebDAV 나 Front Page Server Extension
다수의 개발자들이 컨텐츠 배포의 편의를 의해 사용
웹서버의 가상디렉토리가 Everyone에 쓰기 권한 활성화
공격 수행시간 : 5~10분, 공격 탐지
: 탐지 안됨. 관리자 인지 못함
웹 컨텐츠 배포자의 환경 설정 취약점을 이용
회원들에게 기념우표 발행에 대한 정보 제공 및 구입 신청 홈페이지
일반회원이 로그인한 상태에서 파라미터 변조 시도
주요 정보를 GET 데이터를 통해 전송함
사용자 인증을 단순히 ID값으로만 수행
공격 수행시간 : 1분, 공격 탐지 : 탐지 안됨. 관리자 인지 못함
3
www.esvali.com
I. Fortify Software 소개
애플리케이션 취약점을 이용한 공격
“Now is the time for security at Application Level”, Dec. 2005, Gartner
4
www.esvali.com
I. Fortify Software 소개
애플리케이션 보안 특징 및 현실
 개발자
- 개발자 참여 필요  취약점 조치는 개발자가 수행해야 함
- 기능성, 가용성, 편의성이 개발자들의 주된 목표, 또한 프로젝트 기간 내에 코딩을 완료해야 함
- 현실적으로 보안을 고려하여 코딩 할 수 있는 개발자 부재
- “보안 코딩 가이드”는 있으나 준수 한계  코딩단계부터 적용 가능한 보안 방안 부재
 보안 관리자 / IT관리자
- 애플리케이션 상세 이해 한계
- 보안 코딩 가이드 준수 여부에 대한 검증 장치 혹은 프로세스 미비(매뉴얼 리뷰, 컨설팅)
- 외주 개발 애플리케이션에 대한 보안 검증 장치 부재(개발사 몫?)
- 국제규정 및 감독기관, 외부 규정을 준수하는 개발보안 필요
 운영자
- 네트워크, 시스템 및 애플리케이션의 가용성 유지해야 함
- 애플리케이션에 대한 상세 이해 부족
- 운영단계에서 애플리케이션 취약점 조치 어려움 - 현실적으로 전수검사 불가능
개발 라이프 사이클(SDL)내의 보안 방안 부재
업무별 적정 프로세스 및 솔루션 부재
5
www.esvali.com
I. Fortify Software 소개
예방방안 – 웹 방화벽
■ 웹 방화벽 솔루션은 웹 프로그래밍 오류 및 자동화 공격 툴을 이용한 웹 해킹 탐지 및 차단 수행
주요 기능 및 특징
서비스 구성
구분
세부 설명
애플리케이션 수정 없이 애플리케이션 공격
방어
 웹서버, 애플리케이션 서버등의 설정
오류로 인한 취약점 방어
 애플리케이션 개발 언어 및 환경의 제약
없이 공격 방어
 웹을 통한 공격 시도 탐지

HTTP Request
Firewall
Switch
Public
Web
Server
Web
F/W
특징
Web
Application
Attacker
Internet
Database
ATTACKS
서비스 통과
패킷
수집 및 분석
Manager
경보
SQL Slammer
Code Red Nimda
Forceful SQL injection
:
Site
DBMS
룰 설정을 위해서는 애플리케이션에 대한
분석이 수행되어야 함
 룰 설정이 방대하고 까다로움
 애플리케이션 변경시 룰 수정 필요
 웹 서버 성능 저하요소

Intranet
Web
Server
한계
관리자
Console
사용주
체
6
시스템/네트워크 관리자
 애플리케이션 운영자

www.esvali.com
I. Fortify Software 소개
예방방안 – 웹 스캐너
■ 전문 엔진을 사용하여 웹 애플리케이션 및 웹 서버 모의 공격 테스트 후 취약점 도출
주요 기능 및 특징
서비스 구성
구분
세부 설명
애플리케이션에 존재하는 취약점 도출
사용의 편의성
 웹서버, 애플리케이션 서버등의 설정 오류로
인한 취약점 도출
 웹 애플리케이션 개발 언어 및 환경의 제약
없이 취약점 도출
 단시간에 대량의 모의공격 테스트 후 취약점
도출


Firewall
Public
Web
Server
Switch
Internet
특징
Web
Application
Database
Penn Test
(외부망)
Penn Test
(내부망)
Intranet
Web
Server
개발 완료된 애플리케이션에 대해서만 취약점
분석 가능
 매일 update되는 애플리케이션에 대한 대응
한계
 점검 결과에 대한 실 적용 한계(소스코드 변경
내용 파악 어려움)
 오탐율

한계
관리자
Console

사용주체
7
QA/감사자
애플리케이션 테스트 요원
 보안관리자/CERT

www.esvali.com
I. Fortify Software 소개
예방방안 – 소스코드 분석
■ 애플리케이션 소스코드에 대해 전문 엔진을 사용하여 분석 후 취약점 도출
주요 기능 및 특징
서비스 구성
구분
개발팀
세부 설명
애플리케이션 소스코드 관점의 진단결과
도출
 소스코드 관점의 리포트 제공으로 취약점
수정 용이
 단시간에 대량의 소스코드 분석
 개발중인 애플리케이션에 대한 취약점 분석
 개발 프로세스와 연동

보안결함
개발1팀
경영층
개발관리자
Build Server
보안분석
보안팀
CISO, CSO,
CTO, CIO
개발자/테스터
IDE Plug-ins
특징
보안
보안정책
개발2팀
관리자
코드
보안 관리
소스코드 분석
보안 분석
정책편집
레포트
CCO,
CSO
한계
전사보안정책
개발3팀
진단가능 언어 제한
 웹서버, 애플리케이션 서버등의 설정
오류로 인한 취약점 도출 한계
 소스코드 미 보유시 진단 불가

보안정책
개발자
 QA/감사자
 보안 관리자
 프로젝트 관리자

사용주
체
코드
외주개발
8
www.esvali.com
I. Fortify Software 소개
애플리케이션 소스 취약점 점검
애플리케이션 보안 유형 비교
웹 애플리케이션 스캐너
웹 애플리케이션 방화벽
목표
보안성이 확보된 전사 애플리케이션
개발 및 구축
웹 취약점 점검 및 조치
웹 공격방어
사용목적
애플리케이션 근본 취약점 발견 및
조치
웹 애플리케이션 취약점 발견 및 조치
웹 서버 및 웹 애플리케이션 방어
형태
자체 엔진에 의한 취약점 점검
자체 엔진에 의한 취약점 점검
Proxy 방식
점검 관점
관리자, 개발자 관점
공격자 관점
관리자 관점
사용 방법
전문 소프트웨어 및 지식에 의한 점검
전문 소프트웨어 및 지식에 의한 점검
룰 세팅에 의한 공격 방어
점검시점
개발단계, 구축단계, 실 운영환경
실 운영환경(웹 애플리케이션 개발 완료
후)
실 운영환경(웹 애플리케이션 개발 완료
후)
대상
애플리케이
션
웹 애플리케이션 + 기업 애플리케이션
소스(C, C++, C#, JAVA, JSP, PL/SQL)
웹 애플리케이션
웹 애플리케이션
점검 대상
Front-end + Back-end 애플리케이션
Front-end 웹 애플리케이션
웹 서버
점검 수준
취약 프로그램 소스 파일, 라인,
취약함수
취약 웹 애플리케이션 프로그램명
해당사항 없음
점검 항목
기업 애플리케이션 전체
웹 애플리케이션
해당사항 없음
향후 운영
용이(도구 사용에 의한 자체 인원에
의한 주기적 점검)
용이(도구 사용에 의한 자체 인원에 의한
주기적 점검)
어려움(공격 유형에 따른 대처)
기타
보안 감사도구로 활용
외주소스에 대한 보안감사
SDLC 단계별 보안성 검토 가능
개발시 보안 metrics 구축
보안 감사도구로 활용
웹 매플리케이션에만 국한됨
네트웍 운영환경 변경
웹 서버의 가용성 및 성능에 영향 미침
웹 애플리케이션에만 국한됨
9
www.esvali.com
I. Fortify Software 소개
애플리케이션 보안 요구사항
○ 개발 단계 별 보안 요구사항
소프트웨어 개발 라이프 사이클 단계인 “계획코딩테스트운영” 단계의 모든 단계 별로 보안성 검토 프로세스를 추가 도입 한
다. 기존 애플리케이션 개발 방법에 따른 보안상의 취약점 발생을 사전에 방지하고, 향후 도출된 취약점 개선을 용이하게 한다.
개발 프로세스
솔루션 유형
단계 별 필요사항
계획
• “APPs 개발자 보안 지침 가이드” 교육
• SDLC 단계 별 보안성 검토 프로세스 개선
• 보안성 검토 프로세스
• 개발 보안 지침
• 소스코드 취약점 분석
• 취약점 감사
• 취약점 개선
• 소스코드 취약점 분석
• 애플리케이션 취약점 분석
• 취약점 감사
• 취약점 개선
• 웹 스캐너
• 소스코드 취약점 분석
• 애플리케이션 변화관리 보안성 감사
• 신규 보안 취약점 감사
• 주기적인 보안 취약점 감사
• 애플리케이션 방어
•
•
•
•
설계
코딩
테스트
운영
10
애플리케이션 방화벽
웹 스캐너
소스코드 취약점 분석
모의해킹
www.esvali.com
I. Fortify Software 소개
애플리케이션 보안 동향 – 개발과정 보안
○ 애플리케이션 보안 동향
• 애플리케이션 개발 라이프사이클 단계별 보안요소가 고려 되어야 함
• 개발 후 개발 혹은 QA 단계에서 취약점을 조치한다면 구축 후 취약점을 조치하는 것보다 20배 의 비용
절감 효과
단계
보안Activity
-보안
프로젝트
개시/ 분석
요구사항 정의 (시스템, 기능)
-보안 코딩 표준 정의
-보안 프레임웍 정의
-보안 요구사항 매핑
-보안
설계
명세(Spec.) 정의
- 위협 모델링
- 보안 설계
- 보안 테스트 계획 수립
개발
- 보안 코드 검토
- 보안 단위 시험
- White Box 보안 시험
- 보안 시스템 구축
보안 기능 시험
- 보안 침투 테스트
- 보안 코드 스캐닝
-
테스트
유지관리/
운영
“Integrate security best practice and tools
into software dev lifecycle”, Feb. 2006
11
보안 운영 지침 수립
(패치, 설정, 지속적 점검 등)
- 보안 이슈 추적/해결
-
www.esvali.com
I. Fortify Software 소개
애플리케이션 주요 취약점(예)
취약점
현상
Path Manipulation
시스템 중요파일(password,
소스코드등)에 접근 하여 시스템 침탈
가능
인가된 경로 외의 파일에 접근하지
못하도록 소스 변경
DB 공격하여 비인가 정보 획득,
데이터 변조 가능
사용자 입력값이 DB Query문에 직접
조합되지 않도록 소스 변경
Cross-Site Scripting
페이지 가로채기, 바이러스 설치,
백도어 등의 스크립트 공격 가능
사용자 입력값에 대해 필터링 하도록
소스 변경
HTTP Response Splitting
페이지 가로채기, 바이러스 설치,
백도어 등의 스크립트 공격 가능
사용자 입력값에 대해 필터링 하도록
소스 변경
프로그램 내부 데이터 조작 공격
중요하게 다루어 지는 내부 데이터의
외부 사용자 입력값 이용 하지 않도록
소스 변경
시스템 간접정보 획득, 및 프로그램
오동작 가능
사용자 입력값에 대해 검사하도록 소스
변경
시스템 간접정보 획득 가능성
Error 발생시 시스템 정보가 노출되지
않도록 설정파일 변경
SQL Injection
Trust Boundary Violation
Unchecked Return Value:
Missing Check against Null
J2EE Misconfiguration:
Missing Error Handling
대응책
※위 목록상의 취약점 외에 백 여종 이상의 애플리케이션 취약점이 존재하며 취약점의 대부분이 애플리케이션
소스 변경에 의해 조치되어야 함
※애플리케이션 취약점들은 개발단계 부터 디버깅 관점으로 관리되어야 함 (개발자 업무의 70%가 디버깅 업무)
12
www.esvali.com
I. Fortify Software 소개
애플리케이션 주요 취약점(예)-계속
취약점
Access Control
Missing XML Validation
Resource Injection
Authentication
Null Dereference
Session Fixation
Code Correctness
Object Model Violation
Setting Manipulation
Command Injection
Obsolete
Struts
Dead Code
Password Management
System Information Leak
EJB Bad Practices
Poor Error Handling
Unreleased Resource
Insecure Randomness
Poor Logging Practice
Unsafe JNI
J2EE Bad Practices
Poor Style
Unsafe Mobile Code
Log Forging
Privacy Violation
Unsafe Reflection
Member Field Race Condition
Process Control
Resource Injection
13
www.esvali.com
I. Fortify Software 소개
SDL 내의 Fortify Software 포지셔닝
Fortify Manager
Central reporting and management of software security across the enterprise
Fortify SCA
Security Ops Team
Fortify SCA Dev
Fortify Defender
Proactive security with targeted,
accurate analysis tuned for low false
positives
Management
Developers
Monitors and measures web applications in
production
FPR
Security Testers
Fortify SCA
Analyzes code comprehensively and
accurately
Fortify Tracer
Build Server
Makes every black box security test measurable and actionable
Security Leads / Auditors
14
www.esvali.com
I. Fortify Software 소개
SDL 내의 Fortify Software 포지셔닝
○ Fortify Source Code Analysis Suite
- 개발단계부터 보안 취약점 발견 및 조치를 통한 “안전한 애플리케이션 개발”
- SDLC 프로세스와 연동되어 “보안 검토 프로세스”로 사용
- 지원대상 : JAVA, JSP, .NET, C, C++, C#, PL/SQL 및 환경(Apache, J2EE, EJB, ASP.NET, Weblogic등)
- 개발자 관점 (소스파일,라인,함수)의 개선 보고서 제공으로 애플리케이션 취약점 수정 용이
- IDE Plug-ins (VS.net, Eclipse, Jbuilder, WASD) 지원
○ Fortify Tracer
- 애플리케이션 보안 테스트
- 애플리케이션 QA 테스트시 보안 검증
○ Fortify Defender
- Application Firewall
- “Hardened Software”방식(세계최초)
- Monitoring mode 및 defense mode 지원
○ Fortify Manager
- 웹 기반의 애플리케이션 보안현황 관리(리포트, 이력관리, 룰 관리 및 update, 사용자관리)
15
www.esvali.com
I. Fortify Software 소개
Fortify Source Code Analysis 점검 프로세스
소스 파일
개발자
Audit Workbench
(취약점 감사)
(Java, JSP, C/C++, C#, XML,
.NET PLSQL)
보안관리자
Fortify Source Code Analysis
(Data Flow, Control Flow,
Semantic, Configuration, X-Tier Tracking)
관리자
취약점 이슈
Security manager
(애플리케이션 보안관리)
Application Specific
3rd Party Library /
Framework Specific
Core Language
Vulnerabilities
16
Custom Rules
Corporate Coding Standards
Coding Libraries
Fortify
Custom interfaces
Rules Builder
Buffer Overflows
Format String Issues
SQL Injection
Privacy Violations
Cross-Site Scripting Native Callout
Access Control
Unsafe Memory
Process Control
Operation
No Null Termination Unchecked Return
Setting Manipulation Value
Resource Injection
Always Unsafe
Passwords in Config Functions
Files
Race Conditions
Unreleased Resource Uninitialized Variable
Session-ID Length
Entity Bean Configuration
Information Leakage
Log Forging
Integer Overflow
EJB Resource Permission
Struts Form Field Validation
Double Memory Free
Null Pointer Dereference
Directory Restriction
Fortify Secure Coding Rules
www.esvali.com
I. Fortify Software 소개
분석 로직 – 취약점 탐색
프로세스·데이터의 흐름을 따라 취약성을 찾습니다
17
www.esvali.com
I. Fortify Software 소개
운영방안(1) - 보안 감사 프로세스
○ 운영형태
- 애플리케이션 보안 관리자가 사용 주체가 되어 소스 취합 후 취약점 점검 및 테스트
- 특정 프로젝트 혹은 특정 업무에 대한 보안 취약점 점검
- 개발중 혹은 개발 완료된 애플리케이션에 대한 취약점 점검
- 개발자는 점검 결과를 확인하여 취약 소스 변경
○ 장/단점
- 대량의 애플리케이션에 대한 전수 검사 가능
- 외주 개발 소스에 대한 보안성 검토
- 보안이 고려되지 않은 상태로 개발이 진행 후 소스코드를 취합, 검토 하므로 다량의 취약점이 발견되며
제거를 위한 별도의 시간 및 인력투여 필요
○ 도식
소스코드
취약점 탐색
취약점 검토
3rd party IDE
Microsoft, Borland,
Eclipse, IBM, etc,
소스코드
수
정
개발자
보안관리자
취약점 내역
18
www.esvali.com
I. Fortify Software 소개
운영방안(2) – 보안 점검 프로세스
○ 운영형태
- 개발자 : 개발환경에 IDE Plug-in을 설치하여, 개발중인 소스코드의 취약점을 수시로 탐색 및 취약점 제거
- 보안 관리자 :
- 보안이 고려되어 개발된 소스코드를 취합하여 전수검사 수행
- 중앙 관리 도구를 이용하여 보안현황 및 취약점 관리
- Security Test
- 프로젝트 관리자 : 중앙 관리도구를 이용하여 업무별/애플리케이션의 취약점 변화 관리
○ 장/단점
- 보안 개발 프로세스 확립으로 보안이 고려된 애플리케이션 개발 가능
- 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요
- 특정 개발 도구를 사용하여야 함
○ 도식
소스코드
취약점 탐색
소스코드
수
정
개발자
취약점
검토결과
보안 현황 /
리포팅
프로젝트
조회/관리
보안 현황 검토 / 관리
3rd party IDE
Microsoft, Borland,
Eclipse, IBM, etc,
Security Manager
19
보안관리자 / 프로젝트 관리자
www.esvali.com
I. Fortify Software 소개
운영방안(3) – 보안점검 프로세스
○ 운영형태
- 개발자 : 개발 프로세스(변경관리 도구)와 연동되어 소스코드의 보안 취약점 확인 및 제거
- 개발 관리자 or 보안 관리자 :
- 개발자에 의해 보안 취약점이 검토/제거된 소스 코드에 대해 결과 검토 후 승인
- 중앙 관리 도구를 이용하여 애플리케이션 보안 취약점 현황 관리
- Security Test
○ 장/단점
- 자동화된 보안 개발 프로세스 확립
- 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요
- 기 사용중인 변경관리 도구와의 연동 필요
○ 도식
변경관리 프로세스
소스코드
수정/개발
취약점
탐 색
결재 요청
(취약점
제거결과
첨부)
보안성
검 토
결재
Whitebox
Test
배포
소스코드
수
정
개발자
보안관리자 / 개발 관리자
20
www.esvali.com
I. Fortify Software 소개
적용사례(H은행)-추진과제 및 프로젝트 범위
프로젝트 구축범위
취약성 분석
웹 프로그램 개발시의
가이드라인 및 지침 수
립
개발환경
소스코드
(JAVA,JSP)
설정파일
개
발
가
이
드
보안
정책
Fortify
SCA
전수시스템
(정기 전수검사)
Security
Knowled
ge
예외
처리
형상관리 연동
Aurora(형상관리)
보안
정책
Fortify
SCA
Security
Knowled
ge
보안 현황 관리
Web Interface
웹 프로그램의 개발/변
경 시에 대한 상시 취
약점 점검체계 구축
(형상관리와 연동)
소스코드 분석
개발툴(개발자)
eclipse
Report
History
Executive
Summary
Security
Policy
User
Management
Security
Alert
예외
처리
운영환경
모의해킹 시스템
Web
기 운영중인
웹 프로그램에 대한 취
약점 진단 및 조치
Fortify
Tester
Security
Knowledge
Report
운영시스템
21
www.esvali.com
I. Fortify Software 소개
적용사례(H은행)-프로젝트 일정 및 내역
추진 목표 및 내역에 대한 사전 전략 수립을 통한 성공적인 프로젝트 수행
2006/8
상시 취약점 점검 체계
구축 전략 수립
2006/10
2006/11
운영 APP
보안점검 수행
인터넷 뱅킹 애플리케이션 취약점 상시 점검 체계 구축
웹 어플리케이션 개발보안
추진 과제 도출(3개)
웹 프로그램 개발시의 가
이드라인 및 지침
수립
웹 프로그램의 개발/
변경 시에 대한 상시
취약점 점검체계 구축
기 운영중인
웹 프로그램에 대한
취약점 진단 및 조치
2007/1
2006/12
인터넷 뱅킹 애플리케이션에 대한
정기 전수검사 / 형상관리 연동 점검 / 개발시 상시 점검 시스템 구축
애플리케이션 상시 보안 점검체계 구현
운영 중인
인터넷 뱅킹
시스템에
대한
보안점검 및
주요 취약점
점검
현황 분석
설계
시스템 구축
테스트
이행
형상관리(Aurora) 연동
정기 전수 시스템 구축
점검 룰 최적화
개발자 환경구축
모의해킹 시스템 구축
개발 보안교육
개발 지침 및 가이드라인 수립
인터넷 뱅킹 시스템 전수 검사 및 중요 취약점 조치
22
www.esvali.com
I. Fortify Software 소개
적용사례(H은행)-구축 현황
형상관리 시스템과 연동된 상시 보안 점검 체제 구축
애플리케이션에 소스코드에 대한 상시 보안 점검 및 통제를 위하여, 당행 운영중인 형상
관리 시스템(Aurora)과 연동하여 소스 프로그램 변경 시 자동화된 보안 검사 실시
개발툴(eclipse)에 보안점검 모듈 장착하여 개발자에 의한 상시 보안 점검 수행
일관된 보안 정책에 의한 애플리케이션 보안 수준 유지
어플리케이션 개발 서버
개발자
Java
Analysis
Engine
semantic
global data flow
configuration
자체 보안테스트 실시
실행 테스트
3
변경된 소스 프로그램
취약점 진단
5
운영 시스템 반영
컴파일 및 테스트
control flow
결재 의뢰
(Java)
Eclipse 연동
1
2
분석결과
4
취약점 존재시
소스 반려
보안 관리자
형상관리 서버
Analysis
Engine
semantic
global data flow
configuration
control flow
Compile 및 보안진단
보안정책 설정(사전)
정상시
어플리케이션 운영 서버
23
www.esvali.com
I. Fortify Software 소개
적용사례(H은행)-구축 현황
전수 점검 및 모의해킹 진단 체제 구축
운영중인 소스코드에 대한 주기적인(일간) 전수 검사 실시하여 프로그램간 연동 취약점 검사
운영시스템에 대한 정기 취약점 점검(웹 스캐닝)을 실시하여 외부에서의 취약점 검사
운영시스템에 대한 주기적이고 체계적인 취약점 관리 체제 구축
개발자
운영 서버
Java
JSP
Configuration
Analysis
Engine
2
형상관리와 연동된
소스점검
3
정기 전수검사
(일일)
semantic
global data flow
configuration
control flow
Eclipse 연동
1
7
자체 보안테스트 실시
6
Java
JSP
Configuration
전수검사 결과 검토
및 조치
Manager 서버
레포트 열람
결과 협의 및 통지
보안 관리자
Analysis
Engine
보안정책 설정
semantic
global data flow
4
configuration
전수결과, 레포트
control flow
분석결과
4 8
취약점 점검(웹 스캐닝)
웹 취약점 진단 시스템
5 9
진단 결과
Security
Testing
System
Attack
and
웹 서버
모의공격
테스트
Analysis
Engine
24
www.esvali.com
I. Fortify Software 소개
적용사례(H은행)-구축 현황
애플리케이션 개발 시 보안 프로세스 확립
어플리케이션 개발팀에 의한 취약점 자체 점검 체계 및 보안 의식 강화
자동화 된 시스템 및 체제 구축으로 애플리케이션 보안 현황 및 관리 용이
정형화 된 진단방법의 구성으로 효율적인 상시 보안 점검 체계 확보
개발팀
경영진
Security
Defects
개발팀 1
CISO, CSO, CTO,
CIO
개발리더
자체 보안성 검토
보안팀
개발자/QA
개발툴 플러그인
보안 관리자
정책
가이드라인
개발팀 2
소스코드
점검결과
보안점검 시스템(형상관리/전수진단)
보고서
보안 관리 시스템(Manager)
취약점점검시스템(웹 스캐너)
운영팀
개발팀 3
시스템 운영자
소스코드
외주개발
25
www.esvali.com
I. Fortify Software 소개
적용사례(S전자)
○ 적용 전 보안검토 프로세스
개발부서
보안팀
개발팀
CERT
코딩
소스코드
보안성 검토
N
취약점 조치
운영 시스템 반영
비고
운영 형태
- 개발자는 “개발 보안 가이드”에 의거하여 코딩
- 보안팀에 의한 소스코드 보안성 검토(매뉴얼 소스코드 리뷰)
- 취약점 결과를 개발자에 송부 후 조치
- 보안성 검토 후 보안 승인에 의한 운영 시스템 반영
취약점
Y
개선요청
Pain Fact
- 샘플링 형태에 의한 소스코드 리뷰
- “개발 보안 가이드” 준수 여부 확인 한계
- 전수검사 불가능
- 수시로 변경되는 애플리케이션에 대한 검사 한계
종료
26
www.esvali.com
I. Fortify Software 소개
적용사례(S전자)
○ 적용 후 보안검토 프로세스
개발부서
보안팀
개발팀
CERT
코딩
소스코드
보안성 검토
비고
운영 형태
- “개발 보안 가이드”를 포함하는 주요 취약점 등록
- 개발 단계부터 개발자에 의한 보안성 검토 및 조치
- 개발자들에 의한 코딩 완료 후 보안팀에 의한 전수 검사
보안성 검토
N
N
취약점
Y
취약점 조치
Y
취약점
Y
개선요청
Success Factor
- 개발단계부터 자동화된 프로세스 적용
- 모든 애플리케이션에 대한 전수검사 가능
- 애플리케이션 보안 검토 프로세스 확립
- 애플리케이션 보안 변화관리
운영 시스템 반영
종료
27
www.esvali.com
I. Fortify Software 소개
국내 레퍼런스(솔루션)
No.
고객명
도입시기
사용용도
적용대상업무
1
SK Telecom
2005.12
Apps. Source code Audit
SKT 사내 Appls.
2
국민은행
2006.1
변경관리도구와 통합된 SDLC
프로세스에서 보안성 검토
인터넷 뱅킹
업무
3
SC 제일은행
2006.4
기업 뱅킹 업무 재 구축 시 개발단계부터 보안성
검토 및 적용
기업뱅킹업무
4
하나은행
2006.8
개발단계 부터 보안성 검토
기업/개인뱅킹업
무
5
삼성전자 반도체
2006.8
In-house/out sourcing 애플리케이션에 대한 보안성
검토
MIS
6
외환은행
2006.11
인터넷 뱅킹 보안성 검토
인터넷 뱅킹
7
SK Telecom
2006.11
Apps. Source code Audit
SKT 사내 Appls.
8
삼성전자 통신
2006.12
In-house/out sourcing 애플리케이션에 대한 보안성
검토
사내업무시스템
9
삼성전자
정보전략
2006.12
In-house/out sourcing 애플리케이션에 대한 보안성
검토
사내업무 시스템
10
KTNET
2006.12
E-commerce
사내 Appls
28
비고
확장
삼성전자 표준화 툴로
선정
www.esvali.com
I. Fortify Software 소개
No.
고객명
1
대법원
2
BC Card
3
4
국내 레퍼런스(컨설팅)
컨설팅 일정
적용대상업무
2005.7-8
부동산 등기 시스템
2006.7-9
부동산 등기 시스템
2005.9-10
전사 애플리케이션
2006.6-8
전사 애플리케이션
교육인적자원부
2006.4-6
NEIS
건설교통부
2006.3-9
건축행정 시스템
29
비고
SI 프로젝트 단계별 보안성
검토
www.esvali.com
I. Fortify Software 소개
Banking & Finance
Major Customer Deployments
Infrastructure
Telecom
Other
Government
E-Commerce
Healthcare
30
www.esvali.com
I. Fortify Software 소개
Awards
-
2007 Editor’s Choice: Network Computing product review
-
2007 SC Magazine Reader Trust Award - Best Security Software Solution
-
2007 Financial IT Security Future Now List - 25 Best Innovations
-
2007 CMP Media Dr. Dobb’s Jolt Award for Product Excellence - Security
-
InfoWorld: 15 Tech Startups to Watch
-
2006 CMP Media Dr. Dobb’s Jolt Award for Productivity - Security
-
2006 SD Times 100 Winner
-
E-Commerce Times Product Review: 10 Security Software Stars
-
2006 InfoWorld Technology of The Year Award
-
2006 IBD Network’s Innovation Award
-
2006 Sand Hill Group Top 20 Privately Held Pioneer at Software
-
2005 CMP Media Dr. Dobb’s Jolt Aware for Product Excellence
-
2005 SD Times 100 Winner
-
Finalist: Red Herring Top 100 Private Companies in N. America
-
2005 Computerworld Honors Laureate Award
-
Fortify Named ‘The Next Big Thing’ at Enterprise 2005
-
2005 RSA Innovation Station Runner Up
-
2005 InfoWorld Technology Of The Year: Best Security Analysis Tool
-
2005 IBD Under the Radar Innovation Award for the Datacenter Category
31
www.esvali.com
II. 회사 소개
목차
CONTENTS
1.
회사 개요
2.
주요 연혁
3.
조직도
4.
사업분야
5.
주요실적
6.
특장점
32
www.esvali.com
III. 회사 소개
1. 회사개요
회사명
주식회사 이씨큐밸리 (eSecuVali CORPORATION)
설립일
2007년 6월 7일
사업분야
컴퓨터, 소프트웨어 개발 및 공급
사업장
서울시 금천구 가산동 60-11 스타밸리 503호
자본금
1억2천만원
사업자번호
119-81-99674
주요 협력사
33
www.esvali.com
III. 회사 소개
2. 주요 연혁
eSecuVali Corp.는 방화벽 및 UTM 개발 경험을 보유한 보안솔루션 전문업체로 2000년부터 관련 분야에서
함께 노하우를 축적한 인력을 보유하고 있으며, 최고의 보안 Solution을 고객에게 제공하는 기업입니다.
2008
2008. 01
두산그룹 DB암호화(DataSecure) 구축 수주
2007. 12
분당서울대학교병원 보안시스템 구축 프로젝트 수주
한국소방검정공사 전자세금계약서/전자계약서 시스템 구축 수주
2007. 09.
BC카드, 도시철도공사 서버보안 유지보수 계약
대검찰청 보안시스템 및 네트워크 고도화 사업 수주
2007
2007. 08.
DataSecure(DB암호화) 국내 리셀러 계약
대검찰청, 교보생명, 농심 보안시스템 유지보수 계약
BioPassword(개인정보보호), Untangle(UTM) 국내 총판 계약
2007. 07.
그린화재해상보험, 하이리빙, 에이스테크놀러지 보안시스템 유지보수 계약
회사 설립 (이씨큐밸리 eSecuVali Corp.) – 전사 사업부서 및 유지보수 이동
2007. 06.
eSecuUTM(통합보안) 개발 및 상표등록
34
www.esvali.com
III. 회사 소개
3. 조직도
이씨큐밸리의 조직은 기술연구소, 경영지원부, 솔루션사업부로 구성되어 있으며,
국내 최고 수준의 IT 인력 및 Security 전문기술을 보유하고 있습니다.
eSecuVali Corp.
경영지원부
기술연구소
인사/총무
개발팀
인사 / 총무
신제품개발
회계 / 재무
UTM
솔루션사업부
영업팀
보안 컨설팅
DB보안
DB 취약점 분석
세션 로깅
서버 보안
UTM
BioPassword
APP 취약점 분석
자산 지킴이
eSecuDC
35
기술팀
보안 컨설팅
DB보안
서버 Audit
서버 보안
UTM
BioPassword
기술지원
유지보수
www.esvali.com
III. 회사 소개
4. 사업분야
이씨큐밸리는 현재 각 분야별 전문가를 보유하고 있으며, 주요 사업분야는 Security Consulting 사업,
보안 SI Service, 보안 Solution 사업 등 세 부분으로 구분됩니다.
(주)이씨큐밸리 주요추진사업
Solution
 Network
- eSecuUTM
- Untangle(UTM)
 System
- eSecuDC
- eTrust AC(서버보안)
- GateOne(세션로깅)
 Application
- BioPassword
- DB 보안
- DB취약점 분석
- App 취약점 분석
Service
 보안 SI
 DB 취약점 분석
 보안통합유지보수
 전자세금계산서
 전자계약시스템
 전자입찰시스템
 자산관리 시스템
 eSecuDC
 신제품 개발
36
Security
 정보보호컨설팅
 A/S is -> To be
모델 제시
www.esvali.com
III. 회사 소개
5. 주요실적(Solution)
사업명
고객사
사업기간
발주처
두산그룹 DB암호화 시스템 구축
두산정보통신
08. 01 ~ 08. 02
한국전자증명원
분당서울대학교 병원 보안시스템 구축
분당서울대병원
07. 12 ~ 08. 01
KT
대검찰청 정보보안시스템 고도화
대검찰청
07. 09 ~ 10
에인트시스템
보안장비 외
안동과학대학
06.11~12
시나이미디어
하드웨어 보안 모듈
LGCNS
06.11~12
에스컴
그린화재 사이버마켓 이중화
그린화재
2006.7
그린화재
형사통합사법체계 2차 DB보안
법무부,대법원
06.05~09
에스컴
대검찰청 통합센터 이전 보안 컨설팅
대검찰청
2006.5~2006.6
대검찰청
형사통합사법체계구축 DB보안
법무부,대법원
05.12~12
에스컴
한국관광공사 카지노 DB보안
한국관광공사
05.12~12
매버릭시스템
정보보호 공유분석 시스템 구축
행정자치부
05.11~12
정보보호기술
퇴직연금 시스템 구축
그린화재
05.11~06.04
유니보스
보안 소프트웨어
대검찰청
05.10~12
대검찰청
서버보안 시스템 구축
교보생명
05.09~10
교보생명
37
www.esvali.com
III. 회사 소개
5. 주요실적(Solution)
사업명
고객사
사업기간
발주처
정보보안시스템 고도화 사업
대검찰청
04.10~11
대검찰청
하드웨어 보안 모듈
행자부
04.10~11
BGS정보
신동아화재 보안시스템 증설
신동아화재
04.9~12
STG
침입차단 외
교원나라자보
04.08~09
에이텍솔루션
웹 서비스보안 시스템 구축
그린화재
04.06~07
그린화재
INISAFE 시스템 구축
신동아화재
04.03~03
한화S&C
보안컨설팅/서버보안
㈜한화
04.03~05
한화
전산관리시스템구축
동서울대학
04.02~02
동서울대학
서버 권한관리시스템
BC카드
04.01~02
BC카드
행정전자서명 인증시스템 구축(2차)
대검찰청
03.8~10
대검찰청
정보보호 컨설팅
신동아화재
03.7
시큐어소프트
서버보안 시스템 구축
SK Telecom
03.3~6
SK C&C
38
www.esvali.com
III. 회사 소개
5. 주요실적(Service)
사업명
고객사
개발기간
비고
전자세금계산서 및 전자계약서 시스템 구축
한국소방검정공사
08. 01~08. 02
JAVA
전자계약 ASP 서비스 시스템
롯데정보통신
07.05~07.09
JAVA, JSP
전자입찰시스템, 전자계약시스템, 원본입증
한국자산관리공사
07.03
JAVA, JSP
DB보안 시스템 구축 [PKI Toolkit & DB암호화]
한화63시티
07.03
MS-SQL/DB2
PKI Toolkit 보안/인증시스템
한화갤러리아
07.03
.NET
보안메일 솔루션(SecuEM) 납품 및 컨설팅
롯데정보통신
07.01~07.03
JAVA, JSP
전자계약 시스템(부대조달)
방위사업청
07.01
JAVA, JSP
전자 협약
건설교통기술평가원
06.12~07.01
JAVA, JSP
전자세금계산서(SecuBill ASP Service 연계)
동양생명
06.11~07.01
JAVA, JSP
전자세금계산서(삼성전자 10개 계열사 통합 )
삼성전자
06.11~07.03
JAVA, JSP
전자계약
도원디테크
06.11~07.02
VB/ASP
전자계약
인천국제공항철도
06.11~07.01
JAVA, JSP
DPF 계약관리 시스템(내부시스템)
일진전기
06.11~07.02
VB/ASP
인증시스템(한양사이버대학교 Site)
한양대학교
06.10
ASP
전자세금계산서
포항공대
06.10~06.12
JSP
전자입찰 및 전자세금계산서 시스템
계룡건설
06.09~07.01
.Net
전자세금계산서 시스템
인희
06.08~06.10
.Net
전자계약 시스템
SK 네트웍스
06.07~06.08
VC, ASP
39
www.esvali.com
III. 회사 소개
5. 주요실적(Service)
사업명
고객사
개발기간
비고
전자협약 시스템
해양수산기술진흥원
06.07~06.08
JAVA, JSP
전자세금계산서 시스템
제일화재
06.05~06.08
JAVA, JSP
PKI툴킷 납품 및 개인근로자 계약시스템 적용
대림산업
06.06
.NET
전자세금계산서 시스템 – Secubill ASP 연계
삼성SDI
06.05~06.07
JAVA, JSP
전자세금계산서 시스템 – Secubill ASP 연계
삼성SDS
06.05~06.06
JAVA, JSP
전자세금계산서 시스템
다음커머스
06.05~06.06
VC++, ASP
전자세금계산서 시스템
한국자산관리공사
06.05~06.06
JAVA, JSP
전자입찰
인천국제공항철도
06.05~06.08
JAVA, JSP
전자계약 시스템
서희건설
06.05~06.08
VB/ASP
전자계약 및 전자세금계산서 시스템
대우엔지니어링
06.04~06.06
JAVA, JSP
전자계약 및 전자세금계산서 시스템
뉴코아아울렛
06.04~06.06
JAVA, JSP
전자계약 및 전자잔고증명 시스템
위니아만도
06.03~06.06
SAP R/3 ERP
SecuWeb(PKI툴킷) 납품 및 전자구매시스템
대성산업
06.03~06.04
JAVA, JSP
40
www.esvali.com
III. 회사 소개
6. 특장점
eSecuVali는 Electronic, Security, Validation의 합성어로 정보보호 솔루션 및 서비스를 고객에게
제공하여 보안의 3요소인 기밀성, 무결성, 가용성의 완벽한 조화를 추구하는
e-Security 전문 기업입니다.
Solution
Network : eSecuUTM / Untangle(UTM)
System : eSecuDC / eTrust AC / GateOne
Application : BioPassword / DB 보안 /
DB취약점분석
Application취약점분석
Security
정보보호 컨설팅/보안 시스템 구성 기획
AS IS ⇒ TO BE 방향 제시
Service
보안 SI
보안 통합 유지보수
DataBase 취약점 분석
eSecuDC
41
www.esvali.com
eSecuVali Corp.
153-777, 서울 금천구 가산동 60-11 스타밸리 503호
TEL:02-2027-1090 / FAX:02-2027-1095