2019-11-16 17:52 (토)
웹 취약점과 악성코드 유포 이대로 방치하다간...
상태바
웹 취약점과 악성코드 유포 이대로 방치하다간...
  • 길민권
  • 승인 2011.09.01 20:14
이 기사를 공유합니다

SQL Injection 취약점, XSS 등 신속한 진단과 악성코드 유포 확인 중요!
최근 주말마다 P2P 사이트나 언론 사이트, 커뮤니티 사이트 등에는 사이버 범죄자들이 심어 놓은 악성코드가 활개를 치고 있다. 범죄자들은 이렇게 유포된 악성코드를 통해 정보유출도 시도하고 좀비 PC도 만들어 DDoS 공격에도 사용하고 있다. 하지만 사이트 담당자들은 특별한 대책도 새우지 못하고 그냥 당하고만 있는 실정이다. 
(사진출처. www.flickr.com / by protohiro)
 
특히 가장 많은 비중을 차지하고 있는 SQL Injection 취약점과 XSS(Cross-site Scripting) 공격들에대한 방어는 거의 무방비로 방치된 상태다. 혹시 우리 사이트가 악성코드를 유포하고 있는지 아닌지 정확히 진단해 볼 수는 없을까? 또 웹 취약점의 원인부분을 정확히 지적해주고 웹 소스 상에서 문제점을 손쉽게 해결할 수 있는 솔루션은 없는 것일까?
 
빛스캔(대표 문일준 scan.bitscan.co.kr)은 개인 및 소호(SOHO) 이용자들을 위한 웹 취약점 점검 서비스와 악성코드 유포경유지 진단 서비스를 상용화해 제공한다고 밝혔다.
 
이번에 출시된 웹 취약점 점검 서비스인 비트스캐너는 이용자가 직접 웹 취약점을 실시간으로 진단하고, 그 결과를 일목요연한 보고서로 받아 볼 수 있으며, 보고서를 바탕으로 웹 소스의 취약점을 해결하여 웹 보안을 대폭 향상 시킬 수 있다는 것이 특징이다.
 
문일준 빛스캔 대표는 “비트스캐너 서비스는 OWASP Top 10에서 가장 높은 순위를 차지하고 있는 SQL Injection 취약점, XSS(Cross-site Scripting)에 대한 신속한 진단이 가능하며, 프로그래밍 상의 오류인 내부 서버 오류(Internal Server Error), 예외 오류(Exceptional Error) 등도 진단이 가능하다”며 또 “웹 애플리케이션에서 가장 많은 문제점으로 지적받고 있는 URL인자에 대한 유효성 체크 (validation check)에 최적화 되어 있다”고 설명했다.
 
또 그는 “비트스캐너 서비스와 더불어 최근 많은 이슈가 발생하고 있는 P2P 사이트에서 악성코드를 유포하는 행위를 진단하고 이를 해결할 수 있는 악성코드 유포경유지 진단 서비스 비트파인더 서비스도 출시했다”며 “비트스캐너 서비스와 마찬가지로 사용자가 웹 기반의 인터페이스를 통해 손쉽게 가입, 도메인 등록, 점검 등을 수행할 수 있다”고 강조했다.
 
농협 사건, 3.3 DDoS 사건에서 볼 수 있듯이 공격자들은 이용자가 많은 웹사이트에 악성코드를 감염시킬 수 있는 URL(경로)을 삽입하거나 웹 컨텐츠를 변조하는 방식으로 꾸준히 공격해 오고 있다. 비트파인더 서비스는 보유한 웹사이트에서 이러한 유포 행위가 발생하고 있는지 직접 확인할 수 있는 최적화 서비스다.
 
◇비트스캐너 서비스=이 서비스의 기능적 특징을 자세히 살펴보면, 우선 SQL Injection, XSS(Cross-Site Scripting), Internal Server Error, Exceptional Error 등을 진단하며 모든 웹개발 언어의 인자 유효성 체크가 가능하다.
 
또 MS-SQL, MySQL, Oracle과 같은 상용 및 무료 DBMS를 지원하며 웹기반의 진단 서비스로 기존의 SW 설치 방식인 패키지에 비해 사용자의 인터페이스가 획기적으로 개선돼 등록 이후 원클릭으로 진단이 가능하다.
 
특히 오픈 전 사이트뿐만 아니라 현재 운영중인 웹사이트에서도 장애 및 기타 문제 발생없이 웹취약점을 진단할 수 있고 웹 취약점의 원인부분을 정확히 지적함으로써 웹 소스 상에서 문제점을 손쉽게 해결할 수 있는 가이드도 제공한다.
 
발견된 취약점은 HTML로 제작된 보고서를 통해 보안관리자에게 제공되며, 보고서 내에는 취약점에 대한 해결방안도 포함돼 있다. 이를 통해 꾸준한 그리고 반복된 보안 코딩을 개발자가 직접 경험함으로써 소프트웨어 개발 과정에서부터 보안을 강화할 수 있다.
 
◇비트파인더 서비스=비트파인더 서비스는 운영중인 웹사이트에서 해당 사이트가 악성코드를 유포하는지 실시간으로 점검할 수 있다.
 
특히 기존 서비스가 통계에 기반하고 있어 정확성이 떨어지는데 반해 이 서비스는 크롤링 기반의 최신 기술로 진단하므로 정확성이 대폭 개선되었으며, 발견된 악성코드 링크를 방화벽이나 IDS의 차단 정책에 추가함으로써 백신이 진단하지 못하는 부분까지도 초기에 빠른 대응이 가능하다.
 
또 비정상적인 형태의 외부 링크를 모두 진단하고 이중 개발자 및 운영자가 선별하여 악성 URL에 대한 대응도 가능하고 발견된 악성코드 유포 경유지는 HTML로 제작된 보고서를 통해 제공된다. 더욱이 유포지에 대한 정확한 URL 정보도 포함한다. 현재는 무료 서비스로 제공한다.
 
문 대표는 “글로벌 시장에서도 온라인으로 실시간 제공되는 웹 취약점 점검 서비스는 없다. 비트파인더와 비트스캔 서비스는 최초의 모델이 될 것”이라며 “이 서비스를 국내에서 처음 오픈하게 되어 막중한 책임감과 함께 국내 인터넷 위험을 개선시키는데 큰 도움이 될 것이라고 확신한다”고 말했다.
 
빛스캔(http://www.bitscan.co.kr/)은 KAIST 사이버보안연구센터(주대준 센터장 csrc.kaist.ac.kr)와 적극적인 협력을 통해 개념차원의 서비스모델을 상용화 수준으로 발전시켰다. 향후 국내뿐 아니라 해외에서도 적극적인 SaaS (Security as a Service) 모델을 제공 함으로써 인터넷 환경의 위험을 개선 시키는데 도움을 주고자 설립됐으며 세상을 널리 이롭게 만들자는 것이 기업 모토다. [데일리시큐=길민권 기자]