온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안

®

IBM Software Group

© 2007 IBM Corporation

온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안

IBM Software Group | Rational software®

소개 : 위급한 현실

“ 약 1 억 명의 미국인들이 보안 문제로 피해를 받고 있다는 것을 통보 받았고 , 이런 문제가 대중적으로 확산된 단계가 되었습니다 .Approximately 100 million Americans have been informed that they have suffered a security breach so this problem has reached epidemic proportions.” Jon Oltsik – Enterprise Strategy Group

“2 만 천명에 이르는 대출 사용자 정보가 노출되어졌을 수 있습니다 .Up to 21,000 loan clients may have had data exposed” Marcella Bombardieri, Globe Staff/August 24, 2006

“ 정부에 따르면 , 2 백 2 십만에 이르는 현역 장병들의 개인정보가 도난 당했다고…Personal information stolen from 2.2 million active-duty members of the military, the government said…” New York Times/June 7, 2006

“ 해커가 2 만 6 천여 직원의 개인을 증명할 수 있는 정보를 훔쳤을 수 있다고… Hacker may have stolen personal identifiable information for 26,000 employees..”

ComputerWorld, June 22, 2006


시장 분석 - IDC


문제의 선 발견을 저해하는 광대한 애플리케이션

관리에 어려움이 있는 서드파티 제조사 및 제품관리에 어려움이 있는 서드파티 제조사 및 제품5555

감시되지 않는 배포된 애플리케이션감시되지 않는 배포된 애플리케이션4444

전체주기에서 늦게 이루어지는 문제점 확인전체주기에서 늦게 이루어지는 문제점 확인3333

관리와 시정의 결여관리와 시정의 결여2222

문제 처리의 저해요소가 된 보안팀 – 과중한 업무부하문제 처리의 저해요소가 된 보안팀 – 과중한 업무부하1111


항목

웹 애플리케이션 보안이 요구되는 이유 워치파이어 소개 웹 애플리케이션 보안 워치파이어 AppScan 솔루션 AppScan 의 지원 범위 Rational- 워치파이어 제품 통합 (Product Integration)

®

IBM Software Group


워치파이어 소개


워치파이어 개요

워치파이어는 : Just released – Gartner 선정 2006 애플리케이션

보안 시장 선도 기업 애플리케이션 보안 및 규정이행 검증 소프트웨어와

서비스 제공업체 800 여 개 이상의 기업이 신뢰하는 워치파이어

배경 : 1996 년 설립 , 190 명의 직원 , 메사추세츠 ,

보스턴에 본사를 둠 최초로 애플리케이션 보안 검사 제품을 제조함 제품군 :

애플리케이션 보안 솔루션 - AppScan

개인정보 및 규정이행 솔루션 - WebXM

#1 in Market #1 in Market Share for Share for

Application Application Security Security

– Gartner & IDC

#1 in Market #1 in Market Share for Share for

Application Application Security Security

– Gartner & IDC

Best Security Company


워치파이어를 신뢰하는 1,000 기업들

상위 상위 1010 개 기술 개 기술 브랜드 중 브랜드 중 88 개 브랜드개 브랜드

상위 상위 1010 대 제약대 제약 // 임상 임상 기업 중 기업 중 77 개 기업개 기업 다수의 대형 정부 기관다수의 대형 정부 기관미국 내 미국 내 1010 대 대형대 대형

은행 중 은행 중 99 개 은행개 은행

Veteran’s Affairs

NavyArmy

Air Force Marines

크고 복잡한 웹 사이트 엄청난 고객 정보

강력한 규제 및 규정 대단한 사용자 규모


웹 애플리케이션과 웹 서비스에 대한 자동화된 보안 검사

보안 취약점의 판단과 수정을 위한 단일 및 전사적 적용이 가능한 솔루션

개발자 , 검사자 및 보안 전문가를 위해 만들어진 도구

전사에 걸친 보고서 생성 및 추적 기능

웹 규정이행 검사 솔루션

다음과 같은 범주의 규정이행과 품질 규정 및 요구에 대한 지원 :

개인정보보호 HIPAA

미국 재활법 508 조의 Accessibility( 접근성 ) 관련 조항

브랜딩 /IP/ 품질 ; 전자정부 법령의 207 항

워치파이어가 제공하는 제품의 개요


보안 및 규정이행 무결성에 대한 위험이 기업의 정체성 , 고객관계 및 사업 결과에 심각한 악영향을 주고 있습니다 .

Rational, Tivoli 및 글로벌 서비스를 아우르는 완벽한 End-to-end 보안 솔루션을 제공하기 위해

애플리케이션 보안 및 규정이행 검사 솔루션 업계 선도 제조업체를 병합함으로 IBM 보안 관리 포트폴리오는 견고해지고 있습니다 .

워치파이어 병합의 이유

오늘날 사이버 공격의 75% 가 애플리케이션 단에서 이루어지면 , 이에 대한 보안 지출은 겨우 10% 에 불과 합니다 1.

2010 년에 이르면 80% 의 조직은 애플리케이션 보안 사고를 경험하게 될 것입니다 2.

미국 기업들은 내부 보안 공격에 년간 4 천억 달러의 비용을 지출하고 있습니다 ³

64% 에 이르는 CIO 들은 IT 조직이 직면한 가장 중요한 도전이 보안 , 규정이행 및 자료보호라고 느끼고 있습니다 4.

1,2 Watchfire analysis with analysts support

3 CSI/FBI Survey 2005

4 IBM Service Management Market Needs Study, March 2006

®

IBM Software Group


웹 애플리케이션 보안


Desktop Transport Network Web Applications

AntivirusProtection

Encryption(SSL)

Firewalls /AdvancedRouters

애플리케이션 보안

Firewall

Web ServersDatabases

BackendServer

ApplicationServers

Info Security LandscapeInfo Security Landscape

Web Applications


웹 애플리케이션 보안의 포인트 솔루션 웹 애플리케이션 보안 시장의 4 분야

블랙 박스 스캐너 ( 동적 또는 실시간 분석 )

화이트 박스 스캐너 ( 정적 또는 소스코드 분석 )

웹 애플리케이션 방화벽 ( 네가티브 및 파지티브 필터링 엔진을 갖춘 웹 애플리케이션 게이트웨이 )

Penetration Testing( 모의해킹 ) ( 특정된 영역에 대한 수동 분석 )

Build QA Security ProductionCodeRequirements Design

Blackbox - AppScan

Whitebox

W.A.F. & P.T.

Other Black-box tester


기업에 대한 도전

자료출처 : Gartner, IDC, Watchfire

Network Server

WebApplications

공격대상비율 (%) 전체지출비율 (%)

75%

10%

25%

90%

보안 지출


왜 애플리케이션 보안이 긴급으로 요구되나

웹 애플리케이션은 크래커의 제일 공격 목표 : 75% 의 공격이 애플리케이션 계층에서 발생 (Gartner)

XSS 과 SQL Injection 이 1, 2 위로 보고되는 취약점 (Mitre)

대부분의 사이트가 취약성을 가지고 있음 : 사이트의 90% 가 애플리케이션 공격에 취약함 (Watchfire)

쉽게 공격이 가능한 취약점의 78% 가 웹 애플리케이션에 영향을 줌 (Symantec)

2010 년에 이으러 기업 및 조직의 80% 가 애플리케이션 보안 사고를 겪게 될 것임 (Gartner)

웹 애플리케이션은 크래커를 위한 매우 가치 있는 표적임 : 고객 정보 , 신용카드 , ID 탈취 , 도용 , 사이트 변조 등

규정이행 요구 항목 : Payment Card Industry (PCI) Standards, GLBA, HIPPA, FISMA,


웹 애플리케이션 보안 - 문제점

웹 세션은 기본적으로 보호기제가 전혀 없다 방화벽은 웹 공격에 대한 적절한 방어를 제공하지 않는다 .

웹 필터 , 인증 및 암호화는 다른 일을 한다 .

모의 해킹과 같은 작업은 많은 비용이 지출되고 불편하다 .

IT 보안 인력은 일반적으로 애플리케이션 개발에 대한 경험이 없다 .

개발자와 프로그래머들은 일반적으로 보안관련된 경험이 없다 .

웹 공격 : Cross-site Scripting, SQL Injection 과 같은 공격이 지난해 갑자기 가장 많이 발생한 공격이 되었다 .

아직 많은 사람들이 이러한 문제점이 존재한다는 것조차 모르고 있다 .


웹 애플리케이션 공격은 사업에 관련된 문제

Misdirect customers to bogus site

애플리케이션 위협 부정적인 영향 잠재적으로 사업에 미치는 영향

Buffer overflow Denial of Service (DoS) Site Unavailable; Customers Gone

Cookie poisoning Session Hijacking Larceny, theft

Hidden fields Site Alteration Illegal transactions

Debug options Admin Access Unauthorized access, privacy liability, site compromised

Cross Site scripting Identity Theft Larceny, theft, customer mistrust

Stealth Commanding Access O/S and Application Access to non-public personal information, fraud, etc.

Parameter Tampering Fraud, Data Theft Alter distributions and transfer accounts

Forceful Browsing/

SQL Injection

Unauthorized Site/Data Access Read/write access to customer databases


애플리케이션 보안 결함 #1 & #2 취약점


크로스사이트 스크립팅 – 절차

크래커

사용자 bank.com

1) bank.com 링크를 사용자에게 전자메일 또는 HTTP 로 전송

2) 사용자가 데이터처럼 추가된 스크립트를 전송

3) 스크립트 / 데이터가 돌아오고 , 브라우저에서 실행

4) 스크립트가 사용자의 동의나 인지 없이 사용자의 쿠키와 세션 정보를 전송

5) 크래커는 탈취한 정보를 이용하여 사용자를 도용함


HTML code:

크로스사이트 스크립팅 - 예


크로스사이트 스크립팅 공격 이용

상대방에게 자바스크립트를 전달하여 실행할 수 있다면 , 나는…할 수 있다 . 상대방이 브라우저로 보고 있는 도메인에 이용되는 쿠키탈취 해당 도메인에서 상대방이 보고 있는 페이지의 내용 수정 지금부터 상대방이 브라우저에서 하는 모든 행동을 추적 피싱 사이트로 상대방을 리디렉트 상대방 장비의 운영권한을 빼앗기 위해 브라우저 취약점을 악용 …

XSS 는 오늘날 최고의 보안 위협 입니다 . ( 가장 많이 악용 )


Case Study: 크로스사이트 스크립팅을 통한 사용자 공격 피싱 공격을 수행하기 위해 , 악의적인 사용자는 배너 이미지를

생성하거나 크로스사이트 스크립팅 취약점을 악용한 HTML 텍스트를 포함한 메일을 보내려 할 것입니다 . 동적인 스크립팅에 의해 숨겨진 HTML 은 대상 애플리케이션의 URL 주소 검색박스로 자바스크립트 코드를 전송합니다 .


크로스사이트 스크립팅 – 보이고 생각하는 이상의 내용 전달

전자메일 메시지로부터 삽입된 자바스크립트


Injection 결함

Injection 취약점은 ? 인터프리터로 전송되는 사용자 - 제공 데이터가 명령 , 쿼리 또는 데이터의

일부

관련된 취약점은 ? SQL Injection – DB 에 있는 데이터로의 접근 / 변경 SSI Injection – 서버상에 명령 실행 및 민감한 정보로의 접근 LDAP Injection – 인증 우회 …


Injection 결함


매개변수 조작

매개변수 조작 (Parameter Tampering) 은 ? 매개변수는 클라이언트로부터 정보를 수집하는데 이용됨 해당 정보는 사이트의 URL 매개변수에서 변경될 수 있음

매개변수 조작이 존재할 수 있는 이유는 ? 개발자는 매개변수의 적절한 값과 어떻게 매개변수를 활용할 것인지에 주안을 둠 잘못된 값에 대한 주의 혹은 처리가 이루어지지 않음

사업에 미치는 영향 해당 애플리케이션은 고객 정보에 접근을 허용하는 것과 같은 개발자가 의도하지

않은 기능을 실행할 수 있습니다 .


매개변수 조작 ( 데모 데이터 )


와일드카드 매개변수는 ?


URL 접근 제한의 실패 : Privilege Escalation Types

완벽히 제한된 자원에 주어진 접근 제공될 수 없는 파일들로의 접근 (*.bak, “Copy Of”, *.inc, *.cs, ws_ftp.log, et

c.)

수직 권한 상승 (Vertical Privilege Escalation) 알 수 없는 사용자의 로그인 페이지 이후의 페이지 접근 단순한 사용자의 관리자 페이지 접근

수평 권한 상승 (Horizontal Privilege Escalation) 다른 사용자의 페이지에 사용자 접근 예 : 은행 계좌 사용자의 다른 사용자 계정으로의 접근


Real Example: 온라인 여행 예약 포탈 (User Transaction)

reserID 를 2001200 로 변경


Real Example : Insufficient Authorization 불충분한 인증 및 권한 허용

다른 사용자의 거래 확인

전자메일 주소를 포함한 다른 고객의 거래 전표가 표시됨


애플리케이션 보안 침해의 대가

언론 주목 > 브랜드 악영향 > 주식시가의 급등락 언론 / 통신 / 감시 서비스 비용 법적인 수수료 (Reported $3-4 million)

FTC( 연방거래위원회 ) 페널티 ( 최고 1500 만 달러의 벌금 )

감사 고객의 소송 고객 감소


소프트웨어 개발 주기내의 보안 검사

Build

Developers

SDLCSDLC

Developers

Developers

Coding QA Security Production

애플리케이션 보안 테스팅의 발전 방향


이용할 수 있는 애플리케이션 보안 검사1. 사람

– 채용 , 교육 , 및 외부 보안팀의 고용

2. 프로세스 – 마지막 단계에서 “채우는” 형태가 아닌 소프트웨어개발주기 (SDLC) 의

일부로서 존재하도록 함

1. 기술 – 전술적인 도구로부터 전략적인 전사 배포로 전환

®

IBM Software Group


워치파이어 AppScan


웹 애플리케이션 보안의 발전 ( 단계별 워치파이어 AppScan 제품군 )

개발 및 관리에 대한 보고서의 시정과 배포의 통합전사적 시정전사적 시정

AppScan Reporting ConsoleAppScan Reporting Console

보안 감사팀이 애플리케이션 점검을 주도하여 내부적인 검사로 확장기업 내 감사기업 내 감사

AppScan DesktopAppScan Desktop

검사에 개발팀을 포함시켜 보안의 확장성과 완벽한 범위성을 제공함

전사적 확장성전사적 확장성

AppScan EnterpriseAppScan Enterprise

외주 감사외주 감사 취약점에 대한 애플리케이션 검사 시작

P.T. / AppScan OnDemandP.T. / AppScan OnDemand

보안

교육

/훈련

보안

교육

/훈련

워치

파이

어 유

니버

시티

/ C

BT

워치

파이

어 유

니버

시티

/ C

BT


문제를 지적하는 것을 넘어선 AppScan

문제점 평가문제점 평가 문제점 이해문제점 이해 문제해결문제해결


데이터베이스 운영체제

웹 서버

웹 애플리케이션 웹 서비스

데이터베이스 스캐너 시스템 스캐너

네트워크 스캐너

웹 애플리케이션 스캐너

웹 애플리케이션 환경 도구 : 적용 위치

•웹 애플리케이션 환경 도구 : 적용위치•웹 애플리케이션 환경 도구 : 적용위치


워치파이어 AppScan 제안

웹 애플리케이션 코드 점검 가능성이 있는 취약점들과 에러 발견 발견된 내용들이 왜 문제인지를 전달 발견된 내용들이 어떻게 규정 및 규제를 위반하는지 보고 무엇을 어떻게 수정해야 하는지 권고


취약점 확인


적용할 수 있는 보안 권고문 및 수정 권고문


보안 보고서


산업표준 보고서


규정이행 보고서

®

IBM Software Group


AppScan 의 지원 범위


AppScan 의 웹 애플리케이션 보안 점검 지원 범위

Build

Developers

SDLCSDLC

Developers

Developers

Coding QA Security Production

Blackbox - AppScan

Whitebox

W.A.F. & P.T.

Other Black-box tester

QA Team

Security & Audit Team


워치파이어와 IBM Rational 제품의 통합 시너지

Build

SDLCSDLC

QA Security ComplianceCodeRequirements Design

Watchfire

IBM Rational

WebXM Privacy, Quality,

Accessibility

AppScan &

AppScan Enterprise

AppScan QA & ASE Integration

ASE QuickScan

Requisite Pro

RAD, RAM,

Software Architect

ROSE ClearCase, Build Forge

CQ, CQTM, RFT, RPT


Rational Software Quality Solution 으로서의 AppScan

Developer Test Functional Test

Automated Manual

Rational RequisitePro Rational ClearQuest Rational ClearQuest

Defects

Project Dashboards

Detailed Test Results

Quality Reports

Performance Test

SOFTWARE QUALITY SOLUTIONS

Test and Change Management

Test Automation

Quality Metrics

DE

VE

LO

PM

EN

T

OP

ER

AT

OIN

S

BUSINESS

Rational ClearQuest

Requirements Test Change

Rational PurifyPlus

Rational Test RealTime

Rational Functional Tester Plus

Rational Functional Tester

Rational Robot

Rational Manual Tester

Rational Performance Tester

Security and Compliance Test

AppScan

WebXM

®

IBM Software Group


IBM Rational & Watchfire 제품 연계


ClearQuest 를 위한 AppScan 의 QA Defect Logger


AppScan Enterprise 와 ClearQuest 의 통합


AppScan 과 Rational CQTM 의 통합– 2H07


소프트웨어 개발 주기 내의 보안 및 개발 고려 사항

• 보안적인 고려가 없는 요구 분석 , 설계 , 코딩 및 품질관리는 배포 및 운영 시 반드시 문제 및 사고와 연관됨

• 보안검사가 단계에 앞서 선행될 수록 문제점을 수정하기 위한 비용 및 시간은 작아지게 됨

• 소프트웨어 개발 주기 안의 각 단계와 팀은 웹 애플리케이션 보안을 고려해야 함


AppScan 고객을 위한 SEED System 의 지원 방안

교육 AppScan 운영 교육 : 제품 구입시 및 Upgrade 발생시 워치파이어 유니버시티 /CBT: 온라인 교육

오프라인 기술 지원 온라인 문제 처리 미진 시 고객사 요청시 (2nd 라인 기술지원 )

웹 애플리케이션 보안 방법론 개발 고객사 요청시 협력 정보 제공

모의해킹 고객사 요청시 협력

* 해당 지원 내역은 고객사 및 지원 업체의 상황에 따라서 변동이 있을 수 있습니다 .


800 개 이상의 기업들이 신뢰하는 Watchfire

세계 상위 세계 상위 1010 대 은행 중 대 은행 중 99 개 은행개 은행

세계 상위 세계 상위 1010 대 대 IT IT 기술기업 중 기술기업 중 88 개 기업개 기업

세계 상위 제약세계 상위 제약 // 임상 임상 기업 중 기업 중 77 개 기업개 기업

다양한 대규모 다양한 대규모 정부 기관정부 기관

고객사고객사

크고 복잡한 웹 사이트 방대한 고객 정보

강력한 규정 및 규제 적용 대단히 큰 사용자 규모

Veteran’s Affairs

NavyArmy

MarinesAir Force


국내 유수 기업과 기관에서 신뢰하는 AppScan 고객사고객사

기업 및 기관기업 및 기관


보안 리더들이 자사 웹 애플리케이션을 보호하기 위해서 이용하는 Watchfire

컨설팅 및 연구 기업컨설팅 및 연구 기업IT IT 기술기업기술기업

고객사고객사

®

IBM Software Group


Thank YouThank YouSEED System, Inc5th Floor, MK Building 31-10, YangPyeong-dong 1(il)Ga, YoungDeungPo-Gu Seoul, South Korea ZIP# 150-862Tel: +82-2-2635-7985 FAX: +82-2-2635-7986 Sales Support: [email protected] Support: [email protected]

Secure your On-line Business and

Infrastructure with SEED System,

You Will Improve the Value of Business and

Service on the Internet.

온라인 사업에 영향을 주는 애플리케이션 보안과 규제 준수의 검증 방안

Documents