Fortify Software - Application 보안2008. 02.

2www.esvali.com

I. Fortify Software 소개

CONTENTS 애플리케이션 보안 예방방안 유형 비교 요구사항 보안 동향 주요 취약점 Fortify Software 분석 로직 운영방안 적용사례 국내 레퍼런스 해외 레퍼런스

목 차

3www.esvali.com

I. Fortify Software 소개 – 애플리케이션 해킹 기존 보안의 한계

■ HTTP(S) 트래픽은 합법적으로 간주■ HTTP(S) 트래픽은 합법적으로 간주

Telnet, FTP, NETBIOS, RPC…

WebServer

DB

DB

Web app

WebClient Web app

Web app

Web app

/cgi-bin/phf

/cgi-bin/printenv IDS

Firew

all

Hacker

알려진 공격에는 효과적인 차단 가능 (Black List 기반 )

Black List 의 업데이트 필수 1 세대 웹 공격 ( 단순 도구를 이용한 웹 공격 ) 에는 효과적이나 2 세대 공격 ( 웹 지식 및 도구 이용 ) 에는 무력

* SQL Injection ID:Admin PWD: ‘ or 1=1 --

웹 서버 웹 어플리케이션 데이터베이스 방화벽

웹 브라우져

4www.esvali.com

I. Fortify Software 소개 애플리케이션 취약점을 이용한 사고 사례

구분 세부 내용

사례 A

구 버전의 JSP 엔진 (Resin Server) 의 취약점 존재 해당 취약점을 이용해 Directory Traversal 가능 시스템 주요 설정파일 노출 (DB Connect) 획득한 정보를 이용해 외부에서 Database Server 접속 공격 수행시간 : 5~15 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함

사례 B

웹 컨텐츠 배포자의 환경 설정 취약점을 이용 이미 오래 전부터 알려진 공격 기법을 이용 시스템 설정 오류가 아닌 어플리케이션의 취약한 코드를 이용 단 3 번의 명령 실행으로 공격 성공 (SQL Injection) 공격 수행시간 : 5~10 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함

사례 C

웹 컨텐츠 배포자의 환경 설정 취약점을 이용 윈도우의 경우 WebDAV 나 Front Page Server Extension 다수의 개발자들이 컨텐츠 배포의 편의를 의해 사용 웹서버의 가상디렉토리가 Everyone 에 쓰기 권한 활성화 공격 수행시간 : 5~10 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함

사례 D

웹 컨텐츠 배포자의 환경 설정 취약점을 이용 회원들에게 기념우표 발행에 대한 정보 제공 및 구입 신청 홈페이지 일반회원이 로그인한 상태에서 파라미터 변조 시도 주요 정보를 GET 데이터를 통해 전송함 사용자 인증을 단순히 ID 값으로만 수행 공격 수행시간 : 1 분 , 공격 탐지 : 탐지 안됨 . 관리자 인지 못함

■ 최근 애플리케이션 취약점을 이용한 웹 해킹사고가 대형 포털 및 공공기관 등의 전 분야에 걸쳐 발생하고 있음■ 최근 애플리케이션 취약점을 이용한 웹 해킹사고가 대형 포털 및 공공기관 등의 전 분야에 걸쳐 발생하고 있음

5www.esvali.com

I. Fortify Software 소개 애플리케이션 취약점을 이용한 공격

“Now is the time for security at Application Level”, Dec. 2005, Gartner

6www.esvali.com

I. Fortify Software 소개 애플리케이션 보안 특징 및 현실

- 개발자 참여 필요 취약점 조치는 개발자가 수행해야 함- 기능성 , 가용성 , 편의성이 개발자들의 주된 목표 , 또한 프로젝트 기간 내에 코딩을 완료해야 함- 현실적으로 보안을 고려하여 코딩 할 수 있는 개발자 부재- “ 보안 코딩 가이드”는 있으나 준수 한계 코딩단계부터 적용 가능한 보안 방안 부재

개발자

운영자

보안 관리자 / IT 관리자

- 애플리케이션 상세 이해 한계- 보안 코딩 가이드 준수 여부에 대한 검증 장치 혹은 프로세스 미비 ( 매뉴얼 리뷰 , 컨설팅 )- 외주 개발 애플리케이션에 대한 보안 검증 장치 부재 ( 개발사 몫 ?) - 국제규정 및 감독기관 , 외부 규정을 준수하는 개발보안 필요

- 네트워크 , 시스템 및 애플리케이션의 가용성 유지해야 함 - 애플리케이션에 대한 상세 이해 부족 - 운영단계에서 애플리케이션 취약점 조치 어려움 - 현실적으로 전수검사 불가능

개발 라이프 사이클 (SDL) 내의 보안 방안 부재업무별 적정 프로세스 및 솔루션 부재

7www.esvali.com

I. Fortify Software 소개 예방방안 – 웹 방화벽

■ 웹 방화벽 솔루션은 웹 프로그래밍 오류 및 자동화 공격 툴을 이용한 웹 해킹 탐지 및 차단 수행■ 웹 방화벽 솔루션은 웹 프로그래밍 오류 및 자동화 공격 툴을 이용한 웹 해킹 탐지 및 차단 수행

구분 세부 설명

특징

애플리케이션 수정 없이 애플리케이션 공격 방어 웹서버 , 애플리케이션 서버등의 설정 오류로 인한 취약점 방어 애플리케이션 개발 언어 및 환경의 제약 없이 공격 방어 웹을 통한 공격 시도 탐지

한계

룰 설정을 위해서는 애플리케이션에 대한 분석이 수행되어야 함 룰 설정이 방대하고 까다로움 애플리케이션 변경시 룰 수정 필요 웹 서버 성능 저하요소

사용주체

시스템 / 네트워크 관리자 애플리케이션 운영자

주요 기능 및 특징서비스 구성서비스 구성

Web F/W

SwitchFirewall

서비스 통과패킷

수집 및 분석

관리자 Console

Attacker

DBMS

Public Web

Server

Database

WebApplication

IntranetWeb

Server

SQL SlammerCode Red Nimda Forceful SQL injection Site

:

AT

TA

CK

S

경보

Manager

HTTP Request

Internet

8www.esvali.com

I. Fortify Software 소개 – 예방방안 웹 스캐너

■ 전문 엔진을 사용하여 웹 애플리케이션 및 웹 서버 모의 공격 테스트 후 취약점 도출■ 전문 엔진을 사용하여 웹 애플리케이션 및 웹 서버 모의 공격 테스트 후 취약점 도출

구분 세부 설명

특징

애플리케이션에 존재하는 취약점 도출 사용의 편의성 웹서버 , 애플리케이션 서버등의 설정 오류로 인한 취약점 도출 웹 애플리케이션 개발 언어 및 환경의 제약 없이 취약점 도출 단시간에 대량의 모의공격 테스트 후 취약점 도출

한계

개발 완료된 애플리케이션에 대해서만 취약점 분석 가능 매일 update 되는 애플리케이션에 대한 대응 한계 점검 결과에 대한 실 적용 한계 ( 소스코드 변경 내용 파악 어려움 ) 오탐율

사용주체 QA/ 감사자 애플리케이션 테스트 요원 보안관리자 /CERT

주요 기능 및 특징서비스 구성서비스 구성

SwitchFirewall

관리자 Console

Public Web

Server

Database

WebApplication

IntranetWeb

ServerPenn Test( 내부망 )

Internet

Penn Test( 외부망 )

9www.esvali.com

I. Fortify Software 소개 예방방안 – 소스코드 분석

■ 애플리케이션 소스코드에 대해 전문 엔진을 사용하여 분석 후 취약점 도출■ 애플리케이션 소스코드에 대해 전문 엔진을 사용하여 분석 후 취약점 도출

구분 세부 설명

특징

애플리케이션 소스코드 관점의 진단결과 도출 소스코드 관점의 리포트 제공으로 취약점 수정 용이 단시간에 대량의 소스코드 분석 개발중인 애플리케이션에 대한 취약점 분석 개발 프로세스와 연동

한계

진단가능 언어 제한 웹서버 , 애플리케이션 서버등의 설정 오류로 인한 취약점 도출 한계 소스코드 미 보유시 진단 불가

사용주체

개발자 QA/ 감사자 보안 관리자 프로젝트 관리자

주요 기능 및 특징서비스 구성서비스 구성

보안 관리 소스코드 분석

보안 분석정책편집

보안정책

보안팀

경영층

CISO, CSO, CTO, CIO

코드

보안정책

레포트

전사보안정책

CCO, CSO

코드

보안

관리자

개발자 / 테스터IDE Plug-ins

보안결함

개발팀

개발 1팀

개발 2팀

개발 3팀

개발관리자Build Server

보안분석

외주개발

10www.esvali.com

I. Fortify Software 소개 애플리케이션 보안 유형 비교

애플리케이션 소스 취약점 점검 웹 애플리케이션 스캐너 웹 애플리케이션 방화벽

목표 보안성이 확보된 전사 애플리케이션 개발 및 구축 웹 취약점 점검 및 조치 웹 공격방어

사용목적 애플리케이션 근본 취약점 발견 및 조치 웹 애플리케이션 취약점 발견 및 조치 웹 서버 및 웹 애플리케이션 방어

형태 자체 엔진에 의한 취약점 점검 자체 엔진에 의한 취약점 점검 Proxy 방식

점검 관점 관리자 , 개발자 관점 공격자 관점 관리자 관점

사용 방법 전문 소프트웨어 및 지식에 의한 점검 전문 소프트웨어 및 지식에 의한 점검 룰 세팅에 의한 공격 방어

점검시점 개발단계 , 구축단계 , 실 운영환경 실 운영환경 ( 웹 애플리케이션 개발 완료 후 )

실 운영환경 ( 웹 애플리케이션 개발 완료 후 )

대상 애플리케이션

웹 애플리케이션 + 기업 애플리케이션 소스 (C, C++, C#, JAVA, JSP, PL/SQL)

웹 애플리케이션 웹 애플리케이션

점검 대상 Front-end + Back-end 애플리케이션 Front-end 웹 애플리케이션 웹 서버

점검 수준 취약 프로그램 소스 파일 , 라인 , 취약함수 취약 웹 애플리케이션 프로그램명 해당사항 없음

점검 항목 기업 애플리케이션 전체 웹 애플리케이션 해당사항 없음

향후 운영 용이 ( 도구 사용에 의한 자체 인원에 의한 주기적 점검 )

용이 ( 도구 사용에 의한 자체 인원에 의한 주기적 점검 )

어려움 ( 공격 유형에 따른 대처 )

기타

보안 감사도구로 활용외주소스에 대한 보안감사SDLC 단계별 보안성 검토 가능개발시 보안 metrics 구축

보안 감사도구로 활용웹 매플리케이션에만 국한됨

네트웍 운영환경 변경웹 서버의 가용성 및 성능에 영향 미침웹 애플리케이션에만 국한됨

11www.esvali.com

I. Fortify Software 소개 애플리케이션 보안 요구사항

• “APPs 개발자 보안 지침 가이드” 교육• SDLC 단계 별 보안성 검토 프로세스 개선

• 소스코드 취약점 분석• 취약점 감사• 취약점 개선

• 애플리케이션 취약점 분석• 취약점 감사• 취약점 개선

• 애플리케이션 변화관리 보안성 감사• 신규 보안 취약점 감사• 주기적인 보안 취약점 감사• 애플리케이션 방어

○ 개발 단계 별 보안 요구사항소프트웨어 개발 라이프 사이클 단계인 “계획코딩테스트운영” 단계의 모든 단계 별로 보안성 검토 프로세스를 추가 도입 한다 . 기존 애플리케이션 개발 방법에 따른 보안상의 취약점 발생을 사전에 방지하고 , 향후 도출된 취약점 개선을 용이하게 한다 .

계획단계 별 필요사항

개발 프로세스

• 보안성 검토 프로세스• 개발 보안 지침

• 소스코드 취약점 분석

• 웹 스캐너• 소스코드 취약점 분석

• 애플리케이션 방화벽• 웹 스캐너• 소스코드 취약점 분석• 모의해킹

솔루션 유형

설계

코딩

테스트

운영

12www.esvali.com

I. Fortify Software 소개 – 애플리케이션 보안 동향 개발과정 보안

○ 애플리케이션 보안 동향

단계 보안 Activity

프로젝트 개시 / 분석

-보안 요구사항 정의 ( 시스템 , 기능 )-보안 코딩 표준 정의-보안 프레임웍 정의-보안 요구사항 매핑

설계

-보안 명세 (Spec.) 정의- 위협 모델링- 보안 설계 - 보안 테스트 계획 수립

개발

- 보안 코드 검토- 보안 단위 시험- White Box 보안 시험- 보안 시스템 구축

테스트- 보안 기능 시험- 보안 침투 테스트- 보안 코드 스캐닝

유지관리 /운영

- 보안 운영 지침 수립 ( 패치 , 설정 , 지속적 점검 등 )- 보안 이슈 추적 / 해결

• 애플리케이션 개발 라이프사이클 단계별 보안요소가 고려 되어야 함• 개발 후 개발 혹은 QA 단계에서 취약점을 조치한다면 구축 후 취약점을 조치하는 것보다 20 배 의

비용 절감 효과

“Integrate security best practice and tools into software dev lifecycle”, Feb. 2006

13www.esvali.com

I. Fortify Software 소개 애플리케이션 주요 취약점 ( 예 )

취약점 현상 대응책

Path Manipulation시스템 중요파일 (password, 소스코드등 ) 에 접근 하여 시스템 침탈 가능

인가된 경로 외의 파일에 접근하지 못하도록 소스 변경

SQL InjectionDB 공격하여 비인가 정보 획득 , 데이터 변조 가능

사용자 입력값이 DB Query 문에 직접 조합되지 않도록 소스 변경

Cross-Site Scripting페이지 가로채기 , 바이러스 설치 , 백도어 등의 스크립트 공격 가능

사용자 입력값에 대해 필터링 하도록 소스 변경

HTTP Response Splitting페이지 가로채기 , 바이러스 설치 , 백도어 등의 스크립트 공격 가능

사용자 입력값에 대해 필터링 하도록 소스 변경

Trust Boundary Violation 프로그램 내부 데이터 조작 공격중요하게 다루어 지는 내부 데이터의 외부 사용자 입력값 이용 하지 않도록 소스 변경

Unchecked Return Value: Missing Check against Null

시스템 간접정보 획득 , 및 프로그램 오동작 가능

사용자 입력값에 대해 검사하도록 소스 변경

J2EE Misconfiguration: Missing Error Handling

시스템 간접정보 획득 가능성 Error 발생시 시스템 정보가 노출되지 않도록 설정파일 변경

※위 목록상의 취약점 외에 백 여종 이상의 애플리케이션 취약점이 존재하며 취약점의 대부분이 애플리케이션 소스 변경에 의해 조치되어야 함

※애플리케이션 취약점들은 개발단계 부터 디버깅 관점으로 관리되어야 함 ( 개발자 업무의 70% 가 디버깅 업무 )

14www.esvali.com

I. Fortify Software 소개 애플리케이션 주요 취약점 ( 예 )- 계속

취약점

Access Control Missing XML Validation Resource Injection

Authentication Null Dereference Session Fixation

Code Correctness Object Model Violation Setting Manipulation

Command Injection Obsolete Struts

Dead Code Password Management System Information Leak

EJB Bad Practices Poor Error Handling Unreleased Resource

Insecure Randomness Poor Logging Practice Unsafe JNI

J2EE Bad Practices Poor Style Unsafe Mobile Code

Log Forging Privacy Violation Unsafe Reflection

Member Field Race Condition Process Control Resource Injection

15www.esvali.com

I. Fortify Software 소개 SDL 내의 Fortify Software 포지셔닝

Fortify SCA Dev Proactive security with targeted, accurate analysis tuned for low false positives

Fortify SCAAnalyzes code comprehensively and accurately

Developers

Fortify TracerMakes every black box security test measurable and actionable

Security Testers

Fortify DefenderMonitors and measures web applications in production

Security Ops Team

Security Leads / Auditors

Fortify ManagerCentral reporting and management of software security across the enterprise

Management

Build Server

FPR

Fortify SCA

16www.esvali.com

I. Fortify Software 소개

○ Fortify Defender

○ Fortify Source Code Analysis Suite

- 개발단계부터 보안 취약점 발견 및 조치를 통한 “안전한 애플리케이션 개발”- SDLC 프로세스와 연동되어 “보안 검토 프로세스”로 사용- 지원대상 : JAVA, JSP, .NET, C, C++, C#, PL/SQL 및 환경 (Apache, J2EE, EJB, ASP.NET, Weblogic 등 )- 개발자 관점 ( 소스파일 , 라인 , 함수 ) 의 개선 보고서 제공으로 애플리케이션 취약점 수정 용이- IDE Plug-ins (VS.net, Eclipse, Jbuilder, WASD) 지원

○ Fortify Tracer

- 애플리케이션 보안 테스트- 애플리케이션 QA 테스트시 보안 검증

- Application Firewall- “Hardened Software” 방식 ( 세계최초 )- Monitoring mode 및 defense mode 지원

○ Fortify Manager

- 웹 기반의 애플리케이션 보안현황 관리 ( 리포트 , 이력관리 , 룰 관리 및 update, 사용자관리 )

SDL 내의 Fortify Software 포지셔닝

17www.esvali.com

I. Fortify Software 소개 Fortify Source Code Analysis 점검 프로세스

소스 파일소스 파일(Java, JSP, C/C++, C#, XML,

.NET PLSQL)

Fortify Source Code AnalysisFortify Source Code Analysis(Data Flow, Control Flow,

Semantic, Configuration, X-Tier Tracking)

취약점 이슈

개발자

보안관리자

관리자

Security manager( 애플리케이션 보안관리 )

Audit Workbench( 취약점 감사 )

Format String IssuesPrivacy ViolationsNative CalloutUnsafe Memory OperationUnchecked Return ValueAlways Unsafe FunctionsRace ConditionsUninitialized Variable

Buffer OverflowsSQL InjectionCross-Site ScriptingAccess ControlProcess ControlNo Null TerminationSetting ManipulationResource InjectionPasswords in Config FilesUnreleased Resource

Core LanguageVulnerabilities

3rd Party Library / Framework Specific

Application Specific

Fortify Secure Coding Rules

Session-ID LengthEntity Bean ConfigurationInformation LeakageLog ForgingInteger OverflowEJB Resource PermissionStruts Form Field ValidationDouble Memory FreeNull Pointer DereferenceDirectory Restriction

Fortify Rules Builder

Corporate Coding StandardsCoding LibrariesCustom interfaces

Custom Rules

18www.esvali.com

I. Fortify Software 소개 분석 로직 – 취약점 탐색

프로세스 · 데이터의 흐름을 따라 취약성을 찾습니다

19www.esvali.com

I. Fortify Software 소개 운영방안 (1) - 보안 감사 프로세스

- 애플리케이션 보안 관리자가 사용 주체가 되어 소스 취합 후 취약점 점검 및 테스트- 특정 프로젝트 혹은 특정 업무에 대한 보안 취약점 점검- 개발중 혹은 개발 완료된 애플리케이션에 대한 취약점 점검- 개발자는 점검 결과를 확인하여 취약 소스 변경

○ 운영형태

- 대량의 애플리케이션에 대한 전수 검사 가능- 외주 개발 소스에 대한 보안성 검토- 보안이 고려되지 않은 상태로 개발이 진행 후 소스코드를 취합 , 검토 하므로 다량의 취약점이 발견되며 제거를 위한 별도의 시간 및 인력투여 필요

○ 장 / 단점

○ 도식

개발자

취약점 탐색 취약점 검토

보안관리자

3rd party IDEMicrosoft, Borland, Eclipse, IBM, etc,소스코드

수 정

소스코드

취약점 내역

20www.esvali.com

I. Fortify Software 소개 운영방안 (2) – 보안 점검 프로세스

- 보안 개발 프로세스 확립으로 보안이 고려된 애플리케이션 개발 가능 - 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요- 특정 개발 도구를 사용하여야 함

○ 장 / 단점

○ 도식

개발자

취약점 탐색보안 현황 검토 / 관리

보안관리자 / 프로젝트 관리자

3rd party IDEMicrosoft, Borland, Eclipse, IBM, etc,

소스코드수 정

소스코드

보안 현황 /리포팅

Security Manager

취약점검토결과

프로젝트 조회 / 관리

- 개발자 : 개발환경에 IDE Plug-in 을 설치하여 , 개발중인 소스코드의 취약점을 수시로 탐색 및 취약점 제거 - 보안 관리자 :

- 보안이 고려되어 개발된 소스코드를 취합하여 전수검사 수행 - 중앙 관리 도구를 이용하여 보안현황 및 취약점 관리 - Security Test

- 프로젝트 관리자 : 중앙 관리도구를 이용하여 업무별 / 애플리케이션의 취약점 변화 관리

○ 운영형태

21www.esvali.com

I. Fortify Software 소개 운영방안 (3) – 보안점검 프로세스

변경관리 프로세스

○ 도식

개발자 보안관리자 / 개발 관리자

소스코드수정 / 개발소스코드

수정 / 개발취약점탐 색취약점탐 색

결재 요청( 취약점제거결과첨부 )

결재 요청( 취약점제거결과첨부 )

소스코드수 정

보안성검 토보안성검 토 결재결재 Whitebox

TestWhitebox

Test

- 개발자 : 개발 프로세스 ( 변경관리 도구 )와 연동되어 소스코드의 보안 취약점 확인 및 제거 - 개발 관리자 or 보안 관리자 :

- 개발자에 의해 보안 취약점이 검토 / 제거된 소스 코드에 대해 결과 검토 후 승인 - 중앙 관리 도구를 이용하여 애플리케이션 보안 취약점 현황 관리 - Security Test

○ 운영형태

- 자동화된 보안 개발 프로세스 확립 - 보안취약점을 제거하기 위한 별도의 추가적인 절차 불필요- 기 사용중인 변경관리 도구와의 연동 필요

○ 장 / 단점

배포배포

22www.esvali.com

I. Fortify Software 소개 적용사례 (H 은행 )-추진과제 및 프로젝트 범위

프로젝트 구축범위

보안 현황 관리

취약성 분석

소스코드 분석

형상관리 연동

Aurora( 형상관리 )

FortifySCA

Security Knowled

ge

보안정책

개발환경

ExecutiveSummarySecurityPolicy

Report History

UserManagement

SecurityAlert

We

b In

terfa

ce

웹 프로그램 개발시의 가이드라인 및 지침

수립

웹 프로그램 개발시의 가이드라인 및 지침

수립

웹 프로그램의 개발 /변경 시에 대한 상시

취약점 점검체계 구축( 형상관리와 연동 )

웹 프로그램의 개발 /변경 시에 대한 상시

취약점 점검체계 구축( 형상관리와 연동 )

기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치

기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치

소스코드(JAVA,JSP)

설정파일

모의해킹 시스템

Fortify Tester

Security Knowledge Report

운영환경

운영시스템

개발

가이드

예외처리

개발툴 ( 개발자 )eclipse

FortifySCA

Security Knowled

ge

보안정책

예외처리

전수시스템( 정기 전수검사 )

We

b

23www.esvali.com

I. Fortify Software 소개 적용사례 (H 은행 )- 프로젝트 일정 및 내역

웹 어플리케이션 개발보안 추진 과제 도출 (3 개 )

상시 취약점 점검 체계구축 전략 수립

운영 APP보안점검 수행 인터넷 뱅킹 애플리케이션 취약점 상시 점검 체계 구축

인터넷 뱅킹 애플리케이션에 대한 정기 전수검사 / 형상관리 연동 점검 / 개발시 상시 점검 시스템

구축

웹 프로그램의 개발 /변경 시에 대한 상시 취약점 점검체계 구축

웹 프로그램의 개발 /변경 시에 대한 상시 취약점 점검체계 구축

기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치

기 운영중인 웹 프로그램에 대한 취약점 진단 및 조치

웹 프로그램 개발시의 가이드라인 및 지침

수립

웹 프로그램 개발시의 가이드라인 및 지침

수립운영 중인

인터넷 뱅킹 시스템에

대한 보안점검 및 주요 취약점

점검

애플리케이션 상시 보안 점검체계 구현

인터넷 뱅킹 시스템 전수 검사 및 중요 취약점 조치

현황 분석 설계 시스템 구축 테스트 이행

형상관리 (Aurora) 연동

정기 전수 시스템 구축

모의해킹 시스템 구축

2006/8 2006/10 2006/11 2006/12 2007/1

개발자 환경구축

점검 룰 최적화

개발 지침 및 가이드라인 수립

추진 목표 및 내역에 대한 사전 전략 수립을 통한 성공적인 프로젝트 수행

개발 보안교육

24www.esvali.com

I. Fortify Software 소개 적용사례 (H 은행 )- 구축 현황

형상관리 시스템과 연동된 상시 보안 점검 체제 구축애플리케이션에 소스코드에 대한 상시 보안 점검 및 통제를 위하여 , 당행 운영중인 형상관리 시스템 (Aurora) 과 연동하여 소스 프로그램 변경 시 자동화된 보안 검사 실시개발툴 (eclipse) 에 보안점검 모듈 장착하여 개발자에 의한 상시 보안 점검 수행일관된 보안 정책에 의한 애플리케이션 보안 수준 유지

보안 관리자

개발자

Eclipse 연동

어플리케이션 운영 서버

형상관리 서버

어플리케이션 개발 서버

컴파일 및 테스트

분석결과

Java

Analysis Engine

global data flowcontrol flow

semanticconfiguration

Compile 및 보안진단

정상시보안정책 설정 ( 사전 )

결재 의뢰(Java)

Analysis Engine

global data flowcontrol flow

semanticconfiguration

1 자체 보안테스트 실시

2 실행 테스트

3 변경된 소스 프로그램취약점 진단

4 취약점 존재시 소스 반려

5 운영 시스템 반영

25www.esvali.com

I. Fortify Software 소개 적용사례 (H 은행 )- 구축 현황

웹 취약점 진단 시스템

Manager 서버

전수 점검 및 모의해킹 진단 체제 구축운영중인 소스코드에 대한 주기적인 ( 일간 ) 전수 검사 실시하여 프로그램간 연동 취약점 검사운영시스템에 대한 정기 취약점 점검 ( 웹 스캐닝 ) 을 실시하여 외부에서의 취약점 검사운영시스템에 대한 주기적이고 체계적인 취약점 관리 체제 구축

레포트 열람

보안정책 설정

전수결과 , 레포트

Attack and Analysis Engine

Security Testing System

분석결과

모의공격 테스트

진단 결과

Analysis Engine

global data flowcontrol flow

semanticconfiguration

JavaJSP

Configuration

개발자

Eclipse 연동

Analysis Engine

global data flowcontrol flow

semanticconfiguration

1 자체 보안테스트 실시

보안 관리자

운영 서버

JavaJSP

Configuration

2 형상관리와 연동된소스점검

3 정기 전수검사( 일일 )

7 전수검사 결과 검토및 조치

8취약점 점검 ( 웹 스캐닝 )

웹 서버

4

6 결과 협의 및 통지

4

95

26www.esvali.com

I. Fortify Software 소개 적용사례 (H 은행 )- 구축 현황

애플리케이션 개발 시 보안 프로세스 확립어플리케이션 개발팀에 의한 취약점 자체 점검 체계 및 보안 의식 강화자동화 된 시스템 및 체제 구축으로 애플리케이션 보안 현황 및 관리 용이정형화 된 진단방법의 구성으로 효율적인 상시 보안 점검 체계 확보

보안점검 시스템 ( 형상관리 /전수진단 )

보안 관리 시스템 (Manager)

취약점점검시스템 ( 웹 스캐너 )

가이드라인

보안팀

CISO, CSO, CTO, CIO

운영팀

소스코드점검결과

정책

보고서

시스템 운영자소스코드

보안 관리자개발자 /QA개발툴 플러그인

Security Defects

개발팀 1

개발팀 2

개발팀 3

개발리더자체 보안성 검토

외주개발

경영진개발팀

27www.esvali.com

I. Fortify Software 소개 적용사례 (S 전자 )

개발부서 보안팀비고

개발팀 CERT

운영 형태 - 개발자는 “개발 보안 가이드”에 의거하여 코딩 - 보안팀에 의한 소스코드 보안성 검토 ( 매뉴얼 소스코드 리뷰 )

- 취약점 결과를 개발자에 송부 후 조치 - 보안성 검토 후 보안 승인에 의한 운영 시스템 반영

Pain Fact

- 샘플링 형태에 의한 소스코드 리뷰 - “ 개발 보안 가이드” 준수 여부 확인 한계 - 전수검사 불가능 - 수시로 변경되는 애플리케이션에 대한 검사 한계

코딩

종료

보안성 검토소스코드

취약점 조치

N

Y

취약점

개선요청

운영 시스템 반영

○ 적용 전 보안검토 프로세스

28www.esvali.com

I. Fortify Software 소개 적용사례 (S 전자 )

개발부서 보안팀비고

개발팀 CERT

운영 형태 - “ 개발 보안 가이드”를 포함하는 주요 취약점 등록 - 개발 단계부터 개발자에 의한 보안성 검토 및 조치 - 개발자들에 의한 코딩 완료 후 보안팀에 의한 전수 검사

Success Factor

- 개발단계부터 자동화된 프로세스 적용 - 모든 애플리케이션에 대한 전수검사 가능 - 애플리케이션 보안 검토 프로세스 확립 - 애플리케이션 보안 변화관리

코딩

종료

보안성 검토소스코드

취약점 조치

N Y취약점

개선요청

운영 시스템 반영

보안성 검토

취약점

Y

N

Y

○ 적용 후 보안검토 프로세스

29www.esvali.com

I. Fortify Software 소개 국내 레퍼런스 ( 솔루션 )

No.

고객명 도입시기 사용용도 적용대상업무 비고

1 SK Telecom 2005.12 Apps. Source code AuditSKT 사내 Appls.

2 국민은행 2006.1변경관리도구와 통합된 SDLC

프로세스에서 보안성 검토인터넷 뱅킹 업무

3 SC 제일은행 2006.4기업 뱅킹 업무 재 구축 시 개발단계부터 보안성 검토 및 적용 기업뱅킹업무

4 하나은행 2006.8 개발단계 부터 보안성 검토 기업 /개인뱅킹업무

5 삼성전자 반도체 2006.8In-house/out sourcing 애플리케이션에 대한 보안성 검토 MIS

6 외환은행 2006.11 인터넷 뱅킹 보안성 검토 인터넷 뱅킹

7 SK Telecom 2006.11 Apps. Source code AuditSKT 사내 Appls.

확장

8 삼성전자 통신 2006.12In-house/out sourcing 애플리케이션에 대한 보안성 검토 사내업무시스템

9삼성전자 정보전략 2006.12

In-house/out sourcing 애플리케이션에 대한 보안성 검토 사내업무 시스템 삼성전자 표준화 툴로

선정

10 KTNET 2006.12 E-commerce 사내 Appls

30www.esvali.com

I. Fortify Software 소개 국내 레퍼런스 (컨설팅 )

No. 고객명 컨설팅 일정 적용대상업무 비고

1 대법원2005.7-8 부동산 등기 시스템

2006.7-9 부동산 등기 시스템

2 BC Card2005.9-10 전사 애플리케이션

2006.6-8 전사 애플리케이션

3 교육인적자원부 2006.4-6 NEIS

4 건설교통부 2006.3-9 건축행정 시스템 SI 프로젝트 단계별 보안성 검토

31www.esvali.com

I. Fortify Software 소개 Major Customer Deployments

E-Commerce

Banking & Finance Telecom

Government

Infrastructure

Healthcare

Other

32www.esvali.com

I. Fortify Software 소개 Awards

- 2007 Editor’s Choice: Network Computing product review

- 2007 SC Magazine Reader Trust Award - Best Security Software Solution

- 2007 Financial IT Security Future Now List - 25 Best Innovations

- 2007 CMP Media Dr. Dobb’s Jolt Award for Product Excellence - Security

- InfoWorld: 15 Tech Startups to Watch

- 2006 CMP Media Dr. Dobb’s Jolt Award for Productivity - Security

- 2006 SD Times 100 Winner

- E-Commerce Times Product Review: 10 Security Software Stars

- 2006 InfoWorld Technology of The Year Award

- 2006 IBD Network’s Innovation Award

- 2006 Sand Hill Group Top 20 Privately Held Pioneer at Software

- 2005 CMP Media Dr. Dobb’s Jolt Aware for Product Excellence

- 2005 SD Times 100 Winner

- Finalist: Red Herring Top 100 Private Companies in N. America

- 2005 Computerworld Honors Laureate Award

- Fortify Named ‘The Next Big Thing’ at Enterprise 2005

- 2005 RSA Innovation Station Runner Up

- 2005 InfoWorld Technology Of The Year: Best Security Analysis Tool

- 2005 IBD Under the Radar Innovation Award for the Datacenter Category

33www.esvali.com

II. 회사 소개

CONTENTS

1. 회사 개요

2. 주요 연혁

3. 조직도

4. 사업분야

5. 주요실적

6. 특장점

목 차

34www.esvali.com

III. 회사 소개

회사명회사명

설립일설립일

사업분야사업분야

사업장사업장

자본금자본금

사업자번호사업자번호

주식회사 이씨큐밸리 (eSecuVali CORPORATION)

2007년 6월 7 일

컴퓨터 , 소프트웨어 개발 및 공급

서울시 금천구 가산동 60-11 스타밸리 503호

1억 2천만원

119-81-99674

회사명

설립일

사업분야

사업장

자본금

사업자번호

1. 회사개요

주요 협력사주요 협력사주요 협력사

35www.esvali.com

III. 회사 소개 eSecuVali Corp. 는 방화벽 및 UTM 개발 경험을 보유한 보안솔루션 전문업체로 2000년부터 관련 분야에서 함께 노하우를 축적한 인력을 보유하고 있으며 , 최고의 보안 Solution 을 고객에게 제공하는

기업입니다 .

2. 주요 연혁

2007. 12

2007. 09.

2007. 08.

2007. 07.

2007. 06.

분당서울대학교병원 보안시스템 구축 프로젝트 수주

한국소방검정공사 전자세금계약서 /전자계약서 시스템 구축 수주

BC카드 , 도시철도공사 서버보안 유지보수 계약

대검찰청 보안시스템 및 네트워크 고도화 사업 수주

DataSecure(DB암호화 ) 국내 리셀러 계약

대검찰청 , 교보생명 , 농심 보안시스템 유지보수 계약

BioPassword( 개인정보보호 ), Untangle(UTM) 국내 총판 계약

그린화재해상보험 , 하이리빙 , 에이스테크놀러지 보안시스템 유지보수 계약

회사 설립 ( 이씨큐밸리 eSecuVali Corp.) – 전사 사업부서 및 유지보수 이동

eSecuUTM( 통합보안 ) 개발 및 상표등록

2007

2008. 01 두산그룹 DB암호화 (DataSecure) 구축 수주2008

36www.esvali.com

III. 회사 소개

이씨큐밸리의 조직은 기술연구소 , 경영지원부 , 솔루션사업부로 구성되어 있으며 , 국내 최고 수준의 IT 인력 및 Security 전문기술을 보유하고 있습니다 .

3. 조직도

인사 /총무인사 /총무 영업팀영업팀 기술팀기술팀개발팀개발팀

경영지원부경영지원부 솔루션사업부솔루션사업부

인사 / 총무

회계 / 재무

인사 / 총무

회계 / 재무

보안 컨설팅DB 보안서버 Audit서버 보안UTMBioPassword기술지원유지보수

보안 컨설팅DB 보안서버 Audit서버 보안UTMBioPassword기술지원유지보수

신제품개발

UTM

eSecuDC

신제품개발

UTM

eSecuDC

eSecuVali Corp.eSecuVali Corp.eSecuVali Corp.eSecuVali Corp.

기술연구소기술연구소

보안 컨설팅DB 보안DB 취약점 분석세션 로깅서버 보안UTMBioPasswordAPP 취약점 분석자산 지킴이

보안 컨설팅DB 보안DB 취약점 분석세션 로깅서버 보안UTMBioPasswordAPP 취약점 분석자산 지킴이

37www.esvali.com

III. 회사 소개

이씨큐밸리는 현재 각 분야별 전문가를 보유하고 있으며 , 주요 사업분야는 Security Consulting 사업 , 보안 SI Service, 보안 Solution 사업 등 세 부분으로 구분됩니다 .

4. 사업분야

(( 주주 )) 이씨큐밸리 주요추진사업이씨큐밸리 주요추진사업

보안 SI DB 취약점 분석보안통합유지보수전자세금계산서전자계약시스템전자입찰시스템 자산관리 시스템eSecuDC신제품 개발

Network - eSecuUTM - Untangle(UTM) System - eSecuDC - eTrust AC( 서버보안 ) - GateOne( 세션로깅 ) Application - BioPassword - DB 보안 - DB 취약점 분석 - App 취약점 분석

Solution Service Security

정보보호컨설팅 A/S is -> To be 모델 제시

38www.esvali.com

III. 회사 소개 5. 주요실적 (Solution)

사업명 고객사 사업기간 발주처

두산그룹 DB암호화 시스템 구축 두산정보통신 08. 01 ~ 08. 02 한국전자증명원

분당서울대학교 병원 보안시스템 구축 분당서울대병원 07. 12 ~ 08. 01 KT

대검찰청 정보보안시스템 고도화 대검찰청 07. 09 ~ 10 에인트시스템

보안장비 외 안동과학대학 06.11~12 시나이미디어

하드웨어 보안 모듈 LGCNS 06.11~12 에스컴

그린화재 사이버마켓 이중화 그린화재 2006.7 그린화재

형사통합사법체계 2 차 DB 보안 법무부 , 대법원 06.05~09 에스컴

대검찰청 통합센터 이전 보안 컨설팅 대검찰청 2006.5~2006.6 대검찰청

형사통합사법체계구축 DB 보안 법무부 , 대법원 05.12~12 에스컴

한국관광공사 카지노 DB 보안 한국관광공사 05.12~12 매버릭시스템

정보보호 공유분석 시스템 구축 행정자치부 05.11~12 정보보호기술

퇴직연금 시스템 구축 그린화재 05.11~06.04 유니보스

보안 소프트웨어 대검찰청 05.10~12 대검찰청

서버보안 시스템 구축 교보생명 05.09~10 교보생명

39www.esvali.com

III. 회사 소개

사업명 고객사 사업기간 발주처

정보보안시스템 고도화 사업 대검찰청 04.10~11 대검찰청

하드웨어 보안 모듈 행자부 04.10~11 BGS 정보

신동아화재 보안시스템 증설 신동아화재 04.9~12 STG

침입차단 외 교원나라자보 04.08~09 에이텍솔루션

웹 서비스보안 시스템 구축 그린화재 04.06~07 그린화재

INISAFE 시스템 구축 신동아화재 04.03~03 한화 S&C

보안컨설팅 / 서버보안 ㈜한화 04.03~05 한화

전산관리시스템구축 동서울대학 04.02~02 동서울대학

서버 권한관리시스템 BC카드 04.01~02 BC카드

행정전자서명 인증시스템 구축 (2 차 ) 대검찰청 03.8~10 대검찰청

정보보호 컨설팅 신동아화재 03.7 시큐어소프트

서버보안 시스템 구축 SK Telecom 03.3~6 SK C&C

5. 주요실적 (Solution)

40www.esvali.com

III. 회사 소개 5. 주요실적 (Service)

사업명 고객사 개발기간 비고

전자세금계산서 및 전자계약서 시스템 구축 한국소방검정공사 08. 01~08. 02 JAVA

전자계약 ASP 서비스 시스템 롯데정보통신 07.05~07.09 JAVA, JSP

전자입찰시스템 , 전자계약시스템 , 원본입증 한국자산관리공사 07.03 JAVA, JSP

DB 보안 시스템 구축 [PKI Toolkit & DB암호화 ] 한화 63 시티 07.03 MS-SQL/DB2

PKI Toolkit 보안 / 인증시스템 한화갤러리아 07.03 .NET

보안메일 솔루션 (SecuEM) 납품 및 컨설팅 롯데정보통신 07.01~07.03 JAVA, JSP

전자계약 시스템 ( 부대조달 ) 방위사업청 07.01 JAVA, JSP

전자 협약 건설교통기술평가원 06.12~07.01 JAVA, JSP

전자세금계산서 (SecuBill ASP Service 연계 ) 동양생명 06.11~07.01 JAVA, JSP

전자세금계산서 (삼성전자 10 개 계열사 통합 ) 삼성전자 06.11~07.03 JAVA, JSP

전자계약 도원디테크 06.11~07.02 VB/ASP

전자계약 인천국제공항철도 06.11~07.01 JAVA, JSP

DPF 계약관리 시스템 ( 내부시스템 ) 일진전기 06.11~07.02 VB/ASP

인증시스템 ( 한양사이버대학교 Site) 한양대학교 06.10 ASP

전자세금계산서 포항공대 06.10~06.12 JSP

전자입찰 및 전자세금계산서 시스템 계룡건설 06.09~07.01 .Net

전자세금계산서 시스템 인희 06.08~06.10 .Net

전자계약 시스템 SK 네트웍스 06.07~06.08 VC, ASP

41www.esvali.com

III. 회사 소개

사업명 고객사 개발기간 비고

전자협약 시스템 해양수산기술진흥원 06.07~06.08 JAVA, JSP

전자세금계산서 시스템 제일화재 06.05~06.08 JAVA, JSP

PKI 툴킷 납품 및 개인근로자 계약시스템 적용 대림산업 06.06 .NET

전자세금계산서 시스템 – Secubill ASP 연계 삼성 SDI 06.05~06.07 JAVA, JSP

전자세금계산서 시스템 – Secubill ASP 연계 삼성 SDS 06.05~06.06 JAVA, JSP

전자세금계산서 시스템 다음커머스 06.05~06.06 VC++, ASP

전자세금계산서 시스템 한국자산관리공사 06.05~06.06 JAVA, JSP

전자입찰 인천국제공항철도 06.05~06.08 JAVA, JSP

전자계약 시스템 서희건설 06.05~06.08 VB/ASP

전자계약 및 전자세금계산서 시스템 대우엔지니어링 06.04~06.06 JAVA, JSP

전자계약 및 전자세금계산서 시스템 뉴코아아울렛 06.04~06.06 JAVA, JSP

전자계약 및 전자잔고증명 시스템 위니아만도 06.03~06.06 SAP R/3 ERP

SecuWeb(PKI 툴킷 ) 납품 및 전자구매시스템 대성산업 06.03~06.04 JAVA, JSP

5. 주요실적 (Service)

42www.esvali.com

III. 회사 소개

eSecuVali 는 Electronic, Security, Validation 의 합성어로 정보보호 솔루션 및 서비스를 고객에게 제공하여 보안의 3요소인 기밀성 , 무결성 , 가용성의 완벽한 조화를 추구하는

e-Security 전문 기업입니다 .

Security정보보호 컨설팅 /보안 시스템 구성 기획

AS IS ⇒ TO BE 방향 제시

Service보안 SI보안 통합 유지보수DataBase 취약점 분석eSecuDC

6. 특장점

Solution Network : eSecuUTM / Untangle(UTM) System : eSecuDC / eTrust AC / GateOne Application : BioPassword / DB 보안 / DB취약점분석 Application 취약점분석

eSecuVali Corp.

153-777, 서울 금천구 가산동 60-11 스타밸리 503호TEL:02-2027-1090 / FAX:02-2027-1095