인젠시큐리티서비스 Product

인젠이 개발하고 인젠시큐리티서비스가 국내 총판을 맡고 있는 웹위변조모니터링 시스템인 ‘SecuPlat WebEyes(이하 시큐플랫 웹아이즈)’는 웹사이트의 위변조를 막고 보안을 강화하기 위해서 개발된 제품 중 하나이다.

인터넷이 발달하고 행정 업무가 웹사이트를 통해서 이뤄지고 있어 그에 따른 웹사이트 위변조 모니터링의 중요성은 점차 증가되고 있다.

또한 최근 몇 년 사이에는 대기업, 공공기관은 물론 소규모 사이트에서도 악의적인 위변조가 빈번히 발생했으며 그 수법까지 다양하게 변해가고 있어 그 어느 때 보다 전문적인 시스템이 필요로 하게 되었다. 인젠이 개발한 웹위변조모니터링 시스템인 SecuPlat WebEyes(이하 시큐플랫 웹아이즈)는 이러한 문제들을 해결하기 위해서 시장에 출시된 제품 중 하나다. 현재 이 제품은 인젠시큐리티서비스에서 국내총판을 하고 있다.

대규모 사이트 위한 분산처리 기능 추가

시큐플랫 웹아이즈의 가장 큰 특징은 별도의 프로그램 설치 없이 웹브라우저만으로 언제 어디서든지 모니터링이 가능하다는 것이다. 또한 Microsoft IIS 및 Apache 모든 버전을 포함한 모든 종류의 웹서버를 지원하는 동시에 웹서버의 응답상태 및 응답속도 등에 대한 완벽한 성능·무결성 모니터링까지 가능하다.

출시 초기에는 웹위변조 모니터링에 대한 기능이 대부분을 차지했지만 지속적인 제품 업그레이드를 통해서 해킹 탐지, 개인정보유출 탐지, 웹서버 성능 감시 등의 기능 구현이 가능하게 되었다.

“웹상에 위변조가 발생했을 때 상시 모니터링을 통해 무엇보다도 신속하게 담당자에게 알리는 게 중요하다. 그래야만 빠른 대응이 가능할 것이고 기업 및 기관의 얼굴인 홈페이지 훼손으로 인한 큰 손실을 막을 수 있다”는 것이 인젠시큐리티서비스측 담당자의 설명이다. 시큐플랫 웹아이즈의 구동 방식은 분산서버를 통해서 각 감시 웹페지에 대한 파일크기변경 검사, 위험태그/키워드 검색, DOM 구성요소 별 Diff분석, 응답속도/응답코드 검사, 서비스 Alive 검사, Zone-H 해킹 사이트 검사, 개인정보유출 검사를 실행하고 그 결과를 바탕으로 웹페이지에 대한 위변조 여부를 판단하도록 이루어진다.

시큐플랫 웹아이즈는 타 보안 제품, 특히 통합보안관리 시스템인 ESM과 연동하여 사용했을 경우 그 성능이 배가 될 수 있다. 또한 자사 통합보안관제 서비스와의 결합을 통해서 더욱 향상된 웹 위변조 모니터링이 가능하다.

특히 원포인트 통합관제로 관리/관제/운영의 일관성을 확보할 수 있으며 웹서버의 증가에 비례해서 해당관리 포인트의 증가했던 기존 방식을 탈피함으로써 추가인력 및 비용을 최소화할 수 있다.

현재 제품에 대한 버전 업그레이드가 진행 중에 있으며 완료가 되면 대규모 사이트를 위한 분산처리 기능의 추가로 아무리 많은 웹페이지라도 원활한 감시와 분석이 가능할 것으로 보인다.

인젠시큐리티서비스 정철호 상무는 “올 해에는 웹위변조 모니터링에 대한 제품 수요가 더 많을 것으로 보인다”며 “보다 공격적인 영업 활동을 통해 매출 확대에 힘쓰겠다”고 말했다. 한편 시큐플랫 웹아이즈는 품질의 우수성을 인정받아 이미 여러 공공기관에 도입이 완료된 상태이다.

SecuPlat WebEyes의 주요 기능

위ㆍ변조 탐지

● 해시 분석 : 감시 대상 페이지의 HTML 소스에 대한 해쉬값을 저장하여 변경 여부를 확인

● 파일 크기 분석 : 임계치 이상으로 HTML소스가 변경된 경우 알람 발생. 임계치는 옵션에 따라 자동으로 변경

● DOM 구성 요소 별 Diff 분석 : DOM 구성 요소별 개수를 분석하여 임계치 이상으로 변경된 구성 요소가 있는 경우 알람 발생

● 위험태그/키워드 탐지 : 잠재적으로 위험할 수 있는 태그 또는 키워드를 등록하여 대상 소스에서 탐지될 경우 알람 발생. 각 키워드는 논리연산(AND, OR)에 의한 집합으로 구성

개인정보 탐지

● 개인정보 탐지 : 점검 대상 페이지에서 개인정보 패턴이 탐지될 경우 알람 발생.

해킹 탐지

● Zone-h 해킹 사이트 등록 감지 : zone-h.org, zone-h.kr 등의 해킹 사이트에서 감시 대상 사이트가 등록되어 있는 경우 이벤트 발생

● Google Safe Browsing : Google Safe Browsing Database를 활용하여 악성코드, 피싱 사이트, 구글 블랙리스트에 감시하고 있는 페이지가 등록되어 있는 경우 이벤트 발생. 감시 페이지 소스 내 피싱사이트나 악성코드 배포 사이트로 연결되는 링크를 탐지 할 수 있으며 감시 사이트가 구글에서 악성 사이트로 분류되는 사태 발생시 즉각 대응 가능해짐.

웹서버 성능 감시

● 웹서버 응답 상태 : 접속여부(Service Alive), 응답코드 확인

● 웹서버 응답 속도 : 웹서버의 요청에 대한 반응 시간, 전송 속도 등 서버의 성능 측정

게시판 탐지 기능(개발중)

● 사이트에 포함되는 게시판의 글을 키워드 검색, 정규표현식 검색하여 개인정보 유출, 악성 태그가 발견되는 경우 이벤트 발생.

● 개인정보 유출, 악성 태그 외 광고, 욕설, 음란성 글 등을 검출하는 용도로도  활용 가능

분산 Agent(개발중)

대량의 사이트에 대한 처리를 위한 분산 구조의 탐지 서버 구축.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>