Appscan에 대한 고찰

잡담 2015. 11. 23. 00:14

홈페이지 취약점 점검 업무를 하면서 Appscan을 꽤나 많은 댓수를 운영하고 그곳에 대한 통계에 대한 데이터 검증을 하였다.

해당 업무를 하다보면 발생되는 행위에 대해서 정리해야 될 부분이 너무 나도 많다.

1] 패턴 업데이트 비용이 너무 나도 비싸다.

    예를 들어서 만약 도입비용이 정가  1억이라면 판매측에서 마진을 줄여서 5000만원에 1식을 도입한다. 그런데 월에 200만원의 패턴 업데이트 비용을 달라고 한다.

    200만원*24개월 = 4800만원?

    2년만에 솔루션 1식에 대한 비용을 뽑는다.

    글로벌한 회사이고, BMT에서 이길 상대도 없고, 그 노하우나 탐지 능력은 출중하다.

    하지만 팔로알토나 체크포인트와 같은 UTM형식의 방화벽도 저정도까지 비싸지는 않을것   이다.

2]  취약점 점검 운영에 대한 표준이 없다.

   Appscan과는 좀 다른 내용인데 우선 홈페이지 취약점 점검 가이드는 엄청나게 많다. 행자부, 국정원, 미래부,KISA도 여러개 된다. 이게 많기도 하고, 방법도 조금식 다르기도 하다.

예를 들어서 http Method같은 경우도 어떤곳에는 PUT, DELETE를 지우라고 하고 어떤곳에는 POST, GET만 허용하라고 하는곳도 있다. option? trace? 어떻게 하라는건가?

그래서 취약점 점검 메뉴얼만 만들지 말고, 통계에 대한 운영에 관한 메뉴얼도 제작 되면 좋곘다. 이런 이런 부분까지는 관리가 되어야된다. 최소 점검도구 H/W 사양이나 . 1 식에 대한 케파에 대한 부분과 이행점검 조치확인 프로세스에 대한 부분도 마찬가지다.

큰 대기업이나 금융권 공공기관 통전이나 각 센터에 취약점 점검도구는 필히 다 있을것이다.

그런 점에서 운영에 대한 가이드도 하나 만들었으면 좋겠다. 점검만 하는 비슷한 가이드는 이제 보기도 싫다. 정말 필요한걸 주면 좋겠다.

3] 통계 시스템이 너무 비싸다.

IBM통계 시스템은 약 10억 정도 한다. 그래서 몇몇SI회사에서 통계 시스템을 솔루션 형태로 만드는데 항목에 대한 부분이나 패턴등 그닥 좋지가 않다.

 과거 우리나라에서도 패닉시큐리티나 기타 다른 회사에서 취약점 점검 도구를 만들었다 하지만 외산에 밀리고, Appscan의 성능을 따라잡기 힘들어서 다들 접은걸로 알고 있다.

현재 트리니티에서 만  계속 진행중인걸로 알고 있다.

물량이 어마 어마 한거에 대해 처리할 방법이 없으니 자동점검을 좋아하게 되는데 분석가가 하는 수동점검과 차이가 계속 발생되게 되면 아마 국내 점검 도구와 통계 시스템이 각광 받을수도 있지 않을가 하는 생각도 든다.

4] 점검 도구 H/W 사양에 따라서 성능이 천차 만별

단순 1식 운용이 아닌 사이트가 많아서 여러대를 운용할 경우다. 오래된 스펙 8코어 12램 정도면 3프로세스 정도 돌릴수 있다. 16코어에 64램이면 5프로세스 정도 가능하다.

신규도입할 비용으로  성능을 향상시켜서 해결할수가 있다.

도입 비용보다 패턴 업데이트 비용이 엄청비싸다.

그래서 댓수를 늘리는것보다 다수를 운영중이라면 H/W를 클라우드 방식으로 임대하여 계속 스펙을 올리는게 더 효율적이다.

몇년 뒤에는 램디스크에서 돌리지 않을까 한다. 그렇게 되면 신규 도입할 필요성이 없어진다.계속 H/W 사양을 업그레이드를 하는게 훨신 효율적이다.

 

S/W 유지보수 비용이 10%이하 인데 참 이건 도입비용이 비싸서 그걸 절감하면 또 비율이 이상하게 된다. 패닉시큐리티 제품이 계속 성능이 좋아져서 우리나라에서 대다수 사용되고 글로벌로 수출이 가능하게 되었다면 또 하나의 경쟁력있는 제품이 되지 않았을까 하는 안타까움도 있다. 한때 정말 잘나가는 제품이였는데 아쉽다.

보안 분야만 일해본것도 아니고 여러가지 일을 해보았는데 Appscan처럼 이상한 구조를 가진 방식은 처음 본다. 먼가 정상은 아닌거 같은데 독점이라 답은 없어 보인다.

 

'잡담' 카테고리의 다른 글

경영학 관점에서 비트코인  (0) 2017.08.13
바퀴벌래...  (0) 2017.06.25
프로그래밍 이란?  (0) 2016.02.13
표창원 교수님 말씀  (0) 2016.01.01
제로데이...  (1) 2015.12.01
블로그 이미지

iesay

,