클라우드 시스템 취약점 진단 자동화 솔루션

SolidStep forCloud

Ⅰ Cloud 취약점 진단의 필요성

3

1. 세계 최대 소셜 미디어에서 5억 여건의 사용자 정보가 클라우드 서버에 무방비 노출되는 사고가 발생했습니다. 이로 인해 관련 소셜 미디어 기업에 연방거래위원회(FTC)에서 50억 달러라는 벌금형이 내려졌습니다.

클라우드에 무방비 노출되는 개인정보

4

2. 미국 대형은행에서도 클라우드 서버에 있던 고객의 개인 정보가 해킹 당하는 사고가 발생해 전세계적으로 클라우드에 대한 보안의 중요성이 높아지고 있습니다.

미국 대형은행, 클라우드 통한 데이터 유출

5

3. 멈추지 않는 클라우드 확산

하지만 이런 우려에도 불구하고 국, 내외에서는 여전히 클라우드 확산 움직임이 거세지고 있습니다. 국내 클라우드 시장은 연평균 약 20% 성장해왔으며, 올해는 금융권 클라우드 확대로 클라우드 시장의 성장 폭은 더 증가할 것으로 전문가들은 예상하고 있습니다.

정부는 2021년까지 세계 10대 강국으로 도약한다는 목표 아래 클라우드 이용 확대를 위한 법 개정이나 관련 제도를 개선

가트너는 국내 퍼블릭 시장이 오는 2021년까지 연평균 20.5%씩 성장해 3조 4400억원 규모에 달할 것으로 전망

금융위원회에 따르면 2018년 기준으로 클라우드와 관련한 공급업체는 800여개로, 총 매출액도 2015년 7864억원에서 2018년 2조4000억원으로 급속하게 성장

꾸준히 성장하는 클라우드 시장

6

4. 금융권의 클라우드 활성화

올해 1월 개정된 전자금융감독규정에 따라 금융 분야의 클라우드 컴퓨팅 서비스 이용이 확대되었습니다. 금융보안원이 올해 초 97개 금융회사를 대상으로 한 설문조사에 따르면, 42개사(43%)가 금융회사가 클라우드 도입을 계획 중이며, 이 가운데 50% 이상(22개사)은 1년 내 도입을 검토 중인 것으로 파악됐습니다.

금융권 클라우드 이용범위 확대 금융회사, 전자금융업자는 중요정보(개인신용정보․고유식별정보)를

포함하지 않은 비중요정보만 클라우드에서 이용 가능 개인신용정보․고유식별정보도 클라우드에서 이용 가능

금융권 클라우드서비스 안전성 기준 제시 금융회사 등이 비중요정보만을 이용할 수 있고, 별도의 클라우드

서비스의 안전성 기준이 없음

금융분야 특수성을 반영한 안전성 확보조치 등 금융권 클라우드

이용, 제공 기준을 제시

클라우드에 대한 내부통제 강화 개인신용정보․고유식별정보를 포함하지 않은 비중요정보시스템에

대해서 별도의 안전성 평가 없이도 지정,운영

금융회사가 클라우드 서비스의 안전성을 평가하고, 자체 정보보

호위원회 심의의결을 거치도록 함

클라우드 이용 관련 보고 의무 및 감독 강화 비중요정보 처리시스템 운영현황에 대해서만 보고 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하

고, 법적책임, 감독․검사 의무 등을 계약서에 명확화

전자금융감독규정 (2019년 1월 개정)

7

5. 클라우드 보안 가이드

금융분야의 클라우드 도입이 본격화됨에 따라 금융보안원은 이에 따른 피해 예방을 위해 금융분야 클라우드 컴퓨팅서비스 이용가이드를 발표했습니다. 여기에는 클라우드 보안 및 안정성 확보조치 방안, 보안 모니터링 및 취약점 분석, 평가, 관리 등의 가이드가 포함되어 있습니다.

8

6. 클라우드 보안 국제표준

클라우드 확산 움직임에 따라 클라우드 보안 관련 국제표준을 마련하고 있습니다. ISO/IEC 27017과 27018은 클라우드 서비스 제공 및 사용에 대한 정보보안 통제 지침으로 클라우드 서비스 공급자와 사용자 모두에 대해 다음과 같은 지침을 제공합니다.

ISO/IEC 27017은 27001(정보보안 경영시스템)의 114개

통제 항목에서 클라우드 서비스 관련 추가 통제항목 6개가

더해져 14개 영역 120개 통제항목으로 구성

클라우드에 저장 된 민감한 고객정보

(특히 개인식별정보)의 보호, 보안 리스크 실행방안의

평가 및 가이드라인

[추가 통제항목]

1. 클라우드 컴퓨팅 환경에서 공유된 책임

2. 클라우드 서비스 고객자산의 제거

3. 가상컴퓨팅 환경에서의 분리

4. 가상 머신 설정

5. 관리자의 운영보안

6. 클라우드 서비스 모니터링

Ⅱ SolidStep forCloud 개요 및 특장점

10

1. 개요

클라우드가 확산되고 있는 현재, 고객사에 수립되어 있는 보안관리체계(위험식별 및 평가 등)를 클라우드 환경의 정보자산에 적용할 수 있도록 고도화를 통한 취약점 진단 및 향후 클라우드 서비스 보안 평가·인증체계 등의 컴플라이언스 대응이 필요합니다. SolidStep forCloud는 클라우드 시스템에서의 취약점 점검이 가능한 솔루션입니다.

”70여 개의 대상 플랫폼 지원”

forCloud

Cloud

Application Hypervisor

응용 플랫폼 기타

(사용자 정의)

11

2. 취약점 진단 범위

기존 SolidStep에서 제공하던 3,000여 개의 진단 항목 외에도 클라우드 취약점 분석 항목들이 추가되어 클라우드 환경 속에서도 빠짐 없는 취약점 진단이 가능합니다.

• Docker 취약점 분석 평가 항목 20개 항목 호스트 OS 주요 자원 접근 제어 외

• AWS 취약점 분석 평가 항목 20개 항목 IAM 사용자에 대한 비밀번호 복잡성 설정 외

• Kubernetes 취약점 분석 평가 항목 23개 항목 API server 인증 제어 외

• OpenStack 취약점 분석 평가 항목 47개 항목 데몬 계정 관리 외

※ 신규 및 변경 컴플라이언스에 대한 지속적인 업데이트 지원

12

3. SolidStep forCloud 특장점

CCE 취약점 진단 No.1 SolidStep의 기술력

국내 1위, 검증된 취약점 진단 자동화

솔루션 SolidStep의 기술력

국내, 외 클라우드 관련 컴플라이언스

완벽 대응

CCE 취약점 및 주요정보통신기반시설

기준 취약점 분석평가 점검항목 지원

다양한 편의 기능으로 업무 효율성 향상

UI/UX 개선으로 쉽고 빠른 사용자

환경

Infinite Scrolling으로 빠른 속도

자산설정의 간편화

보기 쉬운 진단 결과 및 보고서 기능

Cloud 환경도 OK! 진단 영역 확장

AWS, Azure, Hypervisor, Docker,

응용플랫폼 등 70여개의 대상 플랫폼

지원

다양한 IaaS 클라우드 OS 및 컨테이너

기반의 오픈소스 플랫폼 지원

클라우드 및 가상화 운영 기반의

인프라 취약점 분석 평가 수행

클라우드 취약점 진단 관리 솔루션도 국내 점유율 No.1 SolidStep입니다. 다양한 편의기능 추가와 변경된 UI/UX 환경으로 정확하면서도 쉽고 빠른 클라우드 취약점 솔루션을 경험해보세요.

13

3. 취약점 진단 솔루션 국내 1위의 기술력으로 클라우드 포함 국내, 외 기준을 만족하는 1,000여개 이상의 보안진단 항목 진단이 가능합니다.

SolidStep forCloud 특장점 (1)

CCE 취약점 진단 No.1 SolidStep의 기술력

• 취약점 진단 솔루션 부분의 조달구매율 3년 연속 1위(2016 ~ 2018년 조달 구매 기준)

• 국내 시장점유율 80% 이상 고객사 보유

• 취약점 진단 자동화 솔루션 SolidStep을 비롯, 웹서버 방어 솔루션 MetiEye, 악성 이메일 모의훈련 솔루션 MudFix, 보안 취약점 통합관리 솔루션 SeedCrock, 보이스피싱 탐지 솔루션 BlackVoice 등 보안 솔루션 개발, 구축

CCE 취약점 진단 솔루션 국내 1위의 기술력

• 클라우드 포함 국내, 외 기준을 만족하는 1,000개 이상의 보안진단 항목 진단 기능

• 취약점 항목의 커스터마이징으로 내부 보안지침을 반영한 취약점 진단

국내,외 완벽한 컴플라이언스 대응

14

3. 가시성 높은 UI/UX와 빨라진 사용속도, 그리고 다양한 편의기능으로 업무 효율성을 향상시켰습니다.

SolidStep forCloud 특장점 (2)

다양한 편의 기능으로 업무 효율성 향상

• 가시성 높은 UI/UX 구성

• Infinite Scrolling을 적용하여 빠른 사용속도

UI/UX 개선으로 쉽고 빠른 사용자 환경

• 기존 명령어를 복사해서 붙여넣는 자사 솔루션과는 달리 명령어를 Default로 넣어주는 기능을 추가하여 사용 편의성을 높임

• 명령 프롬포트로 실행할 때 필요한 명령어는 복사 및 붙여넣기가 가능하여 필수 입력값 사용으로 인한 오타 저하 및 사용성 향상

자산 설정의 간편화

• 진단, 그룹, 자산 기준으로 진단 결과를 볼 수 있고, 진단별 결과 확인과 동일 페이지에서 다운로드가 가능해 작업 효율 향상

보고서 기능 개선

15

3. AWS, Azure, Hypervisor, Docker 등 클라우드 환경에서의 진단까지 가능하도록 확장성을 높였습니다.

SolidStep forCloud 특장점 (3)

Cloud 환경도 OK! 진단 영역 확장

• AWS, Azure, Hypervisor, Docker, 응용플랫폼 등 70여개의 대상 플랫폼 지원

플랫폼 확장 지원

• 다양한 IaaS 클라우드 OS 및 컨테이너 기반의 오픈소스 플랫폼 지원

• 클라우드 및 가상화 운영 기반의 인프라 취약점 분석 평가 수행

클라우드 취약점 점검에 최적화된 솔루션

16

4. 구성도

Docker Registry

• Host OS에 SolidStep Agent 설치

• 폴링 방식(Docker, Container 원격접속)을 통한 명령 수행 및 데이터 수집

• Docker 관리 명령수행

# Docker info

• CLI 기반 명령수행

# Docker exec […] ls –al /etc/passwd

클라우드 플랫폼

- AWS

- GCP

- Azure

- OpenStack

Container

- Nginx

HOST OS

Container Image

SolidStep Agent

Docker Engine

Client

# Docker build # Docker pull # Docker run

Redis Cluster

Ubuntu

…

어플리케이션 플랫폼

- Docker

- Kubernetes

17

5. 지원 플랫폼

SolidStep forCloud는 신규 플랫폼에 대한 지속적인 개발 및 지원을 하고 있습니다.

AWS

Azure

GCP

CloudZ

IBM Cloud

Cloud

RHEV

Kubernetes

OpenStack

Hadoop

Docker

Application

ESXi

Xen

Hypervisor

Ⅲ 주요 기능

19

SolidStep forCloud는 클라우드 시스템에서의 취약점 진단을 수행하고, 정보보호 담당자에게 취약점 정보를 전달하여 해당 취약점 관리에 대한 종합적인 업무환경을 제공하며, 관리업무의 일원화 및 체계적인 운영을 지원합니다.

1. 주요기능

그룹별, 플랫폼별 정보

자산별, 진단대상별 정보

자산의 상세정보 관리

미등록 자산 관리

자산 설정

알림 관리

자산 정보

Cloud까지 포함한 진단

진단 스케줄링

템플릿 설정

진단결과 메일 발송 예약

취약 항목 맞춤화 관리

조치 기한 설정

취약점 진단

진단별(플랫폼, 그룹) 보기

그룹별, 자산별 보기

결과 비교 관리

진단이력 관리 및 다운로드

상세 진행현황 및 분석

보고서 다운로드

진단 결과

조치계획 및 완료 현황

결재요청

사전조치

조치 담당자 지정

작업내역 관리

로그 관리

조치 관리

20

2. Main 구성

사용자 접근성 및 편의성을 고려한 Web UI 방식의 관리화면으로 좌측 퀵 아이콘를 통해 빠른 작업이 가능하며, 그룹/템플릿/자산/진단별 관리 현황과 자산 정보, 취약점 점수를 한눈에 볼 수 있습니다. 또한 진단결과, 조치관리, 작업내역, 로그 등 다양한 관리기능을 제공합니다.

자산의 취약점 점수

확인

SSR 기준항목,

금융위원회 기준 항목,

Critical Issue 등

기준별 점수 확인

진단 기능들을 간편하게

사용할 수 있도록 빠른

실행 아이콘

진단 실행, 수동점검,

통합필터, 추가작업,

템플릿 관리

자산 수, 진단대상,

사용자 그룹 확인

그룹, 진단 탭으로 구성

각 탭 선택 시 해당 탭의

내용 확인

그룹별 보기, 플랫폼별

보기 선택 가능

자산, 진단대상 탭으로

구성

선택된 탭에 해당하는

자산 목록 확인

다양한 관리 기능 제공

선택한 항목 List 확인

자산별 List, 진단별

List

21

3. 자산 설정

클릭 시 진단 대상

상세정보 확인 가능

진단 대상, 진단 태그,

플랫폼 설명

[자산설정 메뉴]

진단대상: 진단대상

리스트 및 상세정보

개별 자산 : 호스트명,

대표 IP, AGENT,

원격연결, 진단대상

자동검사, 자산설명

알림 : 알림 추가 및

현재 설정된 알림 확인

상세정보 : Host name,

IP, OS Detail, Agent

Ver, 등록일자, 최신

통신일자

자산 설정 시 매번 직접 입력해야 했던 명령어를 Default로 제공하여 사용 편의성을 높이고, 명령어 오탈자를 사전에 방지해 작업 효율성을 높였습니다.

우상단 ‘진단 대상 추가’

버튼 클릭 시 노출

22

4. 진단 실행

메인 화면 좌측 퀵 아이콘을 통해 빠른 진단실행이 가능하며, 취약점 진단 시 진단 유형 선택, 스케줄링, 조치 기한 설정 및 진단 결과 메일 발송, 템플릿 사용 등으로 편리하고 빠른 진단이 가능합니다.

진단 유형 선택

기본진단, 진단만

등록(진단 예약), 재진단

진단하고자 하는 템플릿

설정

OD, DB, WEB,

NETWORK, CLOUD,

APPLICATION

진단 스케줄링 가능

조치 기한 설정 및 진단

결과 메일 발송

23

5. 진단 결과

자산 정보 및 작업 내역

통합 검색

자산번호, 호스트명, IP,

OS, OS 상세, 자산설명,

진단명, 작업내역,

사용자 ID, 사용자명 진단을 기준으로

평가점수, 현황 등을

직관적으로 보여줌

진단 결과에서 보고서

다운로드가 가능해

편의성 높아짐

취약 현황 분석

취약점 진단 후 진단 결과 카테고리에서 진단별(플랫폼/그룹), 그룹별, 자산별 결과 확인이 가능하며, 해당 결과를 동일 페이지에서 즉시 보고서로 다운로드 받을 수 있어 작업 속도 및 편의성을 높였습니다.

진단별 (플랫폼/그룹),

그룹별, 자산별 보기

24

6. 조치 관리

취약점 점검에 대한 조치 결과 확인 및 엑셀 다운로드가 가능합니다.

진단 항목에 대한 조치

결과 보기 및 엑셀

다운로드

항목별 조치 담당자

확인 및 엑셀 다운로드

25

7. 작업 내역

작업내역, 예약작업

현황 별 확인 가능

작업 내역 및 예약작업 내역의 상세 내용을 확인할 수 있으며, 엑셀 다운로드가 가능합니다.

작업 대상의 자산 정보

및 작업 시간 확인

작업 중 취소 가능

엑셀 다운로드

26

8. 로그

작업 내역에 대한 상세 로그 결과를 확인할 수 있습니다.

자산정보, 자산번호,

로그번호, IP, OS, 일시,

분류, 로그내역

엑셀 다운로드 가능

27

9. 편의기능 - 통합필터, 추가 작업

좌측 퀵 아이콘을 통해 확인하고자 하는 자산을 상세 필터링 할 수 있으며, 자산 등록, 삭제, 자동검사, 수동점검 파일 업로드 등 추가 작업도 메뉴를 찾아 헤메일 필요 없이 메인 화면에서 작업이 가능합니다.

간편한 추가 작업

자산등록, 원격접속

정보 입력, 진단정보

입력 : 엑셀 파일 업로드

방식

통합 필터로 원하는

종류의 자산 확인 가능