유엠브이기술(대표 방윤성)의 `쉘모니터(ShellMonitor)`는 통합 웹서버 보안솔루션이다. 유엠브이기술은 웹 해킹의 주원인인 웹쉘 탐지·방어 솔루션 개발을 시작으로 웹어플리케이션 변경방지, 악성코드 유포지 URL탐지·방어 솔루션을 추가한 버전 2.0을 발표했다. 웹쉘은 공격자가 원격에서 대상 웹 서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 파일로 홈페이지 서버 등에 설치돼 원격에서 개인정보를 유출한다.
쉘모니터는 웹서버 악성코드 탐지 방어 전용 보안솔루션으로 순수한 국내기술로 개발, 공공기관·대기업 등 4000여대의 웹서버에서 운영되고 있는 웹 악성코드 보안솔루션이다. 지난 3월에는 쉘모니터 V1.6이 CC인증(EAL2)을 획득한 바 있다. 쉘모니터를 도입한 기업은 웹 서버 보안을 위해 파이어월(Firewall), IPS, 웹 파이어월(Web Firewall) 등 기존 네트워크 보안제품을 구비한 곳으로 웹 서버에 대한 보안기능을 강화하기 위해 쉘모니터를 운영하고 있다.
쉘모니터는 유연하고 직관적인 운영환경과 관리기능이 장점이다. 윈도우서버, 리눅스, 유닉스 등 모든 웹 서버 OS를 지원하며 ASP, JSP, PHP, HTML, JS 등의 웹 서비스 언어를 포함한 이미지 등 모든 소스 파일을 대상으로 웹 서버 악성코드인 웹쉘, 악성코드 유포지 URL 및 웹 서버 개인정보를 탐지한다.
악성코드 탐지 시 이메일, SMS를 통한 알림 기능과 에이전트를 그룹별로 구분해 그룹별 에이전트 상태 정보 파악이 가능하도록 했다. 관리자 별 사용기능 제한, 접근 경로 제한, 웹서버 악성코드(웹쉘)와 악성코드 유포지 URL 탐지 내역에 대한 통계 등으로 외부 통합보안관리시스템(ESM) 연동을 지원한다.
쉘모니터는 탐지 대상 디렉토리 이하 모든 디렉토리 파일에 대해 시간·일·월 단위의 전체탐지와 예약탐지를 지원한다. 전체 탐지 이후 변경된 파일에 대한 실시간 탐지와 중요 시간 동안 에이전트를 일시 중지시키는 일시정지 기능을 이용할 수 있다. 탐지된 악성코드 파일은 암호화 및 리네임 돼 검역소로 이동되고 자동 검역과 부분검역 기능을 제공해 잘 알려진 웹서버 악성코드와 유포지 URL에 대해 자동검역을 실시한다. 서비스 소스코드에 삽입돼 있는 악성코드 유포지 URL은 부분적 삭제, 검역 기능을 지원한다.
변경탐지 부가기능도 있다. 탐지와 검역 조치하는 `업로드필터링 기능`, 중요 웹 소스 파일의 변경 방지를 설정해 수정 발생 시 자동으로 저장돼 있는 원본파일로 대체하는 `변경방지 기능` 등을 제공한다. 또 임계치 값을 설정·변경 탐지할 수 있도록 했으며 웹 서버 설정 변경을 통한 취약점을 제거하기 위해 설정 내용이 변경 됐을 때 관리자에게 보고하는 `설정변경 탐지기능`과 `디렉토리 자동 찾기 기능`도 제공한다.
방윤성 사장은 “웹 서버 본연의 기능을 지원할 수 있도록 하는 새로운 기능을 추가해 웹 보안 시장을 선도하겠다”며 “하반기에는 홈페이지 위·변조탐지 제품을 추가하는 등 지속적으로서 쉘모니터가 웹 서버 보안의 새로운 기준이 되도록 노력하겠다”고 말했다.
함봉균기자 hbkone@etnews.com
