| 중소기업에 꼭 필요한 무료 보안 서비스 4가지 | 2015.04.14 | |
KISA에서 무료 제공하는 웹취약점 점검, 웹셸 탐지, 웹방화벽 활용 [보안뉴스 김태형] 대기업에 비해 중소기업이나 영세 사업자들은 보안에 취약할 수 밖에 없다. 보안전문인력이나 보안 장비·시스템에 투자할 예산이나 여력이 없기 때문. 하지만 중소기업이나 영세 사업자들도 보안에 소홀할 수는 없다. 조금만 노력하면 무료나 비용이 저렴한 보안 서비스를 이용할 수 있다.
한국인터넷진흥원은 이처럼 안전한 웹사이트 운영에 필요한 정보보호 전문지식이나 서버관리 인력이 없는 중소기업, 소상공인, 비영리 단체, 개인을 대상으로 웹보안 통합 서비스인 웹취약점 점검, 휘슬, 캐슬, 공개 웹방화벽 등을 제공하고 있다. 이 외에도 윈도우 자체 보안설정 기능이나 한글이나 워드·엑셀 프록램에 내장된 보안 기능을 잘 활용한다면 중소기업에서도 보다 수월하게 보안수준을 높일 수 있다.
1. 웹 취약점 점검 서비스 한국인터넷진흥원 침해대응센터에서 제공하는 원격 웹취약점 점검 서비스는 SQL injection, Cross site scripting과 기타 웹 공격에 대한 취약점을 점검해 준다. 이 서비스는 무료로 제공되며, 홈페이지 및 웹사이트 보호에 필요한 정보보호 전문지식이나 서버관리 인력이 없는 중소기업 또는 비영리 단체를 대상으로 한다. 홈페이지 변조, 악성코드 삽입, 피싱사이트 악용 등 인터넷 침해사고 피해를 사전에 예방하기 위한 서비스이다. 점검된 결과는 점검 결과 보고서로 제공하며 웹사이트의 운영자 및 개발자는 점검 결과 보고서를 바탕으로 발견된 취약점에 대한 수정 및 보완을 통해 웹사이트의 보안성을 높일 수 있다. 다만, 원격에서 탐지하는 점검의 특성상 오탐·미탐의 가능성이 있으며, 점검 결과는 어떠한 증빙자료로도 사용할 수 없다. 서비스 제외 대상은 국립대, 관공서, 공공기관, 공기업, 대기업, 외국계 기업, 종합병원, 사이트 유지보수 이용 업체, 금융권, 보안서비스 이용 업체, 그룹웨어, 웹메일서버 등이며 이용절차는 ‘신청서 작성-> 신청서 메일 발송-> 자격심사-> 취약점 점검-> 보고서 작성’ 등으로 진행된다. 2. 웹셸 탐지 ‘휘슬(WHISTL)’ 최근 공격자들이 국내 웹 서버를 해킹해 웹셸을 업로드 한 후 악성코드 유포하고 개인정보를 탈취하는 사례가 지속적으로 발생하고 있다. 이에 한국인터넷진흥원에서는 공격자에 의해 생성된 웹셸 및 악성코드 은닉사이트를 손쉽게 탐지하고 대응하기 위하여 기존 배포중인 웹쉘 탐지 프로그램인 휘슬과 악성코드 은닉 사이트 탐지 프로그램(MC-Finder)을 통합한 신규 버전의 휘슬(WHISTL)을 보급하고 있다.
최근 공격자들이 국내 홈페이지를 해킹해 악성코드를 유포하거나 개인정보를 탈취하는 사례가 지속적으로 발생하고 있다. 이에 한국인터넷진흥원에서는 홈페이지의 보안성을 강화하는 웹방화벽인 ‘홈페이지 보안 강화도구(CASTLE)’를 무료로 배포하고 있다.
4. 공개 웹방화벽 최근 홈페이지를 통한 악성코드 유포, 피싱 사이트로의 악용 등 웹 해킹의 피해가 심각한 수준에 이르고 있다. 한국인터넷진흥원은 보안부문에 대한 투자 여력이 부족한 영세기업의 웹 보안 강화를 위해 기본적인 웹 해킹을 차단할 수 있는 공개 웹방화벽 2종을 추천하고 있다. △ IIS용 WebKnight ATRONIX 사에서 개발한 IIS 웹서버용 공개 웹방화벽으로 SQL Injection 공격 등 IIS 웹서버의 주요 공격 차단 가능 홈페이지 : http://www.aqtronix.com/ △ APACHE용 ModSecurity Ivan Ristic이 개발한 Apache 웹서버용 공개 웹방화벽으로 PHP Injection 공격 등 Apache웹서버의 주요 공격차단가능 홈페이지 : http://www.modsecurity.org/ [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
