아이씨티넷, 정확하고 빨라진 웹 취약점 점검·분석 솔루션 '이지스캔' 출시

아이씨티넷 자체 개발, 기업 시장에서 금융과 공공으로 확대
6~7 시간 취약점 점검 및 분석을 10분으로 단축
30개 취약점, 5등급 구문

현재 전세계 웹 서비스는 약 20억개 이상으로 추정되며 지속적으로 증가하고 있고 비즈니스의 중요한 서비스로 자리 잡아가고 있으나 그만큼 보안 위협도 높아지고 있다. 서비스 특성상 외부에 노출할 수밖에 없는 웹 서비스들은 각종 보안 위협에 매우 취약하다. 또한 보안 인력의 상시적 부족과 개발 인력에 대한 보안 교육의 결여로 인해 보안 사고에 대한 위험성은 더욱 커져가고 있는 상황이다.

웹 취약점을 이용한 공격은 주로 정보 유출을 목적으로 하는데 OWASP(Open Web Application Security Project)가 '웹 공격유형 TOP10'을 발표한 바 있다. 발표에 의하면 웹 서버에 악의적 코드를 추가하거나 SQL 인젝션을 이용해 데이터베이스를 공격한 후 대량의 정보를 유출하거나 인증 관련 취약점을 이용한 공격 등 다양한 형태의 웹 취약점들을 이용한 다양한 보안 위협들이 포함된다.

때문에 이를 방지하기 위한 주기적인 취약점 점검과 분석이 반드시 필요한 상황이다. 이에 따라 국외 뿐만 아니라 국내에서도 정보통신기반보호법, 전자금융감독규정, ISMS-P 인증기준 등에서 주기적으로 웹 취약점 점검과 분석을 수행하도록 규정하고 있다.

ICT 토탈 솔루션 제공기업 아이씨티넷(사장 강종철)은 자체 개발한 웹 취약점 점검, 분석 솔루션인 이지스캔(AEGIScan)을 출시했다.

20억 개 웹서비스 도메인 90%를 10분에 분석

이지스캔은 기존의 솔루션들이 6~7시간 걸리던 점검 및 분석 시간을 약 10분내외로 획기적으로 단축시켰다. PCRE(Perl Compatible Regular Expressions)를 사용해 패턴들을 정규 표현식으로 코드화한 후 웹요청을 전달해 응답이 특정 오류 패턴과 일치하면, 해당 사항을 취약점으로 판단하고 취약점 유형을 반환하는 방식으로 구현했다.

아이씨티넷 관계자는 이지스캔의 독창적인 웹분석 기술은 웹 애플리케이션 취약점 점검 속도를 획기적으로 개선해 전세계 20억개의 웹서비스 중 약 90%의 도메인들을 10분 이내에 점검, 분석이 가능할 것으로 추정된다고 했다.

이지스캔은 기존의 OWASP 웹 공격유형 TOP10, CWE(Common Weakness Enumeration), CVSS(Common Vulnerability Scoring System), MITRE 808 등을 참조해 가장 일반적이고 위험한 보안 위협의 위험 수준을 고려해 자체적인 보안 점검 항목 TOP 30을 구성했다.

기존 CVSS는 위험성이 아닌 심각도를 측정하고, CVSS 점수가 높을수록 개발자와 조직에서 처리할 업무가 복잡해지나 대부분의 조직은 이러한 보안업무에 대처할 인력 및 자원이 충분하지 않은 게 현실이다. 즉, 잘못된 우선순위는 공격자가 낮은 점수의 취약점을 악용할 수 있는 시간만 더 제공하는 격이 될 수 있다.

하지만 이지스캔은 30개의 취약점을 5가지 등급으로 분류하고, 등급마다 취약점의 심각도와 위험성 수준을 구분하였고 점검 결과에 따라 조직에 대한 영향력을 파악해 누구나 쉽게 업데이트할 수 있는 조치 가이드를 제시하고 있으며 이러한 독자적인 점검 항목 및 점검 방식 개발을 통해 취약점 오탐 및 과탐을 최소화했다.

Full-Depth 웹 취약점 점검 수행

이지스캔은 Full-Depth 웹 취약점 점검을 수행한다. 도메인과 같은 URL(Uniform Resource Location)을 적어주면 동적분석을 통해 URL내에 존재하는 모든 하위 URL들의 취약한 부분을 탐지해낼 수 있으며 서비스 배포 전 웹 개발 단계에서부터 보안 취약점 점검 단계를 거칠 수 있도록 CI/CD 파이프라인과의 통합 기능도 조만간 추가 완료할 예정이다.

현재 웹취약점 점검 시 대부분의 경우에는 서비스 장애 등을 대비해 웹서비스 개발자와 운영자들을 참여시켜 업무시간 이외에 주로 점검을 진행하고 있다. 이지스캔을 이용하면 아이씨티넷이 독자적으로 개발한 웹 구조분석방법론을 통해 데이터베이스의 무결성을 보장하면서 점검대상 웹서비스의 가동 중에도 서비스에 전혀 영향을 미치지 않고 무중단/무장애 진단이 가능하다. 때문에 추가 업무 부담을 줄여 관련 업무 담당자들이 고유 업무에 집중할 수 있다.

이지스캔은 점검이 종료됨과 동시에 취약점 점검 결과보고서를 실시간으로 제공하고 있으며, 이 보고서에는 진단 결과, 위험 등급, 보안 조치 가이드 등을 포함하고 있어 향후 보안감사 등에서 편리하게 증적 자료로 활용할 수도 있다.

아이씨티넷은 보안솔루션 특성상 관련 인증 절차를 위한 시간이 필요하기 때문에 기업시장 위주의 사업을 먼저 전개하고 추후 금융, 공공 시장 등으로 확대할 예정이며 이미 여러 기업체들과 이지스캔 도입 관련 논의를 진행중에 있다. 또한 이번 이지스캔 출시와 함께 노네임시큐리티의 API 솔루션의 시장 확대에도 박차를 가하고 있다.

강종철 아이씨티넷 사장은 “기존 시장은 주로 외산 솔루션들이 장악하고 있고 있다. 하지만 이지스캔의 차별화된 성능과 기능 그리고 가격 경쟁력으로 충분히 시장 우위를 점할 수 있다. 특히 역량있는 파트너들과의 협업으로 빠른 시간내에 시장을 확대해 갈 방침이다.”고 밝혔다.

전자신문인터넷 유은정 기자 judy6956@etnews.com