2010.08.03 안철수연구소, 신개념 웹 보안관제 서비스 국내 첫 출시

-웹사이트 위협 모니터링 서비스 ‘사이트케어’
-기업/기관 웹사이트 해킹 및 악성코드 유포, 사용자 정보 유출 방지
-웹 서버 아닌 웹사이트 내 콘텐츠 검사로 사용자 보호에 초점
-기업 신뢰도 향상, 좀비 PC 확산 방지 효과

우리 회사 웹사이트가 악성코드 유포지로 악용된다면? 수많은 좀비 PC를 만드는 근원지가 된다. 웹사이트에 가입한 회원의 개인정보가 유출된다면? 기업 신뢰도 하락과 고객 이탈로 이어진다. 최근 웹사이트를 해킹해 악성코드를 심어놓거나 회원 정보를 빼내는 범죄가 적지 않게 발생하는 가운데 이를 실시간 감시해주는 신개념 보안관제 서비스가 국내에서 첫 출시돼 주목된다.

 

글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 3일 국내 최초 웹사이트 위협 모니터링 서비스인 ‘사이트케어’(AhnLab SiteCare)를 출시했다고 발표했다. ‘사이트케어’는 기업/기관 웹사이트의 해킹 및 악성코드 유포, 주민번호 같은 개인정보의 노출을 실시간 모니터링해 유사 시 빠르게 조치하도록 경고해주는 혁신적인 서비스이다.
 

‘사이트케어’의 출시로 기업/기관에서는 자사 웹사이트 및 사용자의 안전을 24시간 365일 유지할 수 있게 됐다. 또한 해킹 대응, 민원 대응 비용을 최소화하고 대외 신뢰도를 향상할 수 있으며 국가적 문제인 좀비 PC 확산 방지에도 기여할 수 있다.
 

‘사이트케어’는 안철수연구소가 자체 개발한 웹 콘텐츠 진단 엔진인 ‘안티 멀사이트 엔진’(Anti-MalSite Engine, 참고자료1)과 1천만 명 이상의 사용자를 확보한 위험 사이트 차단 서비스 ‘사이트가드’를 기반으로 다양하고 지능적인 공격을 신속히 진단한다. 또한 액세스(ACCESS, 참고자료2) 전략 하에 보안관제, 컨설팅, 어플라이언스 솔루션 등과 통합된 보안 서비스로 최신 위협에 입체적 대응이 가능하다. 즉, 웹 방화벽을 우회하는 공격, 동적인 스크립트를 통한 공격 등을 빠르게 진단하며, 주민번호 등 웹을 통해 노출되는 개인정보를 탐지하여 신속한 조치를 할 수 있다(참고자료3).
 

이제까지 웹 보안 솔루션은 웹 방화벽이 유일했다. 웹 방화벽은 웹 서버 관점에서 서버에 유입되는 공격만 탐지 및 필터링한다. 그에 비해 ‘사이트케어’는 사용자 관점에서 위협을 탐지하기 위해 웹 콘텐츠를 분석 및 모니터링한다. 즉, ‘사이트케어’는 웹 방화벽이 탐지할 수 없는 난독화 스크립트 및 위협을 비롯해 제휴 사이트 및 광고와 연계된 콘텐츠의 위협까지 분석/진단한다. 또한 PDF 리더, 플래쉬 플레이어 같은 웹 응용 프로그램의 취약점 공격까지 분석/탐지한다. 아울러 웹을 통해 사용자 모르게 다운로드 및 실행되는 프로그램을 탐지해 최신 기법의 해킹 공격을 모니터링할 수 있다. 이에 따라 웹 방화벽과 상호보완적으로 사용될 수 있다.
 

안철수연구소는 ‘사이트케어’ 출시에 이어 자체 관제센터를 구축한 대형 고객을 위한 서버 제품인 ‘사이트케어 엔터프라이즈’(AhnLab SiteCare Enterprise)와, 중소기업 대상 서비스인 ‘사이트케어 라이브’(AhnLab SiteCare Live)를 차례로 출시할 예정이다.
 

한편, 안철수연구소가 집계한 바에 따르면 2008년 8월부터 올 상반기까지 국내 웹사이트의 상위 300개 중 46%에 해당하는 138개 웹사이트가 악성코드를 유포한 이력이 있다. 또한 올 상반기 위험 요소가 발견된 URL 건수는 2만8215건이며 악성 URL에 접속한 사용자 수는 261만1383건이다(참고자료4).
 

안철수연구소 김홍선 대표는 “연초에 제품의 서비스화에 주력하겠다고 발표한 바 있다. ‘사이트케어’는 ‘트러스가드 DPX’에 이어 보안관제 서비스와 결합한 두 번째 사례이다. 앞으로도 지능적 보안 위협에 입체적이고 효과적으로 대응할 수 있는 종합적인 해법을 제시해나갈 것이다.”라고 강조했다.
 

<참고자료>----------------------------------------------

 

(1) 안티 멀사이트 엔진(Anti-MalSite Engine)
위협 웹사이트에 대응하기 위해 안철수연구소가 지난 3년간 자체 기술력으로 연구개발한 웹 콘텐츠 진단 전용 엔진이다. 파일을 검사하는 백신의 엔진과 달리, 웹페이지의 모든 콘텐츠 요소와 동적인 요소를 찾아서 웹브라우저와 동일한 가상 환경에서 분석한다. 이를 통해 실제 웹 사용자 입장에서 위협 요소들을 탐지할 수 있다. 또한 웹의 해킹 행위 자체를 진단하며, 각종 취약점을 공격하는 코드의 행위 자체를 분석하기 때문에 이를 통해 백신 프로그램으로 탐지할 수 없는 신종 악성코드의 삽입까지 탐지가 가능하다. 
 

(2) 액세스(ACCESS; AhnLab Cloud Computing E-Security Service)
DDoS 공격을 비롯해 더욱 지능화 복합화한 보안 위협에 전방위 입체적으로 대응하기 위한 전략이다. ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 각종 보안 관리 데이터베이스(DB)와 유기적으로 결합해 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 시그니처 DB를 다이나믹하게 생성한다. 이 결과는 ASEC과 CERT, 안철수연구소 제품 및 서비스, 유관 전문 기관과 실시간 연계되어 신속하고 정확하게 일관된 종합 대응을 할 수 있다.
 

(3) 사이트케어가 탐지하는 보안 위협
-휴리스틱(해킹 행위 자체를 진단하는) 기반의 익스플로잇(Exploit Script Injection)
-HEX, Base64 등 기본 인코딩 및 악성 스크립트 자체 인코딩 로직, 복수 인코딩 로직
-스크립트에 의해 동적 생성(AJAX, DHTML) 및 인젝션된 링크, 프레임, 아이프레임, 옵젝트
-PDF 리더 등 액티브X 취약점 이용 스크립트 인젝션
-플래쉬 플레이어의 취약점 이용 SWF
-아이프레임, 프레임으로 제공되는 타 웹 서버 콘텐츠(제휴 콘텐츠, 광고배너 등) 인젝션
-링크 파일, 인클루드된 JS 파일, 액티브X, 동적 생성 링크 파일의 악성코드 감염
-주민번호, 신용카드번호 등 웹을 통한 개인정보 노출
 

(4) 웹 위협 현황
지난 2008년 8월부터 개인사용자 대상으로 무상 배포된 ‘사이트가드’는 현재 1천만 명 이상이 사용한다. 이를 통해 국내 웹의 위협 현황을 모니터링한 결과 지난 2년 간 총 149,957개의 도메인과 405,772개의 URL에서 악성코드가 국내에 유포됐다. 대부분 방문자가 많은 웹사이트이며, 특히 상위 100개 웹사이트 중 71개에서 악성코드가 유포되었다. 특히 상위 2000개의 웹사이트 중 499개의 웹사이트에서 악성코드가 유포됐는데, 이 중 포털 및 블로그 등 인터넷 서비스가 25.9%로 가장 비중이 높고, 그 다음으로 뉴스/미디어 사이트(14.4%), 직업정보 및 학교 등 교육 사이트(10.6%), 오픈마켓 등 전자상거래 사이트(8.8%) 순으로 나타났다. 특히 올해 들어 언론사, 방송사, 포털, 쇼핑몰 등 유명 사이트를 대상으로 한 해킹 시도가 증가했으며, 해킹에 의해 악성코드가 삽입된 경우 이를 제거 및 복구하는 데는 평균 12시간이 소요된 것으로 나타났다.