티핑포인트(www.tippingpoint.com)의 보안연구소인 티핑포인트 DV랩스(Digital Vaccine Labs)팀이 방한, 웹 애플리케이션의 취약점을 이용한 보안 위협을 방어하는 새로운 ‘웹 애플리케이션 디지털백신(Web Application Digital Vaccine)’ 서비스를 소개하는 자리를 가졌다.
티핑포인트가 새롭게 소개하는 웹 애플리케이션 디지털백신(DV) 서비스는 스캐닝을 통해 취약점을 점검하고, 취약점을 방어할 수 있는 필터를 제공함으로써 웹 애플리케이션의 취약점을 악용해 발생하는 웹 공격으로부터 보호한다. 또한 신용카드협회 데이터보호 국제표준(PCI-DSS)의 규정에 따른 설치 방법을 제공하는 등 컴플라이언스 이슈로부터의 보호도 제공한다.
박진성 티핑포인트 이사는 “웹 애플리케이션 DV 서비스는 IPS의 역할을 기존 네트워크에서 웹 애플리케이션으로 확대해준다”며 “이를 통해 티핑포인트 IPS를 도입, 운용하고 있는 고객은 IPS의 활용도를 극대화함으로써 IPS 투자보호는 물론 비용절감을 이룰 수 있게 됐다”고 밝혔다.
웹 애플리케이션 DV 서비스는 SQL 인젝션, XSS (Cross Site Scripting) 및 리버스 프록시(Reverse Proxy)와 같은 악성 공격에 이용될 수 있는 구역 및 코드에서 약점을 결정하는 애플리케이션 및 연합된 URL들의 스캔을 시작한다. 일단 검사가 완료되면 사용자들은 티핑포인트 DV랩스를 통해 취약점을 엄격하게 분류한 리포트를 받게 되고, 계약에 의거하여 티핑포인트 IPS를 통해 설치될 필터 설정 및 커스텀 필터를 생성한다.
웹 공격 방어를 위해 웹 애플리케이션 방화벽(WAF) 솔루션이 각광을 받고 있지만, 포지티브에 기반한 방어로 관리자에게 많은 부담을 주고 있는 것이 사실이다. 특히 WAF 솔루션이 인라인 방식으로 설치됐을 때 오탐(False Positive)이 발생할 수 있다는 점도 문제로 지적된다. 이와 달리 티핑포인트의 웹 애플리케이션 DV 서비스는 사용자의 애플리케이션 내 취약점들을 확인하고, 포괄적인 네트워크 보안을 제공하는 DV의 기본필터와 함께 사용자 맞춤형 커스텀 DV 필터가 작동되도록 설정해 관리 부담을 줄여주는 이점이 있다.
박진성 이사는 “웹 애플리케이션 DV는 WAF를 대체하기 위한 솔루션은 아니지만, 정확한 스캔을 통해 취약점을 검출하고, 티핑포인트 DV랩스의 기술진이 이에 맞춤화된 커스텀 DV 필터를 제작하게 됨으로써 웹 보안에 대한 기업의 부담을 줄여줄 수 있는 장점이 있다”며 “티핑포인트는 1주일 이내 맞춤형 DV 필터 제공을 목표로 해 웹 위험으로부터 신속한 보호를 제공한다”고 밝혔다.
DV랩스팀의 일원으로 방한한 로힛 다만카(Rohit Dhamankar) 티핑포인트 DV랩스 수석디렉터는 “티핑포인트의 ‘웹 애플리케이션 DV’ 서비스는 이전에 발견되지 않았던 보안 취약점들을 찾아내 차단하는 IPS의 기능을 포함하고 있다”며 “기본 필터에 사용자 맞춤형 커스텀 필터를 추가한 티핑포인트 IPS는 사용자들에게 기업 자산을 보호하는 또다른 레이어를 제공한다”고 전했다.
티핑포인트 ‘웹 애플리케이션 DV’ 서비스는 2009년 5월부터 제공되며, 사용자들은 기존 웹 애플리케이션 스캐닝 프로그램 또는 티핑포인트의 웹 애플리케이션 스캐닝 서비스 중 하나를 선택해 이용할 수 있다. 티핑포인트의 웹 애플리케이션 스캐닝 서비스는 고정된 가격으로 최초의 스캔(initial scan)뿐 아니라 커스텀 필터를 통해 정확한 차단이 이뤄졌는지를 검증하는 사후 필터(post-filter) 스캔을 제공한다. 별도로 사용자 맞춤형 필터를 주문한 고객에게 제공되는 커스텀 필터는 생성된 필터수만큼의 추가비용을 지불하고, 애플리케이션 스캔 리포팅후 72시간 안에 고객에게 제공된다.
박진성 티핑포인트 한국담당 이사는 “기존의 웹방화벽을 보완하기 위해, 이번에 출시된 웹 애플리케이션 DV외에 크리티컬 워치(Critical Watch)사의 Fusion VM(취약점관리) 솔루션과 맺은 기술협약에 의해 조만간 출시할 예정인 네트워크 취약점 스캐닝 서비스를 함께 활용한다면 각 기관들이 360도 전방위 침입방지시스템을 구축하는데 한발 더 다가설 수 있을 것”이라고 도입효과를 전망했다.
한편 이번 방한은 웹 애플리케이션 디지털백신(DV) 소개를 위해서이기도 하지만, 티핑포인트의 DV랩스의 활동을 소개하고, 티핑포인트가 후원하는 ZDI(Zero Day Initiative) 참여를 유도하기 위한 아시아 투어의 일환으로 이뤄진 것. 티핑포인트는 아시아투어의 첫 번째 방문국으로 한국을 선택, 우리나라 시장에 대한 관심을 보여줬다. 또한 이번 아시아 투어의 다른 다른 방문국들은 DV랩스 연구소장인 데이빗 엔들러(David Endler), 페드램 아미니(Pedram Amini), 로힛 다만카(Rohit Dhamankar) 중 한 명만이 방문하지만, 우리나라의 경우에는 세 명이 동시에 방문해 DV랩스의 활동을 소개하는 열의를 보였다.
