Transcript PowerPoint

교육기관 IT 인프라
웹 해킹 대응전략
“
회사소개
”
1. 회사소개 - 개요
SSR은 미래창조과학부 선정, 지식정보보안 컨설팅전문업체로 공공 및 대기업, 금융/교육 /의료 기관을 대
상으로 취약점 진단, 정보보호 관리체계 수립, 개인정보보호 컨설팅, IT 솔루션 개발과 구축, 보안관제를 포
함한 종합보안 서비스를 제공합니다.
컨설팅
 지식정보보안 컨설팅 전문업체
기술컨설팅
관리컨설팅
 넥슨 파트너
 LG CNS 보안컨설팅 특화업체
모의해킹
•
침투 성공률 100%
서비스
보안진단
정보자산
보안진단
•
웹, 모바일, C/S 취약점 진단
•
인프라 시스템 보안진단
•
스마트 가전 보안진단
•
소스코드, 리버스 엔지니어링
ISMS
ISO27001
•
정보보호 관리체계(국내, 글로벌)
PIMS
•
개인정보보호 관리체계
•
주요정보통신 기반보호시설 진단
•
금융위원회 전자금융감독 규정 진단
•
•
•
•
IT 인프라(서버, NW, DB, WEB) 진단
PC진단
침입행위 탐지
웹 소스 변경관리
기반시설
금융기관
 MOU : 펜타시큐리티
 임직원 중 기술인력 비율 90%
 컨설턴트 중 MENSA 비율 55%
솔루션
SolidStep : 보안진단매니저
MetiEye : 웹악성코드모니터
관제
보안관제 : 24 x 365 모니터링
• 보안컨설팅 유 경험자 100%
• 보안 파견 및 원격관제
• 침해 사고 대응
1. 회사소개 – 인력 / 조직
2014. 10월 현재 2개 본부, 1개 실, 13개 팀 총 59명의 인원으로 운영되고 있으며, 전체 인원의 약 90%가
IT 보안기술 전문인력으로 구성되어 있습니다.
등급
인원
컨설턴트
25
특급
1
연구, 개발 (R&D)
9
고급
4
기술지원
8
중급
3
보안관제
8
초급
17
영업
5
인원 (명)
25
지원부서
3
경영진
1
인원 (명)
59
경영지원실
CTO
솔루션 사업본부
컨설팅사업본부
ISMS
ISTC
인원
기술연구소
Pre-Sales 그룹
영업 그룹
25명
기술인력
17명
8명
5명
4명
50명
최대규모의 전문 인력!!
“
SSR은 지식정보보안 컨설팅 전문업체로
최고의 정보보호 전문가로
컨설팅
사업본부
연구 및
기술지원
ITO
사업본부
영업본부
지원부서
구성되어 있습니다.
“
CEO
담당업무
1. 회사소개 – 재무 구조 / 연혁
주력사업인 정보보호 컨설팅 분야에서 괄목할만한 성장세를 꾸준히 유지하고 있으며, 2013년을 시작으로
정보보호 솔루션 사업에 전략적인 투자를 집중하고 있습니다.
최근 3년간 재무현황
구분
(단위: 백만원)
2011
자본금
보안 컨설팅
매
출
액
2013
4,135
합계
50
550
550
1,150
1,160
3,375
1,984
6,519
3,583
x
1.2
3.1
X
SI/솔루션
-
208
2,151
2,359
1,160
3,583
4,135
8,878
보안관제
합계
2012
1,160
2011
2012
2013
2010.8
2010.9
2011.12
2012.2
2012.9
2012.10
2013.4
2013.12
2014.1
2014.3
2014.4
(주)SSR
LG CNS
기술 연구소
(주)넥슨코리아
ISO 9001
SolidStep
ISO/IEC 27001
MOU
총판 계약
지식정보보안
기술혁신형
설립
정보보호컨설팅
설립
관계사
인증
MetiEye
인증
펜타시큐리티
한일네트웍스㈜
컨설팅전문업체
중소기업
인증
(INNO-BIZ) 인증
특화업체 선정
출시
2. 정보보호 프로젝트 - 실적
SSR의 주요 공공기관 및 기업에 170건 이상의 정보보호 컨설팅, 보안 솔루션 개발 및 구축, 보안관제 등
다양한 정보보호 서비스를 제공하고 있습니다. (2014년 9월 현재)
“
웹 보안 동향
”
1. 웹 보안 동향
해커들이 선호하는 방법인 웹쉘 업로드 공격을 수행하여 원격에서 대상을 조작, 주요 정보를 탈취하고 해당 서버를
통해 악성코드 유포지 및 해킹 공격의 경유지로 악용되는 사례가 지속적으로 발생하고 있습니다.
2014. 6. <보안뉴스>
2014년 상반기 홈페이지 해킹을 통한 정보유출 사고
날짜
기업/기관
유출건수
2. 26
대한의사/치과의사/한의사협회
8만/5.6만,2만 건
3. 07
티몬 외 225개 사이트
1700만 건
3. 16
재향군인회
1만3900건
4. 05
BBQ
51만 건
홈페이지 해킹
4. 13
천재교육
350만 건
웹서버 해킹 추정
옥션 (2008)
현대캐피탈 (2011)
EBS (2012)
유출경로
웹쉘을 통한 악성코드 삽입으로 홈페이지 해킹
홈페이지 해킹(SQL Injection)
피해 서버 중
악의적으로 제작된
스크립트 파일(웹쉘)을
활용한 웹서버 해킹이
지속적으로 발전
3.20 전산망 해킹 (2013)
91%의 웹 서버에서
공격에 악용된
91%
웹쉘 흔적 발견
<한국인터넷진흥원>
8
2. 웹쉘이란..
웹쉘은 쉘 프로그램의 일종으로 사용자의 명령어를 해석하고 웹서버의 운영체제가 이해할 수 있게 지시하는 도구로,
명령어 문법에 맞춰 이용하는 인터페이스를 가집니다.
Shell 프로그램의 대표적인 예
Windows 탐색기(GUI Shell)
ASP
PHP
JSP
CGI
개념 및 기능이
흡사함
관리자의 권한으로 서버의 기능을 정상적으로 수행
시스템 명령어 실행
파일의
업로드/다운로드
관리자의 권한으로 웹 서버의 기능을 악의적으로 수행
DB 클라이언트 관리
9
시스템 정보 확인
파일/디렉토리
수정, 삭제, 생성 등
3. 웹쉘 공격의 사례
웹쉘은 서버 관리자의 명령을 실행할 수 있는 코드로 구성되어, DB 접근 후 개인정보 및 주요 정보유출, 소스코드 열람,
홈페이지 위/변조, 악성코드 유포지로 악용되는 등 치명적인 공격을 수행하는 기법입니다.
보안 시스템 우회
주요 (개인)정보 탈취
임의의 명령어 실행
웹페이지 위,변조
파일 수정, 복사, 실행
악성코드 확산지로 악용
웹쉘 악용 피해사례
Watering Hole
악성코드
업로드
웹쉘
업로드
악성코드 유포
피해서버
장악 후
지속적인
관리 가능
2014년 1월 웹쉘 업로드를 통해 K사 서버를 침투, 홈페이지를 변조하여 악성코드 유포지로 악용, 접속 PC 6,541대 감염
10
4. 웹쉘의 특성
일반적인 서버관리자들은 해킹여부를 확인하기 힘들고, 피해를 인지하더라도 다양한 탐지 우회기법이 적용된 웹쉘은
백신 프로그램으로 탐지가 어려워, 모니터링 및 대응의 한계가 더욱 심해지고 있습니다.
탐지 우회기법
웹쉘 백신탐지 결과 (www.virustotal.com)
18개 백신 중 14개의 백신에서 미탐지
IDS/IPS
Firewall
Web
Firewall
1
2
3
4
5
짧은 코드
인코딩
문자열 분리
파일생성
HTTP 서비스
eval , excute 와 같이 정상적인 스크립트 파일 삽입
웹 소스를 보호하기 위한 Script Encoder를 활용
Signature로 이용되는 문자열을 분산 삽입
CreateTextFile , Write 와 같이 정상적인 스크립트 메소드를 이용
Web(80/tcp) 포트를 이용하여 제어
시사점
AntiVirus
웹쉘 악용 공격의 빈도 및 영향, 활용 변수는
현 백신 및 네트워크 방어 솔루션보다
기존 방법으로는 웹쉘을 막기 어려움
11
지속적 상승세
발전한 대응이 절실히 필요
“
웹쉘 대응의 필요조건
”
1. 웹쉘 대응 권고사항
현재 공개된 웹쉘 예방대책 및 점검 수단으로는 현실성이 떨어지고, 침해사고 발생 후의 대처에 불과하여, 인프라 보안
및 내부 주요정보를 보호하기에 매우 미흡한 내용입니다.
파일 업로드
(게시판, 이미지)
취약점 제거
‘공개용
text
탐지도구’
를 활용하여
정기적 점검
파일 업로드
(게시판, 이미지)
폴더 실행권한
제한
SQL Injection,
XSS등
웹 취약점 제거
원론적인 대응방안으로는 이행불가 !!
13
2. 대응방안 현실적 적용 한계
위험요소 및 취약점을 제거하기 위해서는 개발, 구축단계부터 유지 및 보수단계까지 보안성을 고려한 시큐어코딩을
적용해야 하며, 자동화 스크립트로 구성된 웹쉘의 초고속 침투는 사후 점검으로 대응하기 어렵습니다.
파일 업로드(게시판, 이미지)
취약점 제거
파일 업로드(게시판, 이미지)
폴더 실행권한 제한
SQL Injection, XSS등
웹 취약점 제거
‘공개된 탐지도구’를 활용하여
정기적 점검 <KISA>
<To-Do>
개발.. 구축.. 유지보수.. 전 과정을??
Secure Coding
웹서버만 계속 보고 있기에는…
Real-Time
Monitoring
<How>
<Answer>
개선되기 어려운 개발환경과 다수의 웹서버 구성에 웹쉘 방어 솔루션이 필요할 때!!
14
3. 자동화 모니터링의 필수요건
웹 해킹을 비롯한 보안 침해사고는 다각도의 모니터링으로 발견하며, 피해를 최소화하기 위해 실시간 빠른 탐지와
조기 선제대응이 필수적입니다.
피
해
규
모
정보 탈취 및
침투행위 진행
모니터링 3가지 핵심사항
장악된 자산으로
침해행위 반복적
악용
빠른 탐지
외부로부터 공격 발생 시 실시간 탐지
및 보고 되는가?
이상징후
조기 발견
명확한 분석
침해사고에 대해 다각도로 정황이
파악되고 피해가 분석되는가?
골든타임
시간
 보안사고는 모니터링 활동으로 발견
선제적인 대응
다양한 해킹 시도에 대해 자동차단이
가능한가?
 빠른 탐지와 선제 대응이 늦을 시 피해 대규모화
파일 생성
전 시스템에 대한 빠른 탐지와 선제대응만이 피해를 최소화 시킬 수 있습니다.
15
4. 모니터링 기능 개요 및 주안점
서버 운영 중 변화사항에서 보안 위험발생 빈도가 가장 높은 파일시스템 영역을 모니터링 하는 것이 우선적으로 필요
하고, 웹쉘 탐지와 악성코드 배포, 홈페이지 위,변조 및 취약파일 생성에 대해 집중 감지합니다.
1
파일 시스템
• 업로드 된 웹 백도어를 실행하여 중요정보 유출
및 변조 가능
외부해커
2
변경
파일 생성
웹쉘 (웹 백도어)
악성코드 배포
• 소스에 악성코드 URL 삽입 후 배포 사이트로
이용
악성코드
3
파일 수정
• 2차 공격에 악용하기 위한 홈페이지 소스 변경
및 생성
생성
파일 삭제
내부개발자
홈페이지 소스 위,변조
4
테스트 및 백업파일 생성
• 테스트 및 백업파일은 보안에 취약하며 중요정보
노출 가능
16
5. 웹쉘 방어 솔루션의 필수 조건
네트워크에 연결된 다수의 웹서버를 동시에 모니터링이 가능해야 하며, 기존 인프라의 안정성과 가용성에 미치는 영향
을 최소화하고, 솔루션의 보안성 역시 완벽하게 보장되어야 합니다.
전체 웹서버 실시간 탐지
신, 변종 패턴에 대한 탐지
한 대의 웹 서버에 웹쉘이 업로드 될 경우, 같은 네트워크에 있는 모든 웹 서버에 동일하게 업로드가
가능하여 모든 서버가 감염되었다고 볼 수 있으므로, 전 웹서버에 실시간 모니터링이 필요
다양한 변종(일부 변조 및 인코딩)웹쉘 및 악성코드 유포지URL에 대한 탐지가 가능한 패턴을 보유
리소스 부담 최소화
이 모든 기능의 수행에 있어 웹 서비스에 영향을 주어서는 안됨 (CPU, Memory 제어)
솔루션 보안성 확보
실시간 탐지를 위해 에이전트는 관리자 계정으로 수행되어 보안성 확보가 무엇보다 중요 (3.20 사태)
• 소스코드는 보안성을 확보하기 위해 개발언어 고유 취약점을 고려하여 설계
-> Java, .net은 위험, 특히 java의 경우 시큐어 코딩을 하였다 해도, JRE 고유의 취약점으로 쉽게 공격이 가능
• 리모트 해킹이 가능한 포트 리스닝을 제한 -> 전통적으로 외부에 포트를 오픈하는 각종 서비스 데몬들이
해커에 의해 공격 당한 바 있으며, 웹쉘 에이전트의 경우 외부에서 루트 권한획득이 가능할 수 있음
17
1. MetiEye : 실시간 웹쉘 탐지-방어 시스템 개요
는 웹쉘 방어를 위한 빠른 탐지뿐만 아니라, 미리 설정한 정책에 따른 선제적 대응 후 담당자에게 보고
및 통계를 제공합니다.
 Agent 기반
경고
1
웹쉘 (웹 백도어)
탐지
3
악성코드 배포
조치
- 자동/수동 격리
- 예외처리
 통계/보고
홈페이지 소스 위,변조
통계
- 자산/그룹 통계
보고
4 테스트 및 백업파일 생성
- 웹쉘/파일변경 탐지
 격리/예외
격리
2
- 실시간/수동(예약)검사
- 일간/월간 보고서
 정책설정
보안담당자
관리
설정
19
- 자산/그룹 관리
- 정책설정
2. MetiEye 구성과 특장점
는 지식정보보안 컨설팅전문업체의 다양한 웹보안 컨설팅 경험을 기반으로 업계 최고의 신, 변종 패턴
수집 역량과 빠른 속도의 알고리즘, 최적화 아키텍처를 제공합니다.
차원이 다른 탐지능력
1
2
Plug-In
1
3
업계 최고의 패턴수집/ 적용역량
정형화된 정규식 패턴 탐지 외 웹쉘 행위를 파악해
미등록 패턴 탐지 가능
5
2
4
빠른 속도의 알고리즘
S.R.O.A 아키텍처의 빠른 탐지속도
3
지능형 탐지
새로운 웹쉘을 탐지하는 지능형 휴리스틱 탐지
웹쉘
최적화 아키텍처
4
서버 부담이 적은 초경량 Agent
4Free Agent 기술로 서버부담 최소화 도입 피로의
최소화 가능
 FMM : File Management Module
 WSM : WebShell Module
 S.R.O.A : SSR 독자개발 정규식 최적화 기술
5
(SSR Regular Expression Optimization Algorithm)
 4Free Agent : Install Free, ACL Free, Resource Free, OS Free
확장성있는 Plug-In 모듈
Plug-In Interface 구현으로 모니터링 영역 확장 가능
20
3. 탐지역량 : ① 패턴수집/적용역량
SSR은 경험과 역량을 갖춘 50여 명의 웹 보안 전문연구진을 통해 최신 신,변종 패턴을 수집 및 연구하며, 모의해킹
컨설턴트가 창의적으로 제작한 웹쉘의 강도 높은 테스트를 지속적으로 수행하고 있습니다.
최고의 전문성
 보안 컨설팅 등 다수의 현장 경험
 컨설턴트 55% 멘사 회원
미래창조과학부 선정
지식정보보안 컨설팅전문업체
최대규모의 전문인력
 국내 최대규모
컨설턴트
35명
연구원
11명
기술력, 규모, 체계적인 프로세스 등
관제인력
10명
56명
 컨설턴트, 관제인력 : 현장 수집
웹쉘 방어패턴 전문성,
업계 최고의 역량을 자랑
 연구소 : 최신동향, 프레임웍 업데이트
체계적인 프로세스
 모니터링 Framework 전담부서/인력
 조직 내 Framework 유지 기구 및 업무분장
 상시 업데이트로 최신 위협의 대응체계 구축
21
3. 탐지역량 : ② 빠른 속도의 알고리즘
MetiEye에 적용된 S.R.O.A (SSR Regular Expression Optimization Algorithm)은 웹쉘 패턴 탐지에서 기존 방식 대비
최고 18배의 성능을 냅니다.
최상의 정규식 검사성능
1
최상의 정규식
 웹쉘 탐지속도 1800% 향상
 독자개발 정규식 최적화 기술 S.R.O.A 적용
2
1,777%
 현대적 코딩에 가장 빠른 언어 채택
Time
속도가 빠른 Perl/C++로 개발
Perl
빠른 속도의 언어
C++
Java,Lua..
C++
Perl
String Size
22
3. 탐지역량 : ③ 지능형 탐지
정형화된 정규식 패턴 탐지 외 웹쉘 특성을 파악한 휴리스틱(Heuristic) 탐지 기능으로 미등록 패턴에 대한 탐지 가능
합니다.
웹쉘 특성을 파악한 휴리스틱 탐지
휴리스틱(Heuristic)탐지
일반적인 웹쉘이 가지고 있는 기능 및 특성과
유사성의 여부 및 비중을 분석하여 알려지지
않은 신, 변종 웹쉘을 탐지하는 기법
※ MetiEye FMM은
휴리스틱 엔진을 별도로 탑재하여
정규식 패턴 탐지와는
별개의 독립된 검사를 수행합니다.
23
3. 탐지역량 : ④ 초경량 Agent
다기능, 고성능이라도 서버 가용성에 무리가 되면 도입 현실성이 떨어지므로, MetiEye는 4-Free 초경량 Agent 기술로
작고 빠르게 존재하지 않는 것처럼 동작합니다.
 Non-Installation Portable 프로그램
Install
Free
- 파일 복사 및 실행만으로 설치완료
- 재부팅 불필요
4 Free
Architecture
- 자체 라이브러리 사용으로 타 보안제품과 충돌이슈 최소화
 Agent Port Listening 없음 / HTTPS Protocol 이용
ACL
Free
- HTTP 1.1 Keep-Alive 지원 / HTTP Proxy 지원
 CPU 소모량 1% 이하
Resource
Free
- 서버 및 Agent 리소스 모니터링 기능 탑재
- Agent 사용 리소스 제어 기능 탑재
 Windows, Linux, AIX, HP-UX, Solaris 등 11개 타입 OS 지원
- Windows 32bit (XP 이상)/ Windows 64bit
OS
Free
- AIX / HP-UX (PA-RISC / Itanium)
-Linux GLIBC 2.2 이하 / GLIBC 2.3 이상
- Solaris x86 / Solaris sparc 32bit (5.8 이상)
- Solaris sparc 64bit (5.8 이상) / Solaris sparc (5.7 이하)
24
4. 보안성 설계 : 암호화 통신
는 2중 암호화 설계 적용으로 Agent 와 Manager 간 커뮤니케이션에 안전성을 보장합니다.
1차 암호화
SSL/TLS(TLSv1 DHE-RSA-AES256-SHA)
수집기
Agent
DATA
2차 암호화
1차 암호화
 Agent 인증
2차 암호화 (DATA)
 128/256bit CBC 블록 암호화
 Manager 검증
Client 인증서 요구
호스트 검증
인증서 정보 ACL
Manager 인증서 서명 검증
Rijndael(AES)
Twofish
 SHA256 HMAC 무결성 검증
Agent 인증서 서명 검증
※ SSL 미적용 환경에서도 전송 데이터의 암호화를 보장하여 안전한 통신이 가능합니다.
25
데이터 암호화
5. MetiEye UI : ① 개요
는 엔터프라이즈 설계가 적용된 웹 기반의 UI를 제공합니다.
5
1
4
시스템관리
로그
탐지내역
보고서
Agent관리
커뮤니티
모니터링
2
My Page
3
26
작업내역
예약목록
5. MetiEye UI : ② 구성
기본 “마이페이지” 외에 관리자 마이 페이지를 따로 제공해서 실시간 모니터링을 할 수 있습니다.
1
My Page UI 구성
1
1
현재의 위험상태를 색깔로 한눈에 파악한다
2
Web UI 서버 자체 모니터링
3
탐지에 대한 결과를 다양한 측면으로 통계
4
Agent 상태와 리소스까지 모니터링 가능
2
3
4
27
5. MetiEye UI : ③ 보고서 샘플 (일간 보고서)
일간보고서
탐지 종류별 현황 및 차트
1
탐지 현황에 따른 TOP5 제공
2
28
5. MetiEye UI : ④ 보고서 샘플 (월간 보고서)
월간 보고서
1
5가지 탐지 유형별 탐지 현황을
월간 통계로 제공한다.
차트로도 같이 확인할 수 있다.
2
관리 시스템 리소스 사용현을 %
로 제공하며, 차트로도 같이 확
인할수 있다.
1
2
29
6. 경쟁사 제품과 비교
는 실전 웹 해킹의 최고 전문가들에 의해 개발되었고 지속적으로 수행되는 웹 보안 컨설팅의 결과를
반영하여, IT 개발사의 솔루션 대비 압도적인 퍼포먼스와 업데이트를 자랑합니다.
솔루션의 태생이 다르다. – 지식정보보안 컨설팅 전문업체
MetiEye
타사 제품
개발인력
정보보호 컨설턴트 (해커)
IT Developer (개발자)
패턴 수집
내부 개발 + 외부 수집 (공급)
외부 공급에 의존 (내부역량 부재)
QA & Test
실전 웹쉘 공격 테스트
내부 구성 점검 (Coding Error)
신규 대응
최신 트렌드 연구 및 웹쉘 개발
외부 공급에 의존 (내부역량 부재)
사후 지원
컨설팅 트렌드를 반영한 업데이트
일반 유지보수 (H/W, S/W)
실제 웹쉘을 사용하여 모의해킹을 수행하는
전문 컨설턴트에 의해 개발되었습니다.
30
CONTACT US
미래창조과학부선정 지식정보보안 컨설팅전문업체
서울시 구로구 구로3동 222-3 JnK디지털타워 404호
Tel. 02) 6124-6694~5
E-mail : [email protected]