SolidStep SaaS (인프라 취약점 진단관리 SaaS 서비스)

IT인프라 취약점 진단

2

1-1. 취약점진단 이란?

취약점 악용

現 조직의 현황파악 기술적 분석

악의적 크래커의 침투

내부 비인가자 통제 어려움

인사정보 및 기밀정보 유출

제품 설계도면 유출

서비스 거부 공격 (DoS)

서비스 차단 (Interruption)

비인가자 접근 허용

정상적인 서비스 방해

주요 데이터 유출/변조/삭제

연간 위험관리 활동 : 정보보호 컨설팅, 내부 보안감사 등

3

취약점(脆弱點, Vulnerability)은 보안상의 문제점을 안고 있는 컴퓨터 시스템의 약점으로 사소한 취약점 하나라도 매우 큰 피해를 야기 시킵니다.

취약점 진단의 컴플라이언스는 자체적으로 개선이 가능한 인프라 및 웹 취약점을 위주로 선정

1-2. 취약점진단 유형

4

CCE (Common Configuration Enumeration)

CVE (Common Vulnerabilities and Exposures)

사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람,

변조, 유출을 가능하게 하는 약점

ex) 정보통신망법의 Password 길이와 조합법

8자리 이상 숫자, 알파벳, 특수문자 조합

컴퓨터 하드웨어 또는 소프트웨어의 결함이나

체계, 설계상의 허점

ex) CVE-2017-0111, MS10-015

Microsoft Windows 커널 권한 상승 취약점

웹소스 취약점

소스코드 위변조 공격과 같은 악의적인 공격에 취약한 부분

ex) 서비스중인 홈페이지 메인 화면을 변조

COMPLIANCE COMPLIANCE

취약점 진단은 구체적으로 CCE기반과 CVE기반, 웹소스 취약점으로 나누어지며 각각 전혀 다른 형태와 수행방법으로 취약점을 점검합니다.

Infrastructure

취약점 진단 Application

취약점 진단

Web

취약점 진단

IT Infra Configuration 진단

(OS, Network, DBMS, WEB/WAS 등)

어플리케이션 취약점 진단

(Microsoft, Adobe, Open SSL, Java 등)

웹 서버의 소스 진단

(HTML, ASP, JSP, PHP 등)

1-3. 취약점 진단 실태

기존 법적 요구사항은 대기업, 공공기관, 금융기관 등에만 적용되어 있어 사실상 작은 규모의 업체들에 대해서는 의무화가 되어 있지 않은 실정입니다.

- 도로, 철도, 지하철, 공항, 항만 등 주요

교통시설

- 전력, 가스, 석유 등 에너지, 수자원

시설

- 방송중계, 국가지도통신망 시설

- 원자력, 국방과학, 첨단방위산업 관련

정부출연연구기관의 연구시설

주요정보통신기반시설 전자금융기반시설 정보보호관리체계

‘정보통신망 이용 촉진 및 정보보호

등에 관한 법률‘ 제2조 제1항 제1호의

규정에 의한 정보통신망을 말함.

‘정보통신망 이용촉진 및 정보보호

등에 관한 법률‘ 제2조 제1항 제1호에

따른 정보통신망을 말함.

- 은행

- 보험회사(생명, 손해)

- 협동조합(농협, 수협, 신협 등)

- 증권회사(선물)

- 신용카드(캐피탈 등)

- 저축은행

- 기타 금융(종합금융, 새마을금고 등)

‘정보통신망 이용촉진 및 정보보호

등에 관한 법률‘ 제47조, 정보보호

관리체계 인증 등에 관한 고시에

해당하는 아래의 기관.

- ISP, IDC, VIDC

- 정보통신서비스 부문 매출액 합 100억

이상

- 3개월간의 일평균 이용자 수 100만명

이상

- 매출이 1,500억원 이상인 의료기관

- 재학생 수 1만 명 이상의 교육기관

17개 관계 중앙행정기관 210개 관리기관 등

354 개 (2015. 11월 기준)

전자금융감독규정 대상 기관

약 500 여개 인증 의무대상

약 480 여개(2016. 6월 기준)

컴플라이언스 준수 대상의 기준

중소기업 소상공인 스타트업

? ?

?

작은 규모의 업체들은 필요성 인지 불가

5

1-3. 취약점 진단 실태

최근 개인정보보호법, 신용정보보호법, 정보통신망법 등에 의거하여 사실상 인프라 규모에 상관없이 모든 기업이 취약점 대상자가 되고 있는 추세입니다.

신용정보의 이용 및 보호에 관한 법률

정보통신망 이용촉진 및 정보보호에 관한 법률 &

개인정보보호법 개정 및 시행

정보통신기반보호법 정보보호산업진흥법의 제정

및 시행

2015년 12월 시행

해당 시설을 안정적으로 운용하여 국가의

안전과 구민생활의 안정을 보장하는 것이 목적

2016년 시행

정보보호제품, 서비스의 수요 정보공개

정보보호 제품/서비스에 대한 평가

기술경쟁력 향상 및 우수 인력 육성 추진

2016년 9월 시행

개인신용정보 강화

금융회사 신보법, 개정법, 정통망법간 중첩

해소

빅데이터 활용 근거 및 규정

2016년 7월 시행

기업 규모, 개인정보 보유량에 따라 안전조치

의무 차등화

개인정보처리 방침

정보처리 현황 정기조사

정통망법, 신보법, 개정법 등의 시행 및 강화

6

전 기관 및 기업이

취약점 대상자!!

중소기업 정보보안 투자 실태

7

2-1. 정보보안 수준의 양극화

컴플라이언스 준수 대상에 포함되지 않을 뿐만 아니라 보안 솔루션 구축 시 과도한 비용이 발생하여 작은 규모의 기업체는 현실적으로 솔루션을 구축하기 어려워 정보보안 수준의 양극화가 발생하는 실정입니다.

8

컴플라이언스 준수 대상 X 정보보안 솔루션 구축 예산 X

소상공인, 중소기업

대기업, 공공기관, 금융기관

2-2. 취약점으로 인한 해킹 사태

규제화되지 않은 상황 및 투자 부족으로 인해 최근 미비한 보안수준으로 인해 해커들의 표적이 되고 있는 중소기업/소상공인의 피해가 막대합니다.

9

I’m HACKER!

마케팅 센터 웹서버

서비스 관리 웹서버

1. 취약점 수집

2. 세션값 탈취

3. 관리자우회접속

4. 정보 조회&유출

취약점 조회

세션값 조회

개인정보 조회 DB서버

숙박 검색 서비스 업체 ‘Y사’ 해킹 경위 사례

출처 : 미래부·방통위

회원정보 약 97만건 유출

책임자 징계 등 행정처분

과징금 3억 100만원 부과

브랜드 가치 하락 및 사업 존속 타격

전형적인 중소기업/스타트업의

보안인식 부족 사례

2-3. 정보보안 투자 실태

대다수의 중소기업&소상공인은 정보보안에 대한 투자의 필요성을 느끼고 있지만 담당자 부재 및 마련되지 않은 기술적 조치방안 등으로 인해 실효성 있는 대비책을 만들지 못하고 있습니다.

10

기업의 중요정보 보유 유무

기업에서 외부유출 시 피해가 예상되는

중요정보를 보유하고 있습니까?

80.9%

YES

해당 중요정보는 무엇입니까?

기술정보 (설계도면 등)

52.9% 경영정보(재무, 영업, 인사 등)

고객정보

50.1%

39.1%

특허·실용신안

32.4%

기업의 정보보안 분야 소극적 투자 원인

기업 존속에 중요한 정보들을 대부분 보유!

기업의 정보보안 관리 상태

정보보안 책임자가 있나요?

NO NO 기술적 조치방안이

있나요?

64% 67% 지정된 담당자가 없어 관리가 어려움 기술적 조치방안이 마련되어 있지 않음

대다수가 정보보안 분야에 대비책을 마련하지 못함!

비싼 비용에 대한 부담 보안 전문가의 부재 기술적 부분 이해 부족

50% 16% 15%

출처 : 지란지교소프트 오피스키퍼

고비용 및 담당자 부재로 인한

정보보안 대책 마련 불가 !!

2-4. 정보보호의 우선순위

다양한 정보보호 분야 중 중요하지 않은 것은 없지만, 현실적인 문제들을 극복 가능하고, 저렴한 비용으로 해커의 침입을 원천 봉쇄할 수 있는 인프라 취약점 진단 관리가 우선적으로 수행되어야 합니다.

11

지속적으로 서버 안정성 확보

대기업, 공공기관과 동일한 고품질 서비스

보안 피해를 막는 가장 기본적인 진단, 관리

1 내구성

2 비밀번호

3 안정성

출입문을 통과한 해커가 아무 것도 건드릴 수 없는 견고한 금고가 필요!

SECaaS 형태의

인프라 취약점 진단 관리

12

3-1. SECaaS란?

SECaaS(Security as a Service)는 SaaS의 한 종류로 클라우드를 이용해 고객이 원하는 보안 서비스를 제공하는 것을 말합니다.

13

SECURITY SaaS { 보안 } { 서비스로서의 소프트웨어 }

SECaaS (Security as a Service)

▶ 서비스로서의 보안 “ ”

클라우드를 이용해 고객이 원하는 보안 서비스를 제공

3-2. SECaaS의 특장점

경제적 측면에서 봤을 때 인프라 규모에 맞게 비용을 지불하기 때문에 비용이 저렴한 편이며, 최신 보안 범위를 제공하여 데이터베이스가 지속적으로 업데이트 되는 큰 장점이 있습니다.

14

애플리케이션

데이터

런타임

미들웨어

운영체제

가상화

서버

스토리지

네트워크

애플리케이션

데이터

런타임

미들웨어

운영체제

가상화

서버

스토리지

네트워크

전통적인 IT SECaaS

기업관리

영역

서비스 제공

영역

출처 : Microsoft, 교보증권 리서치센터

ONE

장비 및 소프트웨어 구매

없이 웹 상에서 사용

TWO

별도의 프로그램 설치가

요구되지 않음

THREE

원하는 시간과 장소에서

사용 가능

FOUR

자동 업그레이드 및

패치 작업

3-3. 기존 취약점 진단관리 방식과의 차이점

보안 및 취약점 관리 기술은 기존에 컨설팅 기반의 Script 방식과 Standard alone 방식으로 진행되고 있으며, SECaaS 방식은 기존 방식들의 고비용&저효율을 해결합니다.

15

구 분 컨설팅 기반의

Script 방식

Standard alone

방식 SECaaS 방식

방 식 다양한 IT인프라 환경에 맞춰

직접 컨설턴트가 Script를 통해

취약점을 진단 & 관리하는 방식

IT인프라 환경 내에 Manager 및

서버별 Agent를 설치하여

진단하는 방식

별도의 구축 없이

SaaS형태로 웹 상에서

진단하는 방식

특 징 융통성 있는 진단이 가능하지만

샘플링 진단으로 인한

정확한 진단 & 관리가 불가능

손쉬운 전수검사가 가능하나,

높은 구축 및 운영 비용으로 인해

구축 진입 장벽이 높음

고객의 인프라 환경에 맞춘 라이센스 구매

로 비용절감

대규모 인프라 환경에서 제공받는 고품질

서비스 제공

전체 IT인프라 커버리지 가능

중앙 서버 설치 X, 설치 비용 X 기존 방식 대비

80% 비용 절감 효과!!

3-4. 인프라 취약점 진단관리 SECaaS – SolidStep SaaS

기존 취약점 진단 방식들에서 SECaaS의 이점만을 더해 탄생한 혁신적인 서비스가 바로 SolidStep SaaS입니다.

16

sampling진단

수집기 분석기

템플릿

레포터

컨설팅 기반 Script 방식

Standard alone 방식

국내 최초 SECaaS방식의

인프라 취약점 진단관리 클라우드 서비스

SaaS

SolidStep SaaS

17

4-1. 인프라 취약점 진단 서비스 – SolidStep SaaS

SolidStep SaaS는 국내 최초 SECaaS방식의 인프라 취약점 진단관리 서비스로 절감된 비용으로 소상공인과 스타트업, 중소기업 등 작은 규모의 IT 인프라를 보호하는 최상의 서비스입니다.

수집기

취약점 분석기

레포터

분석기

개인 기업

AGENT

인프라 취약점 점검 영역

플랫폼 별 라이센스 구매

(커스터마이징)

최적화 서비스 대상

소상공인 Start-UP 중소기업

18

SaaS

4-2. SolidStep SaaS 주요 기능

SolidStep SaaS는 크게 자산 관리, 보고서, 진단 및 이력관리, 조치관리 등 4개의 기능을 가지고 있습니다.

19

자산 관리

자동, 수동, 원격을 통한 다양한 자산 등록 방식

OS, DBMS, WEB/WAS, Network 별

다양한 플랫폼 진단

그룹별 관리자를 지정하여 자산 관리 가능

통합관리자를 통한 진단 이행의 원활한 관리

진단 이력관리

사용자 그룹, 자산별 진단이력 확인

진단이력 엑셀 다운로드

시스템 정보 수집 현황 확인 가능

진단 상태 확인 가능(Percentage)

진단 중 멀티태스킹 가능

조치관리

취약 항목에 대한 구체적인 정보 제시

보안 점수 향상 가이드 제공

사전/사후 조치관리

조치 담당자 지정

조치 처리 내역 확인

조치진행 과정이 미진한

자산, 항목, 담당자 통계 확인

보고서

전체 요약보고서 제공

개별, 자산, 그룹별 엑셀 보고서 제공

엑셀 보고서를 통한 문서작업 가능

보고서 수집일시 제공

상세한 조치 방법 제공

SolidStep은 편의성을 극대화 하기 위한 플랫 메뉴 방식의 화면과 무엇이든 검색 가능한 토큰 인터페이스를 제공합니다.

3 분할 화면 *사용편의를 위해 상/좌 패널은 항상 고정* -상) 진단실행, 각종 필터, 시스템 리소스 대시보드 -좌) 자산/항목/템플릿 -우) 진단관련 모든 정보 각종 아이콘과 색상으로 클릭 없이 모든 정보 표시

꼭 봐야 하는 지표들만 대시보드 화 진단 현황/검색/필터

진단 항목 사용 현황 검색/필터/예외 등

20

4-2. 주요 기능 – UI like Gmail

진단이력 정보를 한눈에

192.10.10.1_Unix

3개의 DB 인스턴스를 하나의 자산으로 처리 ERP보안 이슈 처리담당은? 타 팀의 DB도 접근가능??

IT 팀 인사팀 재무회계팀

ERP

보안 진단+이행의 책임을 명쾌하게 분리

192.10.10.1_Unix

192.10.10.1_ERP 192.10.10.1_인사 192.10.10.1_재무

진단 책임 192.10.10.1_Unix

192.10.10.1_DBMS

192.10.10.1_DBMS 192.10.10.1_DBMS

192.10.10.1_DBMS

ERP 인사DB 재무회계

IT 팀 인사팀 재무회계팀

진단 책임 192.10.10.1_Unix

192.10.10.1_ERP

192.10.10.1_인사 192.10.10.1_재무

물리 or IP로 자산을 등록하는 기존 방식은 자산등록 및 할당 시 중복 이슈가 발생하여 보안관리의 한계가 있으나, Solid

Step SaaS는 자산(인스턴스)의 논리적 등록으로 진단/이행부서 간 원활한 업무진행이 가능합니다.

21

4-2. 주요 기능 – 자산관리

자세한 진단 항목 정의

진단업무에 최적화된 UI로 구성되어 ‘진단실행’을 위한 접근성을 극대화하였고, 즉각적인 오류 통보로 진단 템플릿을 생성/

적용을 신속히 수행할 수 있습니다.

3 Steps, OK !

1. 진단대상 선택 2. 진단실행 3. 시작

중복 ID 자동 체크

중복 넘버링 체크

즉각적인 오류검증 빠르고 쉬운 진단 템플릿 생성

1

3

다양한 진단 대상의 지원 2

고객환경에 따라 처리할 수 있는 예외를 설정으로 정리

4 조치방법의 보고서, 웹UI 구분하여 설정, 세부설정의 문법 컬러링 표시

22

4-2. 주요 기능 – 진단 실행

제외 대상 포함하여 보안점수 측정

원격 연결 방법을 통한 진단 포함

모든 대상에 대해 다시 진단(기 진단 대상을 포함)

기간 내 진단결과를 포함하여, 진단 내역이 없는 대상만 진단 후 종합적인 진단 결과 추출

진단명이 없어도 생성 가능 적용 템플릿도 WISWIG 수정

오래 전 수행한 진단

중복 항목이 있는 진단

별도로 진행한

원격연결 진단

AS-IS TO-BE

다양한 고객대상의 컨설팅 수행경험으로 보안진단 시 이슈사항을 예외처리(옵션)항목으로 구현, 진단결과를 편리하게 취합이 가능합니다.

23

4-2. 주요 기능 – 진단 옵션

조치기한 설정 가능

SaaS

수 많은 고객사에서 검증된 보안진단 ‘보고서’는 (1)컨설턴트의 수작업과 100% 동일한 엑셀 보고서로 추출하고, (2)결과상세를 한눈에 알 수 있는 뷰어 기능으로 한층 강화하였습니다.

엑셀보고서와 연결된 상세데이터 뷰어 제공

컨설턴트가 진단 결과를 취합하고 설명을 추가했던 보고서를 버튼 1번으로 실행/추출

보고서와 상세 내용은 웹에서도 편리하게 제공

24

4-2. 주요 기능 – 보고서

변경감시 기능 및 진단 결과 보고서를 상호 비교 후 취약점 조치 결과의 구체적인 현황 파악 및 대응이 가능합니다.

4-2. 주요 기능 – 보고서 비교

25

취약점 진단 후 ‘조치 및 이력관리’를 보안담당자와 운영자 간 승인절차를 제공해 내부 합의된 프로세스로 진행이 가능합니다.

담당자별 할일 통계

승인절차를 통해서만, 예외, 대체처리등 가능

26

4-2. 주요 기능 – 조치관리

SolidStep SaaS는 아래와 같이 크게 6가지의 특장점을 가지고 있습니다.

27

4-3. SolidStep SaaS - 특장점

초고속

전수진단

고급 취약점

진단 서비스

합리적인

가격

컴플라이언스

100% 대응

고객맞춤

라이센스

구매

넓은 진단

가능 범위

SolidStep SaaS

Tech. Consulting

기술 컨설팅

미래창조과학부 지정

지식정보보안컨설팅전문업체

취약점진단(컨설팅)을

가장 잘 알고 있는 회사에서

만들었습니다.

SaaS

기존 샘플링 진단이 아닌 전 인프라 전수 진단을 자동화로 수행하여 시간, 비용 리소스를 약 300배 이상 절감합니다.

28

4-3. 특장점 – 초고속 전수진단

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

O K

취약점 진단 자동화 : 시간, 비용 리소스 절감

인프라 전수 진단 : 잔여 취약점 제거

정책 및 지침의 이행 보장

법규 및 컴플라이언스 완벽 대응

As - Is To - Be

SaaS

대기업, 금융기관 등에게 제공하는 핵심 진단기술을 동일하게 적용하여 작은 규모의 기업체에게도 고품질의 서비스를 제공합니다.

29

4-3. 특장점 – 고급 취약점 진단 서비스

SERVICE

대기업 금융기관 중소기업 스타트업

동일한 핵심 진단기술 적용!

컨설팅 인력 및 어플라이언스 장비 구축이 필요하지 않아 웹상에서 간편하게 기존 방식보다 최대 1/10 수준의 절감된 가격으로 진단이 가능합니다.

30

4-3. 특장점 – 합리적인 가격

1M/M

….. Server 500EA

….. Agent 500EA

1EA

License X EA

인프라 규모에 맞게 조절

500

컨설팅 기반의 Script 방식

Standard alone 방식

SECaaS 진단 방식

1/10 절감!!

기존 취약점 진단관리에 관한 법규 항목뿐만 아니라 최신 규정 및 개정된 개보법, 정통망법, 신보법 등 국내 주요 법규 항목을 100% 완벽 대응합니다.

31

4-3. 특장점 – 컴플라이언스 100% 대응

NIST, ITIL, Cobit

대외적으로 오픈된 알려진 항목 (내부 환경과 큰 GAP이 존재)

대부분 외국 기준으로 진단하여 국내환경 적용이 미흡

컨설팅을 대체할 만큼의 수준의 진단이 불가 (항목 및 수준)

관련 법률 및 컴플라이언스 진단항목은 반드시 포함

내 · 외부의 다방면으로 주요 보안기준을 만족

클라우드 서비스를 통한 ROI 확보 보장

FFIEC, HIPPA

PCI-DSS

Zero-Day, CVE

ISO17799,27001

정보통신망법, I.S.M.S.

ISO/IEC 27001:2013

개인정보보호법, P.I.M.S.

금융위원회 전자금융기반시설

정보통신기반보호법 주요정보통신기반시설

타사 취약점 진단 방식 인프라 취약점 진단관리 클라우드 서비스

: Non-Compliance Item : Compliance Item : Non-Compliance Item : Compliance Item

고객의 다양한 IT인프라 환경에 맞게 라이센스를 구매 & 구축이 가능합니다.

32

4-3. 특장점 – 고객맞춤 라이센스 구매

A Group

B Group

C Group

고객의 인프라 환경에 상관없이

라이선스 구매 & 구축 가능

D Group

6 4 9 3 10 8 4 1 Windows WEB Linux WAS Linux DBMS Windows WAS

인프라 취약점 진단 클라우드 서비스를 제공받을 수 있는 가장 넓은 진단 범위를 자랑합니다.

33

4-3. 특장점 – 넓은 진단 가능 범위

타입 플랫폼 지원 버전

OS

Windows * PC계열 - Vista/7/8/10, 서버계열 - 2003/2003 R2/2008/2008 R2/2010/2012

Linux * glibc2.4 ~ 4.5, Redhat 계열, Debian 계열

IBM - AIX * 5.1 ~ 7.2

HP - UX * PA-RISC 11.00 이상, itanium11.23 이상

Oracle Solaris * SPARC 5.7 ~ 5.9, x86 10 ~ 11

DBMS

Oracle * Oracle database 8/9/10/11/12 (12C 제외)

MSSQL * Microsoft SQL server 2000 ~ 2014

MySQL * MySQL 5.0 ~ 5.6

IBM - DB2 * DB2 9/10

Sysbase * Sysbase Database ASE 15.7 ~ 16.0

Tmax - Tibero * Tibero 5 ~ 6

Altibase * Altibase Database 6 ~ 6.5

Postgre SQL * PostgreSQL 9.1 ~ 9.6 (PPAS 지원)

MariaDB * MariaDB 5.1 ~ 5.5, 10.0 ~ 10.2

WEB

Apache * Apache 1 ~ 2

IIS * IIS 6 ~ 8

Tmax WebToB * Tmax WebToB 4.1

Oracle Http Server * 11g, 12g

Iplanet * Iplanet 6.1

WAS

Apache Tomcat * Apache Tomcat 5 ~ 9

Oracle Weblogic Server * Oracle Weblogic Server 10 ~ 11

Tmax JEUS * Tmax JEUS 5 ~7

IBM WebSphere * IBM WebSphere 8

Nginx * Nginx 1.4 ~ 1.10

Jboss * Jboss 5 ~ 7

Resin * Resin 2 ~ 3

NETWORK

Cisco * IOS XE, XR 가능

Juniper * Junos OS 12.1X45 ~ Junos OS 16.1

HP(3COM) * 3Com H3C - 지원 모델명 4500, 5500, 4200G, 4500G, 4800G, 5500G, 7750, 7900E, 8800

Alteon * Alteon OS - version 23.2.2, version 24.0.7

Alcatel * Alcatel AOS - 지원 모델명 6400, 6850, 6850E, 6855,. 9000E

Extreme * ExtremeXOS

사상누각 (沙上樓閣)

모래위에 세운 누각이라는 뜻으로,

기초가 튼튼하지 못하여 오래가지 못할 일을 비유적으로 이르는 말

인프라 보안관리

A.P.T

Cloud

악성코드 Big Data

C.V.E

IoT

문서보안

Mobile

어플리케이션 Zero-Day

중요하지 않은 보안은 없습니다. 다만 가장 시급하고 기본이 되는 우선순위는 분명 있습니다.

지금 바로 가장 기본적인 보안을 시작하세요!!

34

CONTACT US

서울시 구로구 구로3동 222-3 JnK디지털타워 1606호

Tel. 02) 6959-0126~7

E-mail : biz@ssrinc.co.kr

행정자치부 지정 개인정보 영향평가 기관 미래창조과학부 지정 지식정보보안 컨설팅 전문업체