NAVER CLOUD PLATFORM

웹 서비스 보안에 위협을 줄 수 있는 요소를 세밀하게 진단

Web Security Checker는 웹 서비스의 잠재적 취약점을 사전에 탐지하고 조치할 수 있도록 신속하고 상세한 검사를 진행합니다. 발견된 취약점에 대응할 수 있는 관련 리포트도 받아볼 수 있습니다. (검사 항목 : XSS, SQL Injection, SSRF, XXE, LFI, RFI, File Management, File Download, Directory Listing)

빠르고 효과적인 검사
네이버 서비스에 대한 보안 운영 경험에 기반하여 실제로 침입이 자주 일어나고, 발생 시에 서비스 영향도가 높은 웹 취약점 항목을 위주로 검사합니다. 동적 분석 시스템과 자동 로그인 기능을 통해 검사할 웹 서비스에 포함된 대부분의 페이지를 신속하게 진단합니다.
안정적인 취약점 탐지
Smart Crawling 기법을 이용하여 페이지에 대한 불필요한 검사를 줄이고, 자체적인 진단 알고리즘을 통해 웹 서비스에 주는 스트레스를 최소화해 서비스 중인 웹 사이트에 대해서도 안정적으로 진단을 할 수 있습니다.
쉽고 편리한 사용
웹 기반의 콘솔을 통해 진단할 웹 서비스, 진단 항목, 로그인 정보 등을 손쉽게 입력할 수 있으며, 진단에 따른 서비스 영향을 고려해 진단 시간을 예약할 수 있습니다.

상세기능

Web Security Checker는 고객의 웹 서비스 상의 취약점을 자동으로 진단하는 서비스입니다.
총 9가지 항목의 웹 취약점을 진단하며, 원하는 항목만 선택하여 진단하는 것도 가능합니다.
진단이 끝난 후에는 진단 결과와 함께 발견된 취약점에 대한 대응 방안이 담긴 리포트를 제공합니다.

취약점 진단을 통한 보안 위협 대응

최근 분석된 보고서에 따르면, 개인정보가 유출되는 주요 원인 중 하나가 ‘외부로부터의 공격(65%)’이었습니다. 이 중 대부분이 SQL Injection, XSS(Cross-Site Scripting), LFI 등 웹 취약점이 차지하는 것으로 확인 되었습니다. 특히 최근 발생한 대규모 개인정보 해킹 사건도 SQL Injection 취약점을 이용한 공격으로 알려져 있습니다. 이처럼 웹 서비스를 대상으로 시도되는 무분별한 공격에 대비하기 위해서는 웹 서비스의 취약점을 진단하고 사전에 조치하는 활동이 필수적입니다. ‘Web Security Checker’를 활용하면 저렴한 비용으로 효과적이면서도 간편하게 웹 보안 위협에 대응할 수 있습니다. ‘Web Security Checker’ 서비스는 아래 그림과 같이, 웹 취약점을 찾아 제거함으로써 해커의 공격을 사전에 차단하고 웹과 고객 데이터를 안전하게 보호해드립니다.

서비스 이용 추천 고객

  • 웹 서비스의 취약점을 보완하여 서비스 보안성을 높이고 싶은 고객
  • 자동화된 방식으로 빠른 취약점 진단이 필요한 고객
  • 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객
  • 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객

주요 제공 기능

주요 제공 기능 표
기능설명
진단 상태 및 결과 확인예약 및 진행 중인 진단 건에 대해서는 취소가 가능하며, 진단이 완료된 건은 탐지된 취약점 개수와 상세 결과 리포트를 확인할 수 있습니다
진단 항목 설정기본적으로 9가지 항목의 웹 취약점에 대한 진단이 가능하며, 필요한 점검 항목만 선택하는 것도 가능합니다.
User-Agent 설정웹 서비스 환경에 맞는 User-Agent를 설정하여 취약점 진단을 수행할 수 있습니다.
진단 일정 설정고객의 필요에 따라 '즉시' 혹은 '예약' 두 가지 방법으로 진단 시점을 설정할 수 있습니다.
· 즉시 – 진단 신청 후 바로 진단이 시작됩니다.
· 예약 – 원하는 날짜와 시간에 진단이 시작됩니다.
알림 설정진단 완료 시 사전에 선택한 방식(E-mail, SMS)으로 결과 완료 알림이 전달됩니다. (사전 설정 필요)
진단 리포트 제공진단 결과를 정리하여 리포트로 제공합니다. 리포트는 발견된 취약점에 대한 상세정보와 더불어
해당 취약점에 대한 대응방안도 함께 제공합니다.

진단 항목

진단 항목 표
XSS설명Cross-Site Scripting 의 약자로, 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점 입니다.
발생 원인웹 페이지에서 사용자로부터 입력 받은 값에 대해 검증이 미흡할 경우 발생합니다.
위험성해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 사용자가 의도하지 않은 작업을 수행하게 할 수 있습니다.
SQL Injection설명웹 애플리케이션에서 사용되는 SQL 구문에 공격자가 임의의 구문을 주입(Injection) 하여
내부 데이터베이스의 데이터를 유출, 변조할 수 있는 취약점 입니다.
발생 원인웹 페이지에서 사용자로부터 입력 받은 값에 대해 검증 없이 그대로 데이터 질의어로 사용할 경우 발생합니다.
위험성데이터 유출, 변조 외에도 서버에 파일을 쓰거나 읽을 수 있고, 명령어 실행도 가능할 수 있기 때문에
위험도가 높은 취약점 입니다.
SSRF설명웹 애플리케이션에서 사용자의 요청을 받아 다른 시스템에 접근하거나 요청을 수행하여 결과를 얻어오는 경우가 있습니다.
이때, 해당 웹 애플리케이션이 외부에서는 접근되지 않는 내부의 다른 서버로 요청하도록 개입하여 내부 서버가
의도하지 않은 행위를 하도록 하는 취약점 입니다.
발생 원인사용자로부터 입력되는 데이터(도메인 등)에 대해 검증이 미흡하여 발생합니다.
위험성보안 장비를 우회하고 방화벽 뒤쪽 내부 시스템으로 공격 트래픽이나 추가적인 행위를 이어갈 수 있기 때문에 위험도가 높습니다.
XXE설명웹 애플리케이션에서 XML 데이터를 사용하는 경우, XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는
External Entity 기능을 악용하여 의도하지 않은 동작을 하도록 하는 취약점 입니다.
발생 원인XML Request를 파싱하는 페이지에서 발생하며 사용자로부터 XML 데이터 전문을 받거나,
DTD 정의가 가능한 경우 공격 가능합니다.
위험성서버의 로컬 파일 열람, denial of service등을 유발할 수 있습니다.
LFI, RFI설명내/외부(Local/Remote)에 있는 파일을 Include 하여 해당 파일을 실행하는 취약점 입니다.
발생 원인include(), include_once(), require() 등과 같은 함수에 사용자로부터 입력 받은 정보를 그대로 전달하는 경우에 발생합니다.
위험성해당 파일을 로드한 시스템에 임의의 명령을 실행할 수 있기 때문에 위험도가 높은 취약점 입니다.
File Download설명서버에 존재하는 파일이 의도하지 않게 클라이언트로 다운로드 되는 취약점 입니다.
해커가 원하는 파일을 임의로 다운로드 하거나 파일 내용을 노출시킬 수 있습니다.
발생 원인File Download 로직에서 파일을 클라이언트로 다운로드 할 때 입력 값 검증을 하지 않을 경우 발생합니다.
위험성공격자가 접근 권한이 없는 데이터 또는 시스템 정보 등 중요 파일을 획득할 수 있습니다.
Directory Listing설명웹 서버 내 모든 디렉터리 또는 일부 디렉터리에 대해 인덱싱이 가능하게 설정되어
디렉터리 내 파일 리스트가 노출되는 취약점입니다.
발생 원인웹 서버 설정에 의해 해당 기능이 활성화 된 경우 발생합니다. 일부 애플리케이션의 버그로도 발생할 수 있습니다.
위험성공격자가 웹 애플리케이션의 구조를 파악할 수 있으며, 민감한 정보가 포함된 설정 파일을 열람하여
다양한 공격을 시도할 수 있게 됩니다.
File Management설명웹 서버를 운영하는데 불필요한 파일이 존재하고 이에 대해 접근이 가능한 취약점입니다.
위험성시스템 정보나 데이터베이스 정보 등 중요 정보가 노출될 수 있으며 추가 공격에 활용될 수 있습니다.

이용 시 주의사항

  • 1) 수집/진단 중 스크립트가 실행되어 테스트 값이 기록되거나 데이터가 변경 또는 삭제될 수 있습니다.
    Web Security Checker는 페이지 수집 능력을 극대화하기 위해 동적으로 페이지를 방문하는 과정에서 스스로 버튼 또는 링크를 클릭하여 특정 기능이 실행될 수 있습니다. 이런 이유로 의도하지 않은 데이터의 변경, 삭제, 테스트 데이터 입력이 일부 발생할 수도 있습니다. 단, 이러한 행위가 발생하지 않도록 최대한 안전하게 설계되었음에도 개발된 코드에 따라서 불가피하게 행해지는 경우도 있습니다.
  • 2) 관리자에게 임의 메일이 발송될 수 있습니다.
    웹 서비스에서 관리자에게 메일을 발송하는 기능이 구현되어 있는 경우, 테스트 값이 삽입된 메일이 발송될 수 있습니다.
  • 3) 진단하는 동안 트래픽이 증가할 수 있습니다.
    자체 개발한 진단 알고리즘을 통해 취약점 진단 시 트래픽 발생을 최소화하였으나, 취약점 진단 솔루션 특성상 어느 정도 트래픽이 발생할 수 있습니다.
  • 4) 사이트의 응답 속도가 지연될 수 있습니다.
    Web Security Checker는 웹 취약점을 명확히 진단하기 위해 많은 HTTP 패킷을 웹 서버로 전송하고 있습니다. 이 때 사이트의 응답 속도가 느려지는 것을 막기 위해 각종 안전 장치 추가와 최적의 진단 알고리즘을 적용해 요청을 최소화하였습니다. 실제로 비슷한 동작을 하는 S/W에 비해 훨씬 더 안전하고 적은 트래픽을 발생시키고 있습니다. 그럼에도 불구하고 구현된 코드에 따라 일부 사이트의 경우 응답 속도가 지연될 수 있습니다. 특히 SQL 관련 취약점이 존재할 경우 잘못된 코딩으로 인한 지연 현상이 발생할 수도 있습니다.

더 안전하게 진단하기 위한 팁

  • 1) 테스트 환경을 이용하세요.
    Web Security Checker 는 비교적 안전하게 작동하도록 설계되어 있습니다. 그럼에도 불구하고 웹 취약점을 잘 찾기 위해 일부 의도치 않은 동작이 발생할 수 있어 주의가 필요합니다. 이러한 상황을 대비하여 알파, 베타, 개발 서버 등 리얼 서버가 아닌 테스트 환경을 이용하시면 좀 더 안전하게 진단 서비스를 받으실 수 있습니다.
  • 2) 백업과 모니터링을 이용하세요.
    위에서 설명 드린 테스트 환경을 이용하는 것과 더불어 진단 전 서비스 백업과 모니터링을 활용한다면 만에 하나 발생할 수 있는 위험을 최소화하여 좀 더 안전하게 진단을 받을 수 있습니다. ※ 네이버 클라우드 플랫폼 Monitoring 서비스가 무료로 제공되고 있습니다. 이를 활용하신다면 좀 더 안전하게 서비스를 이용할 수 있습니다.
  • 3) 제외 URL을 활용하세요.
    ‘제외 대상 정보 입력’ 기능을 통해 진단에서 제외하고자 하는 URL을 입력할 수 있습니다. 웹 서비스에 큰 영향을 줄 수 있는 페이지나 수집/진단 과정에서 페이지 내 스크립트 실행 차단이 필요한 페이지를 사전에 입력하여 진단 대상에서 제외시키세요.
  • 4) 로그인 필요 시 계정에 적절한 권한만 부여해 주세요.
    관리자 또는 개발자 계정과 같은 권한의 경우 의도치 않은 동작 발생 시 일반 계정에 비해 위험 부담이 커질 수 있습니다. Cookie 또는 ID, PW 입력을 통해 로그인 정보를 입력할 경우 해당 계정의 권한에 적절한 권한만 부여되었는지 확인이 필요합니다.
  • 5) 예약 기능을 이용해 고객 이용이 적은 시간에 진단하세요.
    서비스를 정식으로 제공 중인 경우 안전한 진단이 필수이므로, 이용자가 많은 시간보다는 이용자가 적은 새벽 시간에 진단하는 것을 권장합니다.

샘플 리포트

취약점 리포트는 진단 시 설정한 정보와 함께 취약점별 상세 정보와 구체적인 대응 방안을 포함하고 있습니다

요금 안내

Web Security Checker는 진단 횟수에 따라 부과되는 요금제를 제공합니다.

구분진단 요금
Web Security Checker (진단 횟수당)400,000원

* Web Security Checker 시스템 상의 문제로 진단이 실패한 경우 이용 요금이 과금되지 않습니다.

  • 진단 중 고객이 진단을 중지한 경우 과금되지 않습니다. (이 경우 보안 취약점 리포트도 제공되지 않습니다.)
  • 진단 중 고객 요청으로 고객지원에서 진단을 중지한 경우 과금되지 않습니다. (이 경우 보안 취약점 레포트도 제공되지 않습니다.)
  • 진단할 웹 사이트가 정상적으로 접속되지 않는 경우 과금되지 않습니다.
  • 이 외에는 정상적으로 과금이 되니, 진단 전에 확인이 필요한 사항들에 대해서 체크해주시기 바랍니다.

현재 보고 계신 페이지 내용이 도움이 되셨나요?

아쉬운 점이 있다면 이야기해 주세요.
0/5000
내용을 입력해 주세요
의견 보내기