Transcript 1. 제안의 개요
웹쉘(Web Shell) 탐지 보안 솔루션 Shell Monitor 제안서 2011. 07. ㈜ 자이온테크놀러지 지능형 웹쉘 탐지 시스템 목차 1. 제안 개요 1.1. 웹쉘이란? 1.2. 웹쉘 해킹 공격과 방어 1.3. 웹쉘 탐지 및 모니터링 2. 제품 개요 2.1 제품의 Identity 2.2 제품 소개 2.2 제품의 구성 2.3 제품의 물리적 구성도 2.4 제품의 논리적 구성도 2.5 제품의 화면 구성 3. 제품기능 및 특성 3.1 기능 개요 3.2 주요 기능 3.3 부가 기능 3,4 제품 공급 실적 및 시장 점유율 3.5 레퍼런스 사이트 소개 – 안랩 3.6 주요 고객사 첨부. 2 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.1 웹쉘이란? 웹쉘의 개요 웹쉘은 해커가 원격에서 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트(Asp, Jsp, Php, CGI 파일) 웹서버의 다양한 취약점(서버 취약점, 웹 어플리케이션 취약점)을 공격하여 웹서버에 웹쉘을 업로드 한 후 웹 브라우저(80 Port)를 통하여 업로드한 웹쉘을 실행하여, 정보유출 및 변조, 악성코드 유포 등의 불법 행위를 할 수 있음. 웹서버 게시판 취약점(파일 업로드) 외부 공격 이미지 에디터 취약점 (이미지 업로드) HTTP 1.1 취약점(PUT) DB 정보 유출 일반 Script DB 서버 기타 해킹 공격 (SQL Injection, XSS 등) 내부 공격 소스코드 백도어 작성 홈페이지 변조 웹서버 웹쉘 파일 실행 웹쉘 웹쉘 파일 업로드 악성 코드 유포 고객 PC 3 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.1 웹쉘이란? 웹쉘 예 ` 4 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.1 웹쉘이란? 웹쉘의 진화 ① 기본형 : 파일/디렉토리 조작, DB 조작 등 ② 암호가 설정되어 업로드 한 사람만 조작 가능 웹쉘 ` ③ 변종 웹쉘 : 기존 웹쉘을 수정하여 기능 추가 ④ 암호화 된 웹쉘 5 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.2 웹쉘 해킹 공격과 방어 해킹프로세스의 변화 해커 사용자(PC) 방어 수단 취약점 분석 공격 시도 취약점 스캐너 네트워크 취약점 시스템 취약점 애플리케이션 취약점 시스템 침입 방화벽 IDS/IPS 웹방화벽 접근 제어 정보 위변조 정보 유출 웹쉘 설치 웹쉘 실행 정보 위변조 ` 정보 유출 악성코드 PC 다운로드 위변조 탐지 웹쉘 탐지 악성코드 배포코드 탐지 악성코드 배포 코드삽입 악성코드 실행 악성코드 원격 제어 ID/PW 탈취 DDOS 공격 시스템 침입 정보 유출 6 고객정보 유출/변조 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.2 웹쉘 해킹 공격과 방어 웹 보안 솔루션 종류 웹 스캐너 웹 어플리케이션 사전취약점 점검 자동화된 취약성 점검툴과 모의해킹을 통하여 사이트의 취약점을 찾은 후 이후 개발자나 유지보수팀에게 취약성 점검 보고서를 기준으로 소스레벨에서 보안코딩을 수행함으로써 보안을 강화하는 방법 웹방화벽 웹 어플리케이션 방화벽 어플리케이션의 계층분석 기술과 정규화 기술을 바탕으로 특화된 검사엔진을 탑재하여 URL에 따른 접근 제어 기능과 SSL 트래픽을 자체적으로 복호화 검사하여 처리하는 방법 ` 홈페이지 해킹통로탐지 웹쉘 탐지 솔루션 웹 서버 해킹에 악용되는 악성 프로그램인 웹쉘(해커가 웹 서버를 해킹한 후 재 침투를 위해 설치하는 비밀통로 프로그램으로, 공격자는 웹쉘을 사용하여 재 침투해 악성코드 유포, 개인정보 유출, 홈페이지 변조 등의 악성행위를 할 수 있다)을 정규화 기술을 바탕으로 제공되는 패턴을 활용해 탐지 및 처리하는 방법 7 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.2 웹쉘 해킹 공격과 방어 시스템 해킹 방어 솔루션 Scope 나쁜 ASP,PHP,JSP 웹 어플리이션 Source Target 잘못된 ASP,PHP,JSP Web App. 취약점 분석 Web Shell 탐지 악성 코드 유포 코드 탐지 Web Client PC Web Server Web App. Web Page 웹 페이지 변경 해커 취약점 ` 유해 콘텐츠 탐지 변경 탐지 위변조 탐지 악성코드 유포 HTML Page 웹쉘 Script Page 취약점 WAS 취약점 OS Web Server 취약점 분석 Web Server 모니터링 8 유해 Contents Page 장애 / 성능 원격관리 악성코드 유포 HTML Page Web Browser OS 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.2 웹쉘 해킹 공격과 방어 웹쉘 해킹 방어 Concept 골키퍼 없이 축구경기(해킹방어) 할 것인가? 웹서버 W/F 웹쉘 해커 ` Our Solution Shell Monitor ? IPS IDS 9 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.2 웹쉘 해킹 공격과 방어 시스템 및 웹 어플리케이션 취약점을 통한 외부 공격 다양한 경로 및 새로운 공격에 대 한 대비 필요 기타 해킹 공격 HTTP 1.1 취약점 (PUT) Buffer Overflow SSL 검사 ` × × WORM × × Cookie 변조 Ping of Death Telnet 게시판 취약점 SQL Injection Rule Match × FTP 이미지에디터 취약점 기존 보안시스템 한계 존재 함 NetBIOS 10 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.2 웹쉘 해킹 공격과 방어 내부자 코드 삽입에 이한 웹쉘 공격 운영 인력에 대한 보안 감독 상시 필요 ` 아웃소싱(외주업체, 프리랜서 등) 개발 인력에 대한 완벽한 관리 체계 필요 11 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.3 웹쉘 탐지 및 모니터링 웹쉘 탐지의 필요성 방화벽 IPS/IDS 안티 바이러스 웹 방화벽 웹방식 업로드 웹쉘 공격 Web Server (DMZ) 배포 서버 테스트 서버 개발 서버 쉘코드 삽입 웹 이외의 방식 외부공격 웹 스캐너 내부공격 웹쉘 공격은 외부 취약 점 뿐 아니라 내부의 관리적 취약점을 통해서도 업로드 되며 이를 방어하는 수단이 현재 없음 Anti-Virus/Anti-Spyware 는 실행파일 형태의 악성코드에 대한 탐지 가능하고 스크립트 형태의 웹쉘을 탐 지 하는데 효과적이지 않음 Web Scanner는 Web Application의 취약점을 진단 도구 이지 악성 Web Application인 웹쉘을 탐지하는 도 구가 아님. 12 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.3 웹쉘 탐지 및 모니터링 수동 탐지 방법(1회성 Scanner 형) ASP형 웹쉘 JSP, PHP형 웹쉘 Find / -name *.php | xargs grep ‘패턴’ 웹쉘 침투를 실시간으로 감지 할 수 없으므로 사후(해킹 사건 발생 후) 확인 수단 탐지 후 실시간 처리가 불가 대규모 웹 시스템을 운영하는 경우 비 현실적 13 지능형 웹쉘 탐지 시스템 1. 제안의 개요 1.3 웹쉘 탐지 및 모니터링 웹쉘 탐지 및 처리 Process 웹 어플리케이션 파일 임의 생성/변조 감지 웹쉘 패턴 포함 여부 검색 웹쉘 여부 판단 처리 웹쉘 탐지 및 모니터링 솔루션의 필수 기능 정의 실시간 탐지 웹쉘 패턴 실시간 모니터링 서비스 지향 성 • 웹 어플리케이션 파일의 임의 생성 및 변조를 실시간으로 탐지 하는 기능 • 임의 생성 및 변조 즉시 탐지 하고 처리 가능하여야 함. • 다양한 변종 웹쉘에 대한 탐지 가 가능한 패턴을 보유 하여야 함. • 24 시간 실시간으로 모니터링 해서 웹쉘이 침투한 후 2차 해킹 시도까지의 시간을 최소화 함으로써 해킹 방지 목적 달성 • 웹쉘을 탐지 하는 기능의 수행이 웹 서비스를 방해 하지 않아야 함. • CPU 및 메모리 자원의 사용을 통제 가능해야 함. 14 지능형 웹쉘 탐지 시스템 2. 제품 개요 2.1 제품의 Identity 보안을 강화하면 서비스가 약해진다. Safety Service 서비스 중심의 보안 Not Protection But Safety 15 지능형 웹쉘 탐지 시스템 2. 제품 개요 2.2 제품의 구성 관리 ShellMonitor Agent 보고 ShellMonitor Server 웹서버 별로 설치되어 웹쉘 코드패턴 탐지 허용되지 않은 확장자 파일 업로드 필터링 웹쉘 탐지 및 업로드 필터링 결과 주기적 전송(ShellMonitor Server) ShellMonitor Manager를 통한 원격관리 지원 ShellMonitor Manager ShellMonitor Agent의 탐지결과 정보 저장 웹쉘탐지 이력 저장 및 관리 ShellMonitor Manager의 원격관리 제어 웹쉘 패턴 업데이트 및 ShellMonitor Agent로 패턴 배포 웹서버 별 웹쉘 탐지결과 모니터링 원클릭 원격관리 지원 웹서버 별 ShellMonitor Agent 실행환경/탐지규칙 설정 기타 ShellMonitor Agent 관리 16 조치 설정 보고 지능형 웹쉘 탐지 시스템 2. 제품 개요 2.3 제품의 물리적 구성도 ※ Shell Monitor 서버 1대 당 500개 Agent 관리 권장 ShellMonitor Server 17 지능형 웹쉘 탐지 시스템 2. 제품 개요 2.4 제품의 논리적 구성도 C++(MFC) HTTP JAVA JDK(VM) HTTP MySQL DB TCP/IP MySQL Driver Windows PHP JAVA Apache WS TCP/IP HTTP Manager(App) JDK(VM) OS TCP/IP Agent Linux MSIE Server HTTP TCP/IP Windows Manager(Web) 18 지능형 웹쉘 탐지 시스템 2. 제품 개요 2.5 제품의 화면 구성 Manager 시스템 화면 구성 19 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.1 기능 개요 탐지 기능 • ASP, JSP, PHP 등 다양한 개발언어로 제작된 웹쉘 탐지 • 정규식 검사(패턴 매칭)를 통한 효율적인 웹쉘 코드패턴 탐지 웹쉘 탐지 변경 탐지 업로드 필터링 • 스크립트 인코딩(ASP)된 웹쉘 디코팅 탐지(윈도우 버전) • 최종 검사 후 변경된 웹 프로그램 파일만 선별적으로 검사하는 빠른 검사 지원으로 웹서버 부하 경감 • 실시간으로 업로드 되거나, 변조되는 파일에 대한 변경을 탐지 • 변경방지 기능을 설정한 경우 탐지 시 자동으로 변경 전 파일로 복원 • 변경방지 기능을 활용하여 허용된 확장자 이외의 파일에 대한 자동 업로드 필터링 기능 • 허용 확장자를 지정하지 않은 경우 모든 파일 업로드에 대한 필터링 처리 20 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.1 기능 개요 관리 기능 원클릭 원격 조치 에이전트 그룹 관리 기능 웹 기반 관리 기능 • 원클릭 만으로 해당 웹 서버에 존재하는 원격 파일의 원본 내용 조회 가능 • 웹쉘 파일로 확인된 경우 해당 파일에 대한 원격 검역 지원 • 웹쉘 파일이 아닌 경우 해당 파일 또는 해당 항목에 대해서는 예외 목록으로 지정 가능 • 잘못 검역된 파일에 대한 복원 지원 • 검역목록/예외목록 관리 • 동일한 실행/탐지 환경이 적용되는 에이전트 그룹 관리 기능 • 그룹별 에이전트 실행/탐지 환경 브로드캐스팅 적용 가능(예정) • • • • 제품 운영을 위한 기본 환경 관리기능 제공 웹쉘 탐지/업로드 필터링 내역 조회 및 엑셀 파일 다운로드 기능 다양한 조건의 웹쉘 탐지/업로드 필터링 통계(그래프) 조회 기능 기간별 웹쉘 탐지/업로드 필터링 내역 보고서 생성 및 다운로드 기능 21 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.2 주요 기능 주기적 웹쉘 탐지 ① 전체 탐지 : 탐지 대상 파일을 주기적으로 Full Scanning 하여 웹쉘 탐지 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 ••• 웹쉘 코드패턴 탐지 (지정된 전체파일) 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 탐지규칙 패턴정보 Shellmonitor Agent ② 빠른 탐지 : 최후 탐지 이후에 변경된 파일만 주기적으로 Scanning 하여 웹쉘 탐지 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 ••• 캐쉬 정보를 이용하여 최종 전체검사일 이후에 변경된 파일만 선별 웹쉘 코드패턴 탐지 (변경된 파일만) 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 탐지규칙 패턴정보 캐쉬정보 ShellMonitor Agent 22 Shell Monitor Server 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.2 주요 기능 실시간 웹쉘 탐지 ① 최초 1회 탐지대상 파일 전체 탐지 진행 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 ••• 웹쉘 코드패턴 탐지 (지정된 전체파일) 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 탐지규칙 패턴정보 Shell Monitor Agent 실시간 탐지 전환 Shell Monitor Server 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 ••• 웹쉘 코드패턴 탐지 (Create, Modify) 웹 프로그램 파일 웹웹 프로그램 프로그램파일 파일 탐지규칙 패턴정보 캐쉬정보 Shell Monitor Agent ② 웹 서버 내의 Event 탐지를 통하여 생성, 수정된 파일에 대한 실시간 탐지 실행 23 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.2 주요 기능 업로드 필터링 허용되지 않는 확장자 파일 업로드 감시 웹 프로그램 파일 웹업로드 프로그램 파일 된 파일 필터링규칙 패턴정보 허용되지 않는 확장자 탐지 ••• 웹 프로그램 파일 웹업로드 프로그램 파일 된 파일 필터링결과 전송 웹쉘 코드패턴 탐지 필터링이력 검역소 필터링 된 업로드 파일 검역소 보관 Shell Monitor Agent 24 ShellMonitor Server 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.2 주요 기능 변경방지 실시간 파일 변조 감시 웹 프로그램 파일 웹변조 프로그램 파일 된 파일 백업 정보 캐쉬 정보 파일 변조 탐지 ••• 웹 프로그램 파일 웹변조 프로그램 파일 된 파일 변조방지 결과 전송 웹쉘 코드패턴 탐지 변경 이력 검역소 변조 파일 검역소 보관 원본 파일 복원 Shell Monitor Agent 25 Shell Monitor Server 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 탐지 내역 조회 Shell Monitor Server Shell Monitor Agent Shell Monitor Manager Shell Monitor Admin(Web) 26 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 원클릭 원격조치 파일검역 • 원격조치 요청 수신 • 처리결과 전송 Shell Monitor Agent 예외지정 • 원격조치 요청 전달 • 처리결과 전달 Shell Monitor Server 파일내용 조회 27 Shell Monitor Manager 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 Syslog 연동 설정 ShellMonitor ↔ ESM Syslog 연동 설정 Syslog 전송 ESM Server Agent Shell Monitor Server 관제센터 운영센터 28 개별 Agent에서 발생하는 각종 이벤트를 정해진 규약에 의해 Syslog로 정보 전달 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 탐지규칙 설정 탐지대상 Script 언어 설정 웹서버 설정정보 자동인식 (IIS만 가능) 패턴 탐지 설정 (확장자, 대상폴더) 29 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 패턴 배포 ① Global 패턴 : 개발사와 협력사가 자체 확보한 웹쉘 코드를 분석하여 작성한 패턴 DB ② Local 패턴 : 쉘모니터(Shell Monitor)을 사용중인 고객사가 Global 패턴의 일부 또는 전체를 사용하고, 고객사의 환경에 맞는 추가적인 패턴을 생성하여 적용한 패턴 개발사 패턴 테스트 및 적용 웹쉘 패턴 수집 패턴 DB 생성 사용자 정의 패턴 작성 Global 패턴 배포 Global 패턴 일부/전체 수용 고객사 30 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 자원 모니터링 기능 ① Agent 자원 모니터링 : 쉘모니터(Shell Monitor) Agent가 설치된 서버의 자원 점유 현황을 모니터링 ② 쉘클린 서버 자원 모니터링 : 쉘모니터(Shell Monitor) 서버의 자원 사용 현황을 모니터링 ※ 환경 설정을 통해 Agent가 특정 수준 이상의 자원을 점유하고 있을 경우 Syslog로 Alert 이벤트 전달 Agent 자원 모니터링 쉘모니터 서버 자원 모니터링 31 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 탐지보고(Mail, SMS) 웹쉘 탐지 시, 또는 주기적으로 관리자에게 Report Mail 또는 SMS 발송 관리자 메일발송 설정 메일발송 목록 메일발송 내역 ※ SMS 발송은 고객사의 환경에 따라 Customizing 후 제공 32 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.3 부가 기능 통계 웹쉘 탐지내역 통계 업로드 필터링통계 통계내역 엑셀파일 저장 기능 제공 ※ 통계 내역은 고객사의 요구사항에 의해 추가로 제공될 수 있음 33 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.4 제품 공급 실적 및 시장 점유율 34 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.5 레퍼런스 사이트 소개 – 안랩 보안관제 서비스 웹쉘 업로드/실행 탐지 및 모니터링 보안 전문가에 의한 WebShell 코드분석 및 대응 Scanning 기반 WebShell 코드 정밀 점검 (웹 서버 부하 최소화) 웹 로그 및 공격 경로 분석과 취약점 분석을 통한 잔존/추가 위협 제거 전문가에 의한 WebShell 탐지 패턴 및 효과적인 정책 관리 WebShell 탐지/대응 보고서 제공 35 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.5 레퍼런스 사이트 소개 – 안랩 보안관제 서비스 36 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.5 레퍼런스 사이트 소개 – 안랩 보안관제 서비스 37 지능형 웹쉘 탐지 시스템 3. 제품 기능 및 특성 3.6 주요 고객사 1. 납품 고객 2. 도입 예상 고객 (성능 테스트 진행 중) 38 지능형 웹쉘 탐지 시스템 감사합니다 ㈜자이온테크놀러지 (042)822–3901-2 010–5408-8507 [email protected] 39 지능형 웹쉘 탐지 시스템 40 지능형 웹쉘 탐지 시스템 웹쉘 침해 사례 41 지능형 웹쉘 탐지 시스템 웹쉘 해킹에 대한 잘못된 이해 Q. 웹 방화벽을 갖추고 있습니다. 이 정도면 웹쉘이 침투할 수 없지 않나요? A. 웹쉘은 웹 어플리케이션 취약점을 공격하여 침투하거나, 웹 방화벽을 우회하여 침투할 수도 있습니다. 기존 보안 제품을 구비하고 있더라도 다양한 경로로 웹 서버에 침투할 수 있습니다. 42 지능형 웹쉘 탐지 시스템 웹쉘 해킹에 대한 잘못된 이해 Q. DB 암호화 솔루션을 도입하여 고객 정보를 보호하고 있습니다. 암호화 된 DB정보는 웹쉘로 유출할 수 없지 않나요? A. DB 서버의 데이터는 암호화 되어 있지만, 웹 서버에서 DB 서버로 정보를 요청할 경우는 암호를 해제하여 전달합니다. 그렇기 때문에 웹 서버상에 존재하는 웹쉘을 통해 정보 유출이 가능합니다. 웹서버 일반 Script DB 서버 웹쉘 실행 직원 PC 웹쉘 유출 43 DB 서버 지능형 웹쉘 탐지 시스템 웹쉘 해킹에 대한 잘못된 이해 Q. 악성코드 유포를 통한 DDOS 공격과 WebShell은 어떤 관계가 있나요? A. 해커가 웹 어플리케이션의 취약점(업로드 취약점, SQL Injection) 을 이용하여 웹 서버에 웹쉘을 업로드 한 후, 2차적으로 업로드된 웹쉘을 실행하여 다른 웹 어플리케이션(주로 메인 페이지)에 악성코드를 유포하는 URL을 삽입하는 변조를 수행 합니다. 이후 3차적으로 고객이 이렇게 변조된 웹 페이지에 접속하게 되면, 고객 PC에 DDOS 명령을 수행하는 악성코드가 다운로드 되게 되고, 해커가 고객 PC를 장악하게 됩니다. 마지막으로 이렇게 장악된 고객 PC의 악성코드에 해커는 공객 대상 서버의 URL의 지정함으로써 DDOS 공격이 시작됩니다. 악성코드 유포 서버 DDOS 공격 대상 서버 웹서버 : 악성코드 배포 서버 ① 웹쉘 업로드 URL 일반 Script ④악성코드배포 ② 웹쉘 실행 ⑤악성코드 설치 고객 PC 해커 ⑥ DDOS 공격 명령 고객 PC ⑦ DDOS 공격 웹쉘 ③변조 (MC-URL 삽입) 고객 PC 44 지능형 웹쉘 탐지 시스템 국내/외 제품 도입 및 운용현황 명 칭 형 태 개발(주관) Whistl Stand Alone KISA SSiART ShellMonitor Client Server ㈜유엠브이기술 WSF Stand Alone GeeksLab 실행환경 Linux 커널 2.4, 2.6 Windows 서버 계열 모든 OS (JDK 1.5 이상) Windows 서버 계열 (.NET 2.0 이상) 45 License 민간기업이 사용신청서 제출 후 KISA가 배포 상용 GPL V3 운용 현황 소규모 민간기업 ㈜안철수연구소 , KT, 삼성 온디스크 외 보안 연구용 지능형 웹쉘 탐지 시스템 웹방화벽과 쉘모니터 ShellMonitor 구분 웹방화벽(WAF) 쉘모니터(웹쉘탐지솔루션) 기본기능 - 차단 - 탐지/조회/원격조치 보안대상 - 웹 서버로 유입되는 트래픽 - 웹서버 상에 존재하는 웹 프로그램 파일 - 첨부파일 검증을 통한 일부 웹쉘 실시간 차단 가능 - 이미 웹 서버에 존재하는 웹쉘 파일 탐지 어려움 - 인코딩 된 웹쉘 차단 어려움 - 웹 방식(첨부파일, PUT 등)이 아닌 경로를 통해 웹쉘 침투 차단 어려움 - 패턴탐지 기반으로 웹 서버에 업로드 된 웹쉘 파일 주기적 탐지 가능 - 이미 웹 서버에 존재하는 웹쉘 파일 탐지 가능 - 인코딩 된 웹쉘 탐지 가능(ASP 코드) - 웹 방식이 아닌 경로를 통해 유입된 웹쉘 탐지 가능 - 실시간 차단을 통한 검역 - 탐지내역 모니터링을 통한 원격 검역 지원 (웹쉘의 경우 자동검역 시 문제발생 소지가 높음) 파일 업로드 제한 - 보안정책을 통하여 허용되지 않는 파일 업로드 실시간 차단 - 보안정책을 통하여 허용되지 않은 파일 업로드 주기적 탐지 및 자동 검역 지원 웹 프로그램 파일 변경탐지 - 웹서버 상에 존재하는 웹 프로그램 파일의 변경 여부 탐지 어려움 - 웹서버 상에 존재하는 웹 프로그램 파일의 변경 여부 탐지 가능 웹쉘차단/탐지 웹쉘 검역 웹 방화벽과 웹쉘 탐지솔루션은 배타적 적용관계가 아닌 상호 보완적 관계임 46