penta_MS Azure

펜타시큐리티, MS 클라우드 플랫폼 애저(Azure) 통해 클라우드 웹방화벽 ‘와플 클라우드’ 제공

펜타시큐리티, MS 클라우드 플랫폼 애저(Azure) 통해 클라우드 웹방화벽 ‘와플 클라우드’ 제공

2014년부터 AWS에서 웹방화벽, 암호화 서비스 시작해 클라우드 보안 선도
MS Azure 환경 추가 지원으로 클라우드 보안 영역 확장

 

IoT∙클라우드∙기업 정보보안 전문기업 펜타시큐리티시스템㈜ (사장 이석우 www.pentasecurity.co.kr 이하 펜타시큐리티)가 마이크로소프트의 클라우드 플랫폼인 애저(Azure) 환경에서 웹방화벽 와플 클라우드(WAPPLES Cloud)를 제공한다고 밝혔다.

 

penta_MS Azure

 

펜타시큐리티는 MS 클라우드 플랫폼 애저(Azure) 통해서도 클라우드 웹방화벽인 와플 클라우드(WAPPLES Cloud) 서비스를 시작했다. 지난 2014년부터 보안 서비스를 제공하던 아마존 웹 서비스(AWS: Amazon Web Services)와 더불어 클라우드 보안 서비스 제공 환경을 더욱 확장했다. 현재 펜타시큐리티는 일본의 Softbank White Cloud, DSR Star Cloud, 한국의 KT uCloud, SKT Cloud Z 등 국내를 포함한 세계 각국의 클라우드 플랫폼에서 보안 서비스를 제공하고 있다.

 

MS 애저를 통해 서비스되는 와플 클라우드는 국내 및 아시아·태평양 시장점유율 1위 웹방화벽인 와플의 가상 어플라이언스인 와플 SA(WAPPLES Software Appliance)를 중심으로 클라우드 웹방화벽 서비스를 제공한다. 이 서비스는 MS 애저를 이용하는 고객이 추가적으로 관리해야 하는 보안 항목 중 웹 애플리케이션 보안에 대해 펜타시큐리티의 서비스를 이용하는 형태다. 이를 통해 클라우드 환경에서 반드시 필요한 보안 요소인 웹 보안에 대한 관리 부담을 줄이고, 보다 안전한 클라우드 환경 구축이 가능해진다.

 

MS 애저는 올 초 서울과 부산 리전 데이터센터 오픈을 통해 한국 클라우드 시장에 보다 적극적으로 진입하고 있으며, 속도 및 사용 환경 측면에서도 한국 시장 맞춤형 서비스로 향상된 서비스 품질을 선보이고 있다.

 

펜타시큐리티 CSO 김덕수 전무는 “펜타시큐리티는 지난 2011년부터 KT uCloud, AWS와 같은 클라우드 환경을 통해 꾸준히 기업 고객들을 확보해왔다.” 라며 “그 동안 쌓아온 클라우드 보안 구축 레퍼런스에 대한 높은 신뢰를 기반으로, MS Azure 고객들 또한 펜타시큐리티의 웹 애플리케이션 보안 서비스를 선택할 것으로 확신한다.” 라고 밝혔다.

 

 

sontech_FtdQpxZrufRx

펜타시큐리티, 가상화폐거래소 ‘코인링크’에 웹방화벽 와플 제공

펜타시큐리티, 가상화폐거래소 ‘코인링크’에 웹방화벽 와플 제공

해킹 범죄의 표적이 되고 있는 가상화폐거래소에 웹방화벽은 필수 요소
와플 통해 금융권 수준의 웹 보안 시스템 구축

sontech_FtdQpxZrufRx

<코인링크>

IoT∙클라우드∙기업 정보보안 전문기업 펜타시큐리티시스템㈜ (사장 이석우 www.pentasecurity.co.kr 이하 펜타시큐리티)가 블록체인플랫폼 전문기업 써트온(대표 김승기 박경옥 www.coinlink.co.kr)의 가상화폐거래소 ‘코인링크’에 웹방화벽 ‘와플(WAPPLES)’을 제공했다고 밝혔다.

펜타시큐리티는 블록체인플랫폼 전문기업 써트온이 운영하는 가상화폐거래소 ‘코인링크’에 지능형 웹방화벽 와플(WAPPLES)을 제공했다. 이를 통해 코인링크에서는 개인정보 유출 및 해킹 위협 없이 보다 안정적인 가상화폐 거래가 가능해졌다.

써트온은 지난 9월 가상화폐거래소 ‘코인링크’를 개소했다. 국내에서 운영 중인 대부분의 가상화폐거래소는 규모가 작고 보안성이 취약한 곳이 많은 것에 반해, 코인링크는 보안관제기업과의 업무 협약을 진행하는 등 유저들이 안전하게 사용할 수 있는 거래소를 구축하는 것에 집중하고 있다.

국내 및 아시아∙태평양 1위 웹방화벽인 펜타시큐리티의 와플은 독자적인 기술력으로 개발한 지능형 논리 분석 엔진(COCEP)을 탑재하여 알려지지 않은 공격까지 차단하고 정확한 탐지 수행을 통해 낮은 오탐률을 보장한다는 특장점이 있다. 더불어 총 26개 보안 정책이 공격 자체의 특성을 파악하여 대응하기 때문에 오탐이 거의 발생하지 않아, 하루에 수천억원까지 거래되는 가상화폐거래소에 가장 적합한 제품이라고 볼 수 있다.

서트온 담당자는 “보안에 투자를 하지 않는 가상화폐거래소는 장기적인 관점에서 볼 때 도태될 수밖에 없다” 라며 “오랫동안 웹방화벽 시장에서 1위를 유지해 온 펜타시큐리티의 와플을 코인링크에 도입하게 되어 매우 든든하다.” 라고 밝혔다.

펜타시큐리티 기획실장 김덕수 전무는 “국내뿐만 아니라 전 세계적으로 많은 가상화폐 거래소가 해킹 범죄의 대상이 되고 있다. 금융권만큼 높은 수준의 보안이 가장 필수적인 곳이다” 라며 “많은 가상화폐거래소들이 펜타시큐리티의 금융권 수주 레퍼런스 기반해 웹 보안과 데이터 암호를 적용한다면 고객들은 정보 유출 및 자산 손실에 대한 우려 없이 안전한 거래 환경을 확보할 수 있다.” 라고 밝혔다.

04_bg_kr

국내 1위, 아시아 · 태평양 시장점유율 1위 WAPPLES!

아시아 · 태평양 시장점유율 1위 WAPPLES

글로벌 시장조사 및 컨설팅 전문기관인 프로스트 앤 설리반(Frost & Sullivan)에서 조사한 ‘인더스트리 쿼션트(Industry Quotient. IQ) : 아태지역 웹보안 벤더 2015 보고서’에서 웹방화벽 와플(WAPPLES)이 아시아·태평양 지역 시장 점유율 1위를 달성했습니다.

WAPPLES의 뛰어난 제품 성능과 시장 장악력

아태 시장에서 펜타시큐리티가 13%로 가장 높은 점유율을 가지고 있으며, 뒤이어 중국 정보보안 업체인 NSFOCUS, 다국적 글로벌 보안 기업인 임퍼바(Imperva) 및 F5 네트웍스가 차지하고 있습니다.
웹방화벽 와플이 시장점유율 1위를 달성하게 된 배경에는 국내 시장 장악력 및 제품 우수성이 자리잡고 있습니다. 펜타시큐리티는 국내에서 구축해놓은 탄탄한 네트워크를 바탕으로 일본 및 아세안 시장에서 지역 특성에 맞는 적합한 채널 파트너십과 운영 시스템을 적용해 빠르게 해외 시장을 확장하였습니다. 이와 더불어, 지능형탐지엔진 기반의 와플이 가지고 있는 다양한 성능의 제품 라인업과 클라우드 가상화 버전, 매니지먼트 시스템을 유연하게 운영하면서 반기마다 3개 국어로 웹공격동향보고서를 제공해 효과적으로 보안 위협 트렌드를 파악할 수 있습니다.

“아태시장을 선점한 웹방화벽, 펜타시큐리티의 WAPPLES입니다”

WAPPLES 이란?

 

웹방화벽 WAPPLES은, 독자적인 기술력으로 개발한 지능형 논리 분석 엔진(COCEP)을 탑재하여 알려지지 않은 공격까지 차단하고, 정확한 탐지 수행을 통해 낮은 오탐률을 보장하며, 쉬운 보안 설정과 운영 편리성까지 갖춘 제품입니다.

 

 

WAPPLES 상세 문의

메일 문의 : wps@pentasecurity.com / 전화 문의 : 02-2125-6643

 

profile

펜타시큐리티, 웹방화벽 와플 10주년 기념 신규고객 프로모션 진행

데이터암호화 및 웹보안 솔루션 전문기업 펜타시큐리티시스템㈜ (대표이사/사장 이석우, www.pentasecurity.com, 이하 펜타시큐리티)이 자사의 웹방화벽 와플(WAPPLES)의 출시 10주년을 맞아 신규고객을 대상으로 프로모션을 진행한다고 밝혔다.

펜타시큐리티의 지능형 웹방화벽 와플은 지난 2005년 출시 이후 지속적으로 시장 1위를 유지해 온 대한민국 대표 웹방화벽으로 지난 10년 동안 누적판매대수 2,500대를 돌파하였고 전 세계 170,000여개의 웹사이트를 보호하고 있으며, 약 68%의 시장 점유율(국가조달청 수주기준)로 웹방화벽 시장 1위 자리를 굳건히 하고 있다.

최근 늘어나는 해킹위협으로 인해 대기업이나 공공기관뿐만 아니라 중소기업들을 비롯하여 소규모의 웹사이트 운영자에 이르기까지 웹방화벽 수요가 점점 증가하고 있다.

이에 발맞추어 펜타시큐리티는 웹보안의 대중화를 통한 시장확대를 위해 도입비용의 부담이 절감된 서비스형태의 웹방화벽을 지속적으로 선보이고 있다. 보안서비스업체를 통한 ASP형태의 웹방화벽 서비스는 물론 클라우드 기반의 웹방화벽 서비스인 클라우드브릭(www.cloudbric.com)을 런칭하는 등 향후 모든 경제활동이 웹을 통해서 이루어지는 IoT시대에 발맞추어 보안기술의 대중화를 위해 노력하고 있다.

이러한 웹방화벽의 대중화 노력의 일환으로 WAPPLES 10주년을 맞아 기업 및 개인 신규 도입 고객을 대상으로 프로모션을 진행한다. 해당 프로모션은 6월 30일까지 진행되며 상세한 혜택은 펜타시큐리티시스템 제품사업본부에 문의를 통해 확인할 수 있다.

펜타시큐리티 기획실장 김덕수 상무는 “10여년 동안 웹보안 시장을 선도해 온 와플은 시장1위 제품으로서 웹방화벽이 ICT 보안을 아우르는 필수품으로 자리잡도록 하는데 큰 기여를 했다.”라고 말하며, “웹방화벽 구매를 검토하고 있는 기업 및 개인 사업자에게 이번 프로모션이 시장1위로 검증 받은 웹방화벽 와플을 구매할 좋은 기회가 될 것으로 기대하며, 많은 곳에서 WAPPLES 을 통해 수준 높은 보안 시스템을 구축할 수 있기를 바란다” 라고 밝혔다.

[[기사 원문 보기 – 이데일리 http://www.edaily.co.kr/ 2015. 05. 21]]

압도적 시장점유율이 기술!

압도적 시장점유율이 기술!
-국내 10대 그룹 중 8개 그룹이 선택한 WAPPLES & D’Amo-

 

현명한 소비자는 항상 최고의 제품을 선택합니다.

十中八九!

국내 10대 그룹사 중 8곳이 펜타시큐리티의 보안제품을 사용하고 있습니다.

지능형 웹방화벽 WAPPLES
데이터암호화 플랫폼 D’Amo

대한민국의 경제를 이끌어가는 기업들 뒤엔 항상 보안을 이끄는 기업 펜타시큐리티가 있습니다.

 

WAPPLES

 

WAPPLES은, 독창적인 지능형 논리 분석 엔진을 탑재하여 알려지지 않은 공격까지 차단하고 오탐 없는 정확한 탐지를 수행하며, 쉬운 보안 설정과 운영 편리성까지 갖춘 웹해킹차단시스템(WAF)입니다.

 

 

D’Amo

 

D`Amo는 2004년에 개발되어 10년간 약 1,800여 고객환경을 지원한 시장점유율 1위의 데이터암호화 솔루션입니다.
다양한 고객의 IT 시스템 환경에 적합한 컴퍼넌트로 제공하며 국내 최고수준의 암호화 성능을 보유하고 있습니다

 

 

WAPPLES 관련 상세 문의

메일 문의 : wpd@pentasecurity.com / 전화 문의 : 02-2125-6745

 

 

D’Amo 관련 상세 문의

메일 문의 : sdsol@pentasecurity.com / 전화 문의 : 02-2125-6760

 

 

프로스트앤설리반 선정 WAPPLES 아시아퍼시픽 챔피언

Web Application Firewall of the Year – Frost & Sullivan
대한민국 1위를 넘어, Asia-Pacific Champion 등극

 

국가대표 웹방화벽 WAPPLES!

펜타시큐리티의 웹방화벽 WAPPLES은 글로벌 시장조사 및 컨설팅 전문기관인 프로스트 앤 설리반(Frost & Sullivan)이 수여하는 ‘올해의 웹방화벽’부문에서 지난해에 이어 2년 연속 수상하였습니다.

프로스트 앤 설리반 (Frost & Sullivan)

 

프로스트 앤 설리반은 글로벌 성장컨설팅 기업(Global Growth Consulting)으로 미국에 본사를 둔 50여년의 역사를 가진 세계적인 글로벌 리서치 컨설팅 전문 기관으로 매년 전세계 40여개국 지사에서 ICT, 환경, 전자, 에너지, 헬스케어 등 10여개 분야에서 베스트 기업을 선정해 시상하고 있습니다.

 

펜타시큐리티의 웹방화벽 WAPPLES은 시장점유율, 매출 및 성장율, 성장전략 및 실행 우수성, 제품과 기술의 혁신성 등의 모든 평가에서 모두 1위로 평가되어 수상하게 되었습니다. 프로스트 앤 설리반은 “펜타시큐리티의 웹방화벽 와플은 논리분석 엔진의 우수한 성능을 바탕으로 한 압도적인 시장점유율로 웹방화벽 시장을 선도하고 있으며, 고객만족을 위한 효과적인 조직 운영으로 공공 및 민수에서 좋은 평가를 받고 있으며, 파트너사와의 정기적인 세미나와 교육 등을 통해 시장과 고객을 이해하고 니즈를 만족시키기 위해 지속적으로 노력하고 있는 점등에서 우수하게 평가받았다” 고 수상 선정 이유를 밝혔습니다.

펜타시큐리티,’2014 올해의 웹방화벽’부문 수상 – 보안뉴스

 

프로스트 앤 설리반 선정, 웹방화벽 와플 2년 연속 수상 – 암호화 및 웹 보안 전문기업 펜타시큐리티시스템은 웹방화벽 와플이 글로벌 시장조사 및 컨설팅 전문기관인…

 

한편, 프로스트 앤 설리반은 2013년에 발표한 보고서 “Frost IQ Asia Pacific WAF 2013″에서 아시아 퍼시픽 지역에서의 웹방화벽 시장을 분석하며, 펜타시큐리티의 WAPPLES을 자체 분석한 Frost IQ Matrix의 “챔피언 그룹”으로 선정했습니다.
Frost IQ Matrix는 웹방화벽 벤더들의 제품 및 서비스전략, 고객만족을 위한 영업전략, 친환경시스템 전략, 기업의 전체적인 사업전략 등을 고려하여 미래 성장 전략을 평가한 후, 현재의 시장점유율을 비교하여 둘 다 만족하는 기업을 챔피언(Champions), 시장점유율은 낮으나 성장가능성이 아직 미비한 기업들을 챌린저(Challengers), 시장점유율은 높으나 성장가능성이 낮을 것으로 예상되는 그룹을 디펜더(Defenders), 아직 시장점유율과 성장전략이 뚜렷하지 않은 기업들을 익스플로러(Explorers) 그룹으로 나눈 표입니다. (아래 그림 참조)

Frost IQ Asia Pacific WAF 2013 Report

 

프로스트 앤 설리반에서 매년 웹방화벽 시장을 조사 및 분석하여 벤더들의 시장점유율과 성장가능성을 평가하여 배포하는 리포트입니다.

 

펜타시큐리티의 웹방화벽 WAPPLES은 단일 시스템으로써 아래 4가지 기능을 모두 수행합니다.

– 웹해킹 차단 시스템으로서, SQL-Injection 등과 같은 주요 웹공격에 대응하여 이용환경의 보안성을 확보할 수 있습니다.
– 정보유출 방지 솔루션으로서, 개인정보보호법 등을 비롯한 컴플라이언스 이슈를 충족시킬 수 있습니다.
– 부정로그인 방지 솔루션으로서, 접근 제어등을 통해 제3자에 의한 부정로그인을 방지하여 데이터 및 네트워크에 대한 보안성을 확보할 수 있습니다.
– 웹사이트 위변조 방지 솔루션으로서, 웹사이트 및 DB의 위변조 공격에 대응하여 웹사이트 및 DB에 대한 보안성을 확보할 수 있습니다.

 

WAPPLES

 

WAPPLES은, 독창적인 지능형 논리 분석 엔진을 탑재하여 알려지지 않은 공격까지 차단하고 오탐 없는 정확한 탐지를 수행하며, 쉬운 보안 설정과 운영 편리성까지 갖춘 웹해킹차단시스템(WAF)입니다.

 

 

WAPPLES 관련 상세 문의

메일 문의 : wpd@pentasecurity.com / 전화 문의 : 02-2125-6745

 

 

웹애플리케이션 보안

전자상거래의 위기? 문제는 웹애플리케이션 보안

전자상거래의 위기? 문제는 웹애플리케이션 보안

1)인터넷 쇼핑몰 거래정보를 조작해 1만3천원을 44억원으로 뻥튀기해 가로챈 일당이 경찰에 붙잡혔다.

2)비트코인 거래소가 해커들의 공격으로 1억달러로 추정되는 금액에 해당하는 비트코인을 도난 당했다.

두 사건에 대한 언론의 분석은 단조롭다. 마치 전자상거래 자체의 문제 때문에 벌어진 사건인 것처럼 보도한다. 정말 전자상거래의 위기일까? 공개키기반구조, 디지털 서명, 디지털 봉투, 암호화 통신, 신용인증 등 전자상거래를 이루는 핵심 시스템들은 이론상 안전하다.

비트코인도 마찬가지. 그 자체로는 안전한 전자화폐다. 안전성을 조금이라도 의심한다면 지금 우리가 안락하게 누리고 있는 지식정보사회 유지에 결정적 조건인 정보통신기술의 밑바탕이 무너지는 셈이다. 사실이라면 이는 매우 심각한 위기일 것이다.

전자상거래를 구성하는 시스템들이 모두 안전하다면 왜 해킹 사고는 끊임없이 발생하는가? 위의 두 사건에는 공통점이 있다. 웹 해킹, 구체적으로는 웹 애플리케이션 해킹이라는 점이다.

■전자상거래의 허점 = 웹

전자상거래는 가상공간에서 벌어지는 일이지만 개인 신용을 바탕으로 상품과 재화 등 실제적 가치가 오가는 거래이므로 기밀성, 인증, 무결성, 부인방지 등 보안성을 완벽하게 갖춰야 한다. 하지만 애초에 정보의 공유와 개방을 목적으로 개발된 웹의 근본적 보안 취약성 때문에 거래내용이나 신용카드번호, 계좌번호, 비밀번호 등 개인 비밀정보가 유출될 위험성이 상존한다는 문제가 있다.

전자상거래는 어떻게 이뤄지는가? 우선 판매자와 소비자 그리고 인증국이 주체로서 참여자 삼각형을 이룬다. 거기에 TCP/IP 및 HTTP 등 웹 요소와 HTML 및 XML 등 문서 요소, 각종 네트워크 장비와 서버 컴퓨터, 그리고 판매자 기업의 데이터베이스와 웹 애플리케이션 등 기술적 요소가 결합되어 전체 전자상거래 체계가 구성된다.

웹 애플리케이션은 브라우저/엔진/데이터베이스 등 다층 구조로 이루어진다. 브라우저를 통해 입출력 정보를 전달받아 엔진의 동적 웹 콘텐츠 기술에 따르는 인터페이스를 통해 데이터베이스를 조작하는 응용 소프트웨어다.

전자상거래의 보안 취약성은 위 구성요소 중 주로 어디에서 발생할까? 1)과 2) 두 사건의 경우를 살펴보자.

1) 해당 쇼핑몰웹 애플리케이션이 주문 및 결제 데이터의 조작 여부에 대한 검증 기능이 취약한 점을 노려, 웹사이트와 통신하는 데이터를 중간에 변조하여 주문금액보다 결제금액이 적어지도록 조작하거나, 개발 단계에서 고려하지 않은 입력값(예를 들어, 음수값)을 넣어 결제금액을 조작하는 등의 수법을 사용했다.

2) 비트코인의 채광과 거래 과정은 암호화되어 있지만 주로 웹 상에 존재하는 비트코인 전자지갑은 암호화되어 있지 않다는 점을 악용해 비트코인 거래소 서버를 공격해 마비시킨 뒤 고객 전자지갑에서 비트코인을 훔치거나 거래소 DNS 서버를 장악해 정상적인 도메인 접속을 부정한 사이트로 연결한 후 로그인 세션을 통해 이동하는 메시지와 인증 쿠션 등의정보를 탈취함으로써 고객 계정을 해킹했다.

1)과 2) 모두, 웹 애플리케이션 해킹이다.

■네트워크/시스템/애플리케이션, 문제는 애플리케이션

모든 IT 시스템 구성은 네트워크/시스템/애플리케이션 3개 영역으로 나눌 수 있다. 최근 일어났던 온갖 보안 사고들은 대부분 애플리케이션 영역에서 발생했다. 보안은 쇠사슬과 같고 그 사슬은 가장 약한 고리만큼 약하다는 유명한 격언이 있다.

그 가장 약한 고리가 바로 애플리케이션이다. 하지만 대부분의 기업은 애플리케이션 보안을 가볍게 보고 등한시하는 경향이 있다. 애플리케이션 보안에 투자하는 노력과 비용은 네트워크 보안 투자의 10%도 채 되지 않는다. 가장 취약한 부분을 가장 덜 신경 쓰는 것이다.

혹자는 애플리케이션을 생산하는 개발자들이 안전한 코드를 만들기만 하면 저절로 해결되는 문제일 뿐이라고 말하기도 한다. 이론상 틀린 주장은 아니다. 그러나 현실적으로는 안전한 코드를 작성하는 개발자는 거의 찾아볼 수 없다.

그럴 수밖에 없는 까닭은 첫째, 보안의 창과 방패는 경쟁적으로 진화하는 법이라 시시각각 그 모습을 달리한다. 기업 시스템과 데이터 등 가치를 노리고 접근하는 모든 위협에 대해 개발자가 일일이 직접 대응하기란 사실상 불가능한 일이다.

위협수준이 높아짐에 따라 기술적 분업의 필요도 커져, 현재 정보보안 기술은 완전히 전문가의 영역에 속하게 되었다. 보안 관련 기술의 개발은 이제 각 기업에 속한 개발자들의 고유업무인 애플리케이션 개발과 함께 병행할 수 있는 수준의 일이 아니다.

둘째, 초인급 개발자가 있어 애플리케이션 자체의 기능성과 보안성을 모두 만족하는 완벽한 코드를 생산할 수 있다고 치더라도, 애플리케이션의 플랫폼 소프트웨어 등 전체 환경의 취약점은 어쩔 수 없다. 특히 소프트웨어 보안 관련 패치가 배포되기 전 빈틈을 노리는 제로데이 공격 등은 평소 제아무리 안전한 코드를 생산하려 애쓴다고 하더라도 피할 수 없는 불가항력이다.

셋째, 조직에 소속된 개발자는 한정된 기간 내에 임무를 완수해야 한다. 대개의 경우 주어진 기간은 그리 길지 않다. 그런데 업무 중 우선순위가 가장 높은 일은 보안성 확보가 아니라 애플리케이션 기능 구현과 로직 개발이다. 그러니 보안은 주어진 임무 중 상대적으로 중요도가 낮기 때문에 뒤로 밀려나고, 보안에 신경을 쓰고 싶어도 쓸 시간적 여유가 없는 상황이 대부분이다.

그러니 일선 개발자가 안전한 코드를 생산하게끔 교육함으로써 웹 공격을 막아내자는 주장은 사실상 지나치게 낙관적인 이상론으로 볼 수 있다. 보다 현실적이고 구체적인 다른 방법이 필요하다는 뜻이다.

■웹 애플리케이션 보안

기존 네트워크 방화벽과 IPS 및 IDS 등 네트워크 보안장비의 성능 및 효과는 충분히 믿을 만하다. 그런데도 웹이 만날 뻥뻥 뚫리는 까닭은 뭘까? 앞서 언급했듯, 기업 보안정책이 주로 네트워크 영역에 집중되어 있는데 최근 공격은 대부분 콘텐츠 레벨에서 일어나기 때문이다.


▲ 데티어의 패킷 분할과 네트워크 전송

어떤 데이터든 네트워크를 통해 공유하기 위해서는 기본 전송 단위인 ‘패킷’으로 분할해 전달한다. 패킷 앞부분에 할당된 패킷 헤더에 송신과 수신 주소와 해당 패킷을 어떻게 처리할지를 지시하는 조작 정보 등이 기록된다. 패킷이 네트워크를 통해 전달되어 수신자 컴퓨터에 도달하면 헤더에 기록된 정보에 따라 패킷들끼리 연결하고 합치하여 데이터로 복원된다.


▲ 네트워크/시스템/애플리케이션 등 IT 시스템 각 영역에서의 데이터 상태

방화벽과 IPS 및 IDS 등 네트워크 보안장비들은 네트워크 영역을 오가는 패킷 상태를 분석하여 위협을 탐지한다. 하지만 최근 문제시되고 있는 SQL 인젝션, XSS, 디렉토리 노출 등의 공격과 각종 데이터 위변조 그리고 부정 로그인 등 웹 보안 위협들은 콘텐츠, 즉 패킷이 웹 데이터로 해석되도록 모아야만 비로소 탐지 가능한 것들이 대부분이다.

게다가 이러한 콘텐츠를 웹 프로토콜 상의 묶음, 즉 웹 세션 단위로 분석해야만 정확한 검사가 가능하다. 이러한, 웹 세션을 포함하여 콘텐츠를 검사하는 기능은 기존 네트워크 보안장비만으로는 처리할 수 없는 부분이다.


▲ 지능형 웹 애플리케이션 방화벽의 룰 기반 탐지 체계

애플리케이션 계층의 콘텐츠 수준에서 위협을 탐지하는 웹 애플리케이션 보안이 중요한 시점이다. 웹사이트에 존재하는 취약점을 검색하는 웹 스캐너 등을 이용해 지속적 모니터링을 하고 동시에 웹 애플리케이션 방화벽 등의 도구로 방어해야 한다.

웹 애플리케이션 방화벽은 콘텐츠 레벨에서의 검사를 통해 공격을 탐지 및 차단하고 웹사이트 위변조를 방지하는 등,악의적 공격으로부터 웹사이트를 보호한다. 보다 진일보한지능형 웹방화벽은 공격을 분석하고, 공격별로 유형화된 룰을 도출, 모든 유형에 대응하는 룰 체계를 구성함으로써 기존에 알려진 공격뿐 아니라 아직 알려지지 않은 신종 공격까지도 탐지해 낸다.

그리고 만에 하나 침입을 막지 못해 데이터가 유출되는 경우를 대비해 암호화를 통해 탈취당한 데이터의 내용 노출만큼은 막아야 한다.

이 같은 조치만 취했더라도 위 1)과 2) 공격쯤은 가볍게 막아 낼 수 있었을 것이다. 다시 말해, 전자상거래 위기설은 사실이 아니다. 문제는 웹 애플리케이션 보안 위험이다. 그리고 그 위험은 미리 대비만 한다면 충분히 막을 수 있는 것들이다.

 

4 in 1 웹방화벽 WAPPLES!

웹 해킹, 웹 정보 유출, 부정 로그인, 웹사이트 위변조 한 번에 모두 해결합니다.
-4 in 1 웹방화벽 WAPPLES!-

 

웹 시대입니다.
웹을 통해 교류하고 소통하고, 세상 거의 모든 일이 웹을 통해 일어납니다.
웹 위협은 곧 사회 전체에 대한 위협입니다.

 

위협의 대중화와 심각성

 

웹이 대중화 되면서, 웹을 주요 타겟으로 삼고 기업의 정보 혹은 자산을 노리는 사이버 공격 또한 증가했습니다. 그럼에도 불구하고, 대부분의 기업들은 물리적인 공간인 회사 사무실의 보안에는 신경을 쓰는 반면, 웹의 보안에는 소홀하고 있습니다. 웹이 생활의 일부가 된 지금, 웹 보안은 선택이 아닌 필수입니다.

 

 

웹 보안의 핵심

 

전체 해킹 시도 중 70% 이상이 웹을 통해 이루어지고 있는 지금, 웹 보안은 선택이 아닌 필수입니다. 안전한 웹 보안을 위해서는 서버 시스템에 대한 이해가 선행되어야 합니다.

 

 

최근 웹 공격 동향과 공격 패턴

 

펜타시큐리티 보안성평가팀이 제공하는 웹 공격 동향 보고서, 웹 취약점 트렌드 분석, WAD보고서 등의 최신 웹 공격 동향 자료를 통해 최신 웹 위협을 분석하고 대응하십시오.

 

 

4 in 1 웹방화벽 WAPPLES!

 

펜타시큐리티의 WAPPLES은 단일 시스템으로써 아래 4가지 기능을 모두 수행합니다.

– 웹해킹 차단 시스템으로서, SQL-Injection 등과 같은 주요 웹공격에 대응하여 이용환경의 보안성을 확보할 수 있습니다.
– 정보유출 방지 솔루션으로서, 개인정보보호법 등을 비롯한 컴플라이언스 이슈를 충족시킬 수 있습니다.
– 부정로그인 방지 솔루션으로서, 접근 제어등을 통해 제3자에 의한 부정로그인을 방지하여 데이터 및 네트워크에 대한 보안성을 확보할 수 있습니다.
– 웹사이트 위변조 방지 솔루션으로서, 웹사이트 및 DB의 위변조 공격에 대응하여 웹사이트 및 DB에 대한 보안성을 확보할 수 있습니다.

 

WAPPLES은 아래와 같은 제품군으로 구성됩니다. 필요 환경에 따라 선택할 수 있습니다.

 

WAPPLES

 

WAPPLES은, 독창적인 지능형 논리 분석 엔진을 탑재하여 알려지지 않은 공격까지 차단하고 오탐 없는 정확한 탐지를 수행하며, 쉬운 보안 설정과 운영 편리성까지 갖춘 웹해킹차단시스템(WAF)입니다.

 

 

WAPPLES MS

 

네트워크의 규모가 커지고 복잡해 질수록 웹 서버를 보호하기 위한 WAPPLES의 구조도 복잡해집니다. 복잡한 환경에서의 WAPPLES 운영은 WAPPLES MS를 통해 쉽고 효과적으로 운영할 수 있습니다.

 

 

WAPPLES V-Series

 

WAPPLES V-Series는 Cloud 컴퓨팅 제공업자와 사용자를 위해 Virtual Appliance 형태로 제공되는 WAPPLES입니다.

 

 

WAPPLES WMP

 

인터넷 연결이 가능한 환경 어디에서든 PC나 모바일 기기를 통해 자신의 WAPPLES 상태를 확인하고 관리할 수 있는 웹GUI 기반의 WAPPLES Management Portal 서비스입니다.

 

 

 

WAPPLES 관련 상세 문의

메일 문의 : wpd@pentasecurity.com / 전화 문의 : 02-2125-6745

 

웹방화벽 아직도 안 쓰세요?

웹방화벽 아직도 안쓰세요?
-117,000개의 웹사이트를 보호하고 있는 시장 점유율 1위 웹방화벽 WAPPLES!-

 

최근 웹을 통한 공격의 위험성은 점점 더 고도화되고 있고, 빈번도 또한 증가하고 있습니다.

 

위협의 대중화와 심각성

 

웹이 대중화 되면서, 웹을 주요 타겟으로 삼고 기업의 정보 혹은 자산을 노리는 사이버 공격 또한 증가했습니다. 그럼에도 불구하고, 대부분의 기업들은 물리적인 공간인 회사 사무실의 보안에는 신경을 쓰는 반면, 웹의 보안에는 소홀하고 있습니다. 웹이 생활의 일부가 된 지금, 웹 보안은 선택이 아닌 필수입니다.

 

 

웹 보안의 핵심

 

전체 해킹 시도 중 70% 이상이 웹을 통해 이루어지고 있는 지금, 웹 보안은 선택이 아닌 필수입니다. 안전한 웹 보안을 위해서는 서버 시스템에 대한 이해가 선행되어야 합니다.

 

 

최근 웹 공격 동향과 공격 패턴

 

펜타시큐리티 보안성평가팀이 제공하는 웹 공격 동향 보고서, 웹 취약점 트렌드 분석, WAD보고서 등의 최신 웹 공격 동향 자료를 통해 최신 웹 위협을 분석하고 대응하십시오.

 

 

웹방화벽은 곧 WAPPLES 입니다.

 

WAPPLES은 가장 많은 고객들이 선택한 웹방화벽입니다. WAPPLES만의 독창적인 지능형 보안엔진은 알려지지 않은 공격까지 차단하고 오탐없는 정확한 탐지를 수행하며, 모든 보안기능을 탑재하고도 최고의 성능을 제공합니다.
쉬운 보안설정과 운영 편리성까지 제공하는 WAPPLES은 폭넓은 고객을 확보하며 웹방화벽의 대중화를 선도하고 있습니다.

웹방화벽은 곧 WAPPLES입니다.

 

WAPPLES

 

WAPPLES은, 독창적인 지능형 논리 분석 엔진을 탑재하여 알려지지 않은 공격까지 차단하고 오탐 없는 정확한 탐지를 수행하며, 쉬운 보안 설정과 운영 편리성까지 갖춘 웹해킹차단시스템(WAF)입니다.

 

 

WAPPLES MS

 

네트워크의 규모가 커지고 복잡해 질수록 웹 서버를 보호하기 위한 WAPPLES의 구조도 복잡해집니다. 복잡한 환경에서의 WAPPLES 운영은 WAPPLES MS를 통해 쉽고 효과적으로 운영할 수 있습니다.

 

 

WAPPLES V-Series

 

WAPPLES V-Series는 Cloud 컴퓨팅 제공업자와 사용자를 위해 Virtual Appliance 형태로 제공되는 WAPPLES입니다.

 

 

WAPPLES WMP

 

인터넷 연결이 가능한 환경 어디에서든 PC나 모바일 기기를 통해 자신의 WAPPLES 상태를 확인하고 관리할 수 있는 웹GUI 기반의 WAPPLES Management Portal 서비스입니다.

 

 

 

WAPPLES 관련 상세 문의

메일 문의 : wpd@pentasecurity.com / 전화 문의 : 02-2125-6745

 

profile

“지능형 웹방화벽, 펜타시큐리티가 원조” (아이티투데이 2013. 11. 05)

지능형 웹방화벽, 펜타시큐리티가 원조

 

[보안 릴레이 인터뷰]⑤펜타시큐리티시스템 김덕수 CTO

 

 

 

[아이티투데이 성상훈 기자] “암호화라는 것은 황금을돌로 만들었다가 다시 황금으로 만드는 작업이다.”

 

펜타시큐리티 연구소장 김덕수 CTO ‘DB암호화에 대해 이같이 비유했다. , 중요한 데이터를 쓰레기로 보이게 만들어서 알 수 없게 만들어놓은 뒤, 다시 원래 중요한 데이터의 모습으로 바꾼다는 의미다.

 

지난 2004년 출시한 펜타시큐리티시스템의 DB암호화 솔루션인디아모(D’Amo)’는공공시장에서 70% 이상 점유할 정도로 이미 DB암호화 시장에서는널리 알려져 있다. 디아모의 경우 2001, ETRI를 비롯한 국내 여러 연구소에서 연구산출물의 데이터를 보호할 수 있는 솔루션이 필요하다는 요청을 시작으로개발을 시작했다.

 

당시 국내에는 DBMS(데이터베이스관리시스템)가 국내에 활발히 보급되는 시기였고 그 수는 빠른 속도로 늘어나고 있었다.

 

당연히 암호화가 필요한 데이터베이스 수도 늘어나고 있었으니 사업성에 대한 보장은 말할 것도 없었다. 김덕수 CTO DB암호화분야의 발전이 우리나라 IT보안에 혁신을 이끌었다고 강조한다.

 

암호화를 한다는 것은 중요한 정보를식별할 수 있어야 한다는 것을 뜻한다. 중요한 정보를 식별해서 암호화한다는것 자체가 정보를 처리하는 시스템의 설계, 구현, 운영, 유지보수 등 모든 단계에 영향을 끼치기 때문에 암호화 기술의 발전은 소프트웨어 분야에 문화적 혁명을 가져다줬다고 본다.”

 

암호화 자체가 보안을 제공하지는 않는다. 김 소장은 암호화는하나의 함수일 뿐이고 암호화된 정보를 누가 복호화할 수 있느냐에 따라 비로소보안으로 이어진다고 설명했다.

 

암호화된 정보의 접근과 통제에 있어서키관리가 무엇보다 중요하다. , DB암호화솔루션은 암호화접근통제감사가 원할하게 제공되도록 설계돼야한다.”

 

디아모와 비슷한 시기에 출시된웹 방화벽솔루션와플(WAPPLES)’도이 시장에선 국내 점유율 1위를 기록하고 있다. 2005년출시 이후 1600대가 넘는 레퍼런스를 보유중이다.

 

김 소장은 와플이 지속적으로 성장할 수 있었던 이유로 구조적인 차별점을 꼽았다.

 

웹 방화벽은 일종의 검문소로 비유할 수 있다. 데이터가오고가면서 이를 검문하는 역할을 한다. 그러나 와플은 단순히 신분만 검사하는 것이 아니라, 뼈속까지 꿰뚫어 샅샅이 검사하는 것으로 생각하면 된다.”

 

인라인(inline) 상태에서 스스로 동작하기 때문에 와플은지능형웹방화벽으로도 불린다. 지금은많은 웹 보안 업체들이 사용하는 명칭이지만 업계에서는 펜타시큐리티가 처음 등장시켰다고 김 소장은 강조했다.

 

지능형웹방화벽이라 불리는 것도 데이터가 통과해도 되는지여부를 방화벽이 스스로 판단하기에 붙여진 명칭이다. 펜타시큐리티의80~90% 고객들이 데모버전을 사용한 후 바로 구매로 이어졌다고 한다이는 솔루션을 접한 순간 이같은 차별화된 성능을 인정받았기 때문이다.

 


                      

<와플의 HA(고가용성) 구성및 통합관리시스템 적용 구조>

와플은 스스로 탐지하는 웹방화벽이기에얼마나 많이탐지하느냐가 아닌,’얼마나 정확하게탐지하느냐가 가장 중요한 핵심이다. 고객사들이와플을 인정해주는 것도 바로 이런 핵심 기능 때문이다.”

 

지난 2005년 당시 국내 웹 서버는 폭발적으로 늘어나고있었지만 웹 보안에 대한 명쾌한 해결책은 없는 상태였다.

 

많은 외산 제품들이탐지 범위에 핵심을 두고 있었고 스스로 탐지하는 웹 방화벽은 전무한 상태였다. 관리자가일일이 지켜보지 않고 조치를 취하지 않아도 스스로 동작하는 방화벽이 등장했으니 당시 파격적인 등장이었던 셈이다.글로벌 외산 제품들과 경쟁에서 이길 수 있었던 이유도 여기에 있다.

 

특히 최근에는 가상화 솔루션 형태로 제공돼 그 인기를 더하고 있다.김 소장은 물리적인 하드웨어 없이 동작하는 것이 가상화 형태의 가장 큰 장점이라고 강조했다.

 

클라우드 서비스를 위한 핵심기술이가상화. 클라우드 형태에서 웹방화벽을 제공하는 것이다. 사용자는 클릭 몇번만으로 쉽게 자신의 웹 방화벽을 만들고 자신의 웹 서버에 설치할 수 있다.”

 

이 방식은 지난 2011년부터 KT u클라우드에도 적용됐다. 오는2014년에는 아마존의 AWS(아마존웹서비스)에도적용된다.

 

해외 매출 비중도 커졌다. 펜타시큐리티 올해 전체 매출의 10%로 확대됐다. 일본, 동남아시아, 아프리카, 뉴질랜드 등 규모만 보면 지난해 대비 6배 성장했다.

 

 

 

<<기사 원문 보기>>