웹 서비스는 비즈니스의 중요한 축으로 현재 약 20억개 이상으로 추정되며 지속적으로 증가하고 있다. 그런데 웹서비스는 특성상 외부에 노출할 수밖에 없어 각종 보안 위협에 매우 취약하다. 게다가 부족한 보안 인력과 교육은 사고의 위험성을 더욱 높이고 있다.

OWASP(Open Web Application Security Project)가 발표한 ‘웹 공격유형 TOP10’에는 웹 서버에 악의적 코드를 추가하거나 SQL 인젝션을 이용하여 데이터베이스를 공격한 후 대량의 정보를 유출하거나 인증 관련 취약점을 이용한 공격 등 다양한 형태의 웹 취약점들을 이용한 다양한 보안 위협들이 포함됐다. 이를 예방하려면 주기적으로 취약점 점검과 분석을 해야 한다.

ICT 토탈 솔루션 제공기업 아이씨티넷(사장 강종철)이 웹 취약점 점검 및 분석 솔루션 ‘이지스캔(AEGIScan)’을 출시했다.

이지스캔은 기존의 솔루션들이 6~7시간 걸리던 점검 및 분석 시간을 약 10분내외로 단축시켰다. 이는 PCRE(Perl Compatible Regular Expressions)를 사용하여 패턴들을 정규 표현식으로 코드화한 후 웹요청을 전달하여 응답이 특정 오류 패턴과 일치하면, 해당 사항을 취약점으로 판단하고 취약점 유형을 반환하는 방식으로 구현했다.

이지스캔은 기존의 OWASP 웹 공격유형 TOP10, CWE(Common Weakness Enumeration), CVSS(Common Vulnerability Scoring System), MITRE 808 등을 참조하여 가장 일반적이고 위험한 보안 위협의 위험 수준을 고려하여 자체적인 보안 점검 항목 TOP 30을 구성했다.

30개의 취약점을 5가지 등급으로 분류하고, 등급마다 취약점의 심각도와 위험성 수준을 구분하였고 점검 결과에 따라 조직에 대한 영향력을 파악하여 누구나 쉽게 업데이트할 수 있는 조치 가이드를 제시하고 있다. 이러한 독자적인 점검 항목 및 점검 방식 개발을 통하여 취약점 오탐 및 과탐을 최소화했다.

또한 이지스캔은 Full-Depth 웹 취약점 점검을 수행해 도메인과 같은 URL(Uniform Resource Location)을 적어주면 동적분석을 통하여 URL내에 존재하는 모든 하위 URL들의 취약한 부분을 탐지해낼 수 있다.

아이씨티넷은 서비스 배포 전 웹 개발 단계에서부터 보안 취약점 점검 단계를 거칠 수 있도록 CI/CD 파이프라인과의 통합 기능도 조만간 추가 완료할 예정이다.

이지스캔은 웹 구조분석방법론을 통하여 데이터베이스의 무결성을 보장하면서 점검대상 웹서비스 가동 중에도 서비스에 전혀 영향을 미치지 않고 무중단/무장애 진단이 가능하다. 때문에 담당자의 추가 업무 부담을 해소하고 고유 업무에 집중할 수 있게 한다.

점검이 종료됨과 동시에 취약점 점검 결과보고서를 실시간으로 제공하고 있으며, 이 보고서에는 진단 결과, 위험 등급, 보안 조치 가이드 등을 포함하고 있어 향후 보안감사 등에서 편리하게 증적 자료로 활용할 수도 있다.

아이씨티넷 강종철 사장은 “기존 시장은 주로 외산 솔루션들이 장악하고 있다. 하지만 이지스캔 차별화된 성능과 기능 그리고 가격 경쟁력이 충분하다. 이에 역량 있는 파트너들과의 협업으로 빠른 시간내에 시장 판도를 바꿀 것이다.”고 자신했다.