최근 인터넷 기술의 눈부신 발전은 전자상거래 환경에 혁명적인 변화를 가져왔습니다. 더 많은 사람이 인터넷에 접속하고 온라인 거래를 활발히 하면서, 웹사이트는 기업의 주요 수익 창출 경로로 자리매김했습니다. 이에 따라 웹 플랫폼 보안의 중요성은 그 어느 때보다 강조되고 있습니다. 이 글에서는 현재 사용 가능한 클라우드 기반 VAPT(취약점 평가 및 침투 테스트) 도구 중 최고로 손꼽히는 것들을 소개하고, 이러한 도구를 스타트업과 중소기업이 어떻게 효과적으로 활용할 수 있는지에 대해 자세히 살펴보겠습니다.
가장 먼저 웹 기반 또는 전자상거래 사업자는 VA(취약성 평가)와 PT(침투 테스트)의 차이점과 공통점을 명확히 이해해야 합니다. 이러한 이해는 비즈니스에 가장 적합한 솔루션을 선택하는 데 중요한 지침이 될 것입니다. VA와 PT는 모두 상호 보완적인 서비스를 제공하지만, 각각의 목적과 접근 방식에는 뚜렷한 차이가 있습니다.
VA와 PT의 차이점
취약성 평가(VA)의 핵심 목표는 애플리케이션, 웹사이트 또는 네트워크의 모든 공개된 취약점을 정의, 식별, 분류하고 우선순위를 매기는 것입니다. VA는 흔히 ‘목록 작성’ 활동으로 묘사됩니다. 이는 이 글에서 후반부에 소개할 스캔 도구를 활용하여 수행할 수 있습니다. 이러한 과정은 기업에 시스템의 약점과 개선해야 할 부분에 대한 중요한 통찰력을 제공하므로 필수적입니다. 또한, 웹 애플리케이션 방화벽(WAF)과 같은 보안 시스템을 구성할 때 필요한 정보를 제공합니다.
반면, 침투 테스트(PT)는 좀 더 직접적이고 목표 지향적인 접근 방식을 취합니다. PT의 목적은 애플리케이션의 방어를 검증하는 것뿐만 아니라 발견된 취약점을 실제로 악용해 보는 것입니다. 이는 실제 사이버 공격을 시뮬레이션하여 애플리케이션이나 웹사이트의 취약점을 테스트하는 데 목적을 둡니다. PT는 자동화된 도구를 사용할 수도 있지만, 수동으로 진행할 수도 있습니다. 이러한 테스트를 통해 기업은 취약점이 야기하는 실제 위험 수준을 정확히 파악하고, 악의적인 공격으로부터 시스템을 보호하는 데 필요한 최적의 방어 전략을 세울 수 있습니다.
따라서, 취약성 평가는 침투 테스트를 수행하기 위한 사전 정보를 제공한다고 할 수 있습니다. 이상적으로는 두 가지 목적을 모두 충족할 수 있는 포괄적인 기능의 도구를 선택하는 것이 바람직합니다.
이제 다양한 VAPT 도구 옵션을 살펴보겠습니다.
아스트라
아스트라는 전자상거래에 특화된 기능을 제공하는 클라우드 기반 VAPT 도구입니다. WordPress, Joomla, OpenCart, Drupal, Magento, PrestaShop 등 다양한 플랫폼을 지원하며, 웹 애플리케이션 보안 평가를 위한 종합적인 애플리케이션, 멀웨어, 네트워크 테스트를 제공합니다.
아스트라는 특정 기간 동안 웹사이트에서 차단된 위협에 대한 그래픽 분석을 보여주는 직관적인 대시보드를 함께 제공합니다.
주요 기능은 다음과 같습니다.
- 애플리케이션 정적 및 동적 코드 분석
정적 코드 분석과 동적 분석을 통해 런타임 전후에 애플리케이션 코드를 검사하여 실시간으로 위협을 포착하고 즉시 수정할 수 있도록 합니다.
또한, 알려진 멀웨어에 대한 자동화된 애플리케이션 검사를 수행하고, 멀웨어를 제거합니다. 파일 차이 검사를 통해 내부 프로그램이나 외부 공격자에 의해 악의적으로 변경되었을 수 있는 파일의 무결성을 인증합니다. 멀웨어 검사 섹션에서 웹사이트에 잠재된 멀웨어에 대한 유용한 정보를 얻을 수 있습니다.
아스트라는 자동화된 위협 탐지 및 로깅 기능을 통해, 애플리케이션의 어느 부분이 공격에 가장 취약한지, 과거 공격 시도를 바탕으로 가장 많이 악용된 부분에 대한 정보를 제공합니다.
- 결제 게이트웨이 및 인프라 테스트
아스트라는 결제 통합을 사용하는 애플리케이션에 대한 결제 게이트웨이 침투 테스트를 수행합니다. 또한, 인프라 테스트를 통해 애플리케이션의 호스팅 인프라의 보안을 보장합니다.
내부 보안 위험에 비즈니스를 노출시킬 수 있는 라우터, 스위치, 프린터 및 기타 네트워크 노드에 대한 네트워크 침투 테스트도 제공합니다.
아스트라의 테스트는 OWASP, PCI, SANS, CERT, ISO27001과 같은 주요 보안 표준을 기반으로 합니다.
인빅티
인빅티는 다양한 기능이 탑재된 엔터프라이즈급의 중대형 비즈니스 솔루션입니다. Proof-Based-Scanning™ 기술을 통해 완전 자동화 및 통합된 강력한 스캔 기능을 자랑합니다.
인빅티는 기존 도구와 광범위한 통합 기능을 제공합니다. Jira, Clubhouse, Bugzilla, AzureDevops와 같은 문제 추적 도구에 쉽게 통합할 수 있으며, Trello와 같은 프로젝트 관리 시스템과도 연동됩니다. 또한, Jenkins, Gitlab CI/CD, Circle CI, Azure와 같은 CI(지속적 통합) 시스템을 사용하여 인빅티를 SDLC(소프트웨어 개발 수명 주기)에 통합할 수 있습니다. 따라서 빌드 파이프라인에 애플리케이션 출시 전 취약점 검사를 포함할 수 있습니다.
인텔리전스 대시보드는 애플리케이션 내 보안 버그, 심각도 수준, 수정된 보안 버그에 대한 통찰력을 제공합니다. 또한, 스캔 결과 및 잠재적인 보안 허점에서 취약점 정보를 제공합니다.
테너블
테너블.io는 모든 웹 애플리케이션의 보안 상태에 대한 중요한 정보를 제공하는 엔터프라이즈급 웹 애플리케이션 스캐닝 도구입니다.
설정과 실행이 간편하며, 실행 중인 단일 애플리케이션뿐만 아니라 배포된 모든 웹 애플리케이션에 초점을 맞춥니다.
또한, 널리 알려진 OWASP Top 10 취약점을 기반으로 취약점 검색을 수행하여 모든 보안 전문가가 웹 애플리케이션 스캔을 쉽게 시작하고 결과를 이해할 수 있도록 합니다. 수동으로 애플리케이션을 반복해서 스캔해야 하는 번거로움을 피하기 위해 자동 스캔을 예약할 수 있습니다.
펜테스트 도구 스캐너는 웹사이트에서 확인할 취약점에 대한 포괄적인 스캔 정보를 제공합니다.
웹 지문, SQL 인젝션, 교차 사이트 스크립팅, 원격 명령 실행, 로컬/원격 파일 포함 등을 포함한 다양한 취약점을 탐지합니다. 무료 스캔도 가능하지만 기능이 제한적입니다.
보고서는 웹사이트와 다양한 취약점(있는 경우) 및 심각도 수준에 대한 자세한 정보를 보여줍니다. 다음은 무료 ‘라이트’ 스캔 보고서의 스크린샷입니다.
PRO 계정에서 원하는 스캔 모드를 선택할 수 있습니다.
대시보드는 매우 직관적이며 수행된 모든 스캔과 다양한 심각도 수준에 대한 자세한 정보를 제공합니다.
위협 검사를 예약할 수도 있으며, 테스터는 수행된 스캔에서 취약점 보고서를 생성할 수 있는 기능을 제공합니다.
구글 SCC
보안 명령 센터(SCC)는 Google Cloud의 보안 모니터링 리소스입니다.
이를 통해 GCP 사용자는 추가 도구 없이 기존 프로젝트의 보안 모니터링을 설정할 수 있습니다.
SCC에는 다양한 기본 보안 소스가 포함되어 있습니다. 예를 들어:
- 클라우드 이상 감지 – DDoS 공격으로 생성된 비정상적인 데이터 패킷을 탐지하는 데 유용합니다.
- 클라우드 보안 스캐너 – XSS(교차 사이트 스크립팅), 일반 텍스트 암호 사용 및 앱의 오래된 라이브러리와 같은 취약점을 감지하는 데 효과적입니다.
- 클라우드 DLP 데이터 검색 – 민감하거나 규제 대상 데이터가 포함된 스토리지 버킷 목록을 제공합니다.
- Forseti Cloud SCC 커넥터 – 사용자 정의 스캐너 및 감지기를 개발할 수 있도록 지원합니다.
또한 CloudGuard, Chef Automate, Qualys Cloud Security, Reblaze와 같은 파트너 솔루션도 통합되어 있습니다. 이 모든 것을 Cloud SCC에 통합할 수 있습니다.
결론
웹사이트 보안은 복잡하지만, 취약점을 쉽게 식별하고 온라인 위협을 완화하는 데 도움이 되는 다양한 도구가 제공됩니다. 아직 사용하고 있지 않다면 지금 바로 위에 제시된 솔루션을 시도하여 온라인 비즈니스를 안전하게 보호하시기 바랍니다.