웹브릭

resource >  FAQ

FAQ

WebBric에 대해 많은 분들이 궁금하시는 내용입니다.
원하시는 내용이 없을 경우 Contact의 문의하기에 글을 남겨주세요.

  • [서비스문의] 웹브릭은 어떤 서비스인가요?

    웹브릭의 '기본서비스'는 현재 운영하고 계신 웹사이트를 악의적인 공격 및 해커로 부터 안전하게 지켜주는 [웹방화벽 서비스] 이며, 

    다량의 접속으로 웹사이트를 마비시키는 [DDoS 방어] 및 웹사이트 통신을 암호화하는 [SSL 인증서]를 무료로 제공 합니다. 

     

    웹브릭 서비스 소개 보기 : https://www.webbric.io/introduce

     

     

    1. 웹방화벽 서비스 

       웹방화벽(Web Application Firewall, WAF)는 일반적인 네트워크 방화벽 (Firewall) 달리 웹 애플리케이션 보안에 특화된 서비스 입니다. 

       웹방화벽의 기본 역할은 SQL Injection, Cross-Site Scripting (XSS) 등과 같은 웹 공격을 탐지하고 차단하는 역할을 수행 합니다. 

       웹방화벽은 직접적인 웹 공격 대응 이 외에도, 정보유출 방지솔루션, 부정로그인방지솔루션, 웹사이트위변조방지솔루션 등으로 활용 가능 합니다. 

     

       즉, 웹방화벽은 위에서 이야기하는고 있는 웹보안 기능을 제공 하면서, 웹 애플리케이션을 예상하지 못한 외부의 공격으로 부터 지켜내고,

       사전에 발견하지 못한 내부의 위험 요소루부터 지켜내는 울타리 역할을 수행 합니다.   

     

    2. DDoS 공격 방어 

       DoS(Denial of Service) 서비스 거부 공격이라고도 하면 DoS는 웹어플리케이션과 같은 목표 시스템에 대량의 접속 시도를 만들어 

       다른 이용자가 정상적으로 서비스 이용을 하지 못하게 막거나, 서버의 TCP 연결을 바닥내는 등의 공격을 의미 합니다. 

       DDoS (Distributed DoS) DoS 공격을 여러 대의 공격자를 분산 배치 하여 동시에 서비스가 정상적으로 이뤄지지 않도록 하는 방법입니다. 

     

       웹브릭에서는 위와 같은 DDoS 공격으로 부터 공격을 흡수하고 완하하며 비정상 트래픽을 파악하여 차단하는 기능을 제공 하고 있습니다. 

       추가적으로 각 사이트 별 DDoS 공격 탐지를 위한 HTTP 및 HTTPS에 대한 커넥션 및 요청수를 제어 함으로써 안전한 웹사이트 운영이 가능 합니다. 

     

    3. SSL 인증서 (HTTPS 통신) 무료 제공 

       SSL 인증서란 홈페이지 접속 시 수신,송신 하는 정보를 암호화기 위한 인증서를 의미 합니다. 웹사이트 접속 시, HTTP 가 아닌 HTTPS 통신을 

       위해서는 SSL 인증서가 필요하며, 개인정보를(사용자 ID, 비밀번호, 신용카드 번호 등) 취급하는 모든 웹사이트는 개인정보 보호 강화를 위해 

       HTTPS를 기본으로 하는 웹서버 설정을 반드시 해야 합니다. 

     

       웹브릭은 Let's Encrypt를 이용하여 무료 SSL 인증서를 제공 합니다. HTTPS 가 적용 되어 있지 않은 웹사이트 더라도 웹브릭을 통해 별도의 

       웹서버 설정 변경 없이 손쉽게 HTTPS 적용이 가능하고 인증서 만료에 따른 업데이트 등의 작업은 웹브릭에서 자동으로 수행 합니다. 
  • [서비스 문의] 웹사이트를 웹방화벽에 등록 하고 싶습니다.

    안녕하세요, 웹브릭 운영팀입니다. 

     

    웹사이트를 등록 하시려면 아래와 같은 순서로 진행 부탁 드립니다. 

     

    1. 웹브릭에 신규 가입 한다. (https://console.webbric.io/signup) 

    2. 웹브릭 사용자 콘솔에 로그인 및 사용자 이메일 인증을 한다. 

    3. 사용자 콘솔에서 우측 상단에서 "웹 사이트 추가" 버튼을 클릭 한다. 

    4. 웹방화벽에 등록할 웹사이트를 입력 한다. (SSL 인증서 옵션 선택 필요) 

    5. 해당 도메인을 사용하고 있는 도메인 프로바이더(가비아, Cafe24, 아이네임즈 등)에서 DNS 레코드를 변경한다. 

     

    어려우신가요? 

    아래 동영상을 참조 해보세요 : https://www.youtube.com/watch?v=EFW50EF-qXE 

     

    기타 웹사이트 추가 등에 궁금하신 내용이 있으시면 

    언제든지 문의해주세요. 감사합니다. 
  • [이용문의] 서비스 이용료 결제는 어떻게 이뤄지나요?

    웹브릭 이용료의 결제 방법 및 결제 수단에 대해 설명 합니다. 

     

    [결제방법] 

    웹브릭의 서비스 결제 방법은 "월 단위 결제(Monthly)"와 "연 단위 결제(Yearly)" 입니다. 

    월 단위 결제는 서비스 등록 일을 기준으로 매월 결제가 진행 됩니다. 

    연 단위 결제는 서비스 등록 일을 기준으로 매년 결제가 진행 됩니다. (2개월 무료) 

     

    ex) Basic 요금제(월 29,700 원) 선택 및 2019-01-15 일 사이트 등록의 경우 

    월 단위 결제 : 매월 15일에 29,700 원이 기본결제수단으로 자동결제 됨. 

    연 단위 결제 : 매년 01월 15일에 297,000 원이 기본결제수단으로 자동결제 됨. 

     

    [결제수단] 

    본 서비스에 대한 기본 결제 수단은 "신용카드" 입니다. 

    결제카드는 사용자 콘솔 로그인 후, 오른쪽 상단 메뉴 "결제수단" 에서 카드 등록이 가능 합니다. 

    결제카드 변경은 해당 페이지 내 에서 언제든지 변경 가능 합니다. 

     

    기본 결제카드 방식이 아닌 "세금계산서" 방식으로 결제를 원하시는 경우에는 support@webbric.io 로 문의 부탁 드립니다. 

     

    [결제 이력 확인] 

    각 도메인에 대한 결제 이력은 오른쪽 상단 메뉴 "결제내역" 에서 확인이 가능 합니다. 

    결제에 대한 인보이스의 다운로드 및 출력은 "결제내역 > 청구서" 항목에서 영수증을 다운로드가 가능합니다. 

     

    이용료 결제 관련하여 궁금한 점이나 문의사항 있으시면, 

    언제든 문의해주세요. 

     

    감사합니다. 
  • 웹방화벽 도입의 이점

    1. 웹공격 방지

      (1) HTTP 기반의 웹 공격 방지

      (2) OWASP (Open Web Application Security Project) Top 10 Attacks 탐지 및 차단

       ㆍ인젝션 - SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 발생합니다.

         공격자의 악의적인 데이터는 예기치 않은 명령을 실행하거나 올바른 권한 없이 이 데 이터에 접근하도록 인터프리터를 속일 수 있습니다.

       취약한 인증 - 인증 및 세션 관리와 관련된 애플리케이션 기능이 종종 잘못 구현되어 공격자들이 암호, 키, 세션 토큰을 위험에 노출시킬 수 있거나

         일시적 또는 영구적으로 다른 사용자의 권한 획득을 위해 구현 상 결함을 악용하도록 허용합니다.

       민감한 데이터 노출 - 다수의 웹 애플리케이션과 API는 금융 정보, 건강 정보, 개인 식별 정보와 같은 중요한 정보를 제대로 보호하지 않습니다.

         공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하기 위해 보호가 취약한 데이터를 훔치거나 수정할 수 있습니다.

         중요한 데이터는 저장 또는 전송할 때 암호화 같은 추가 보호 조치가 없으면 탈취당할 수 있으며, 브라우저에서 주고받을 때 각별한 주의가 필요합니다.

       XML 외부개체(XXE) - 오래되고 설정이 엉망인 많은 XML 프로세서들은 XML 문서 내에서 외부 개체 참조를 평가합니다.

         외부 개체는 파일 URI 처리기, 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을 공개하는데 사용할 수 있습니다.

       ㆍ취약한 접근 통제 - 인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되어 있지 않습니다.

         공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 접근하거나, 중요한 파일을 보거나, 다른 사용자의 데이터를 수정하거나, 접근 권한을 변경하는 등 권한 없는 기능과 데이터에 접근할 수 있습니다.

       ㆍ잘못된 보안 구성 - 잘못된 보안 구성은 가장 흔하게 보이는 이슈입니다.

         취약한 기본 설정, 미완성 (또는 임시 설정), 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 장황한 에러 메시지로 인한 결과입니다.

         모든 운영체제, 프레임워크, 라이브러리와 애플리케이션을 안전하게 설정해야 할 뿐만 아니라 시기 적절하게 패치/업그레이드를 진행해야 합니다.

       ㆍ크로스 사이트 스크립팅(XXS) - XSS 취약점은 애플리케이션이 올바른 유효성 검사 또는 필터링 처리 없이 새 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나,

         자바스크립트와 HTML을 생성하는 브라우저 API를 활용한 사용자 제공 데이터로 기존 웹 페이지를 업데이트할 때 발생합니다.

         XSS는 피해자의 브라우저에서 공격자에 의해 스크립트를 실행시켜 사용자 세션을 탈취할 수 있게 만들고, 웹 사이트를 변조시키고, 악성 사이트로 리다이렉션 할 수 있도록 허용합니다.

       ㆍ안전하지 않은 역직렬화 - 안전하지 않은 역직렬화는 종종 원격 코드 실행으로 이어집니다.

         역직렬화 취약점이 원격 코드 실행 결과를 가져오지 않더라도 이는 권한 상승 공격, 주입 공격과 재생 공격을 포함한 다양한 공격 수행에 사용될 수 있습니다.

       ㆍ알려진 취약점이 있는 구성요소 사용 - 라이브러리, 프레임워크 및 다른 소프트웨어 모듈 같은 컴포넌트는 애플리케이션과 같은 권한으로 실행됩니다.

         만약에 취약한 컴포넌트가 악용된 경우, 이는 심각한 데이터 손실을 일으키거나 서버가 장악됩니다.

         알려진 취약점이 있는 컴포넌트를 사용한 애플리케이션과 API는 애플리케이션 방어를 약화시키거나 다양한 공격과 영향을 주게 합니다.

       ㆍ불충분한 로깅 및 모니터링 - 불충분한 로깅과 모니터링은 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 더 공격하고, 지속성을 유지하며,

         더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있습니다.

         대부분의 침해 사례에서 침해를 탐지하는 시간이 200일이 넘게 걸리는 것을 보여주고, 이는 일반적으로 내부 프로세스와 모니터링보다 외부 기관이 탐지합니다.

      (3) PCI-DSS (Payment Card Industry Data Security Standard) Compliance의 요구사항 지원

       ㆍ안전한 네트워크를 구축하고 유지한다

          - 요구사항 1: 카드회원 데이터를 보호하기 위해 방화벽 설정을 설치하고 유지한다 
          - 요구사항 2: 시스템 패스워드 및 기타 보안 파라미터에 벤더가 제공한 디폴트 값을 사용하지 않는다 

       ㆍ카드회원 데이터를 보호한다
          - 요구사항 3: 저장된 카드회원 데이터를 보호한다 
          - 요구사항 4: 공중망을 통한 카드회원 데이터 전송을 암호화한다 
       ㆍ취약점 관리 프로그램을 유지한다 

          - 요구사항 5: 안티바이러스 소프트웨어를 사용하고 정기적으로 갱신한다 
          - 요구사항 6: 안전한 시스템과 어플리케이션을 개발하고 유지한다 

       ㆍ강력한 접근 통제 대책을 적용한다 

          - 요구사항 7: 업무상 알 필요가 있는지에 따라 카드회원 데이터에 대한 접근을 제한한다 
          - 요구사항 8: 컴퓨터에 접근하는 사용자별로 고유 ID 를 부여한다 
          - 요구사항 9: 카드회원 데이터에 대한 물리적 접근을 제한한다

       ㆍ네트워크를 정기적으로 감시하고 시험한다 

          - 요구사항 10: 네트워크 자원과 카드회원 데이터에 대한 모든 접근을 추적하고 감시한다 
          - 요구사항 11: 보안시스템 및 프로세스를 정기적으로 시험한다 

       정보보호 정책을 유지한다 

          - 요구사항 12: 정보보호를 위한 정책을 유지한다

      √ Known/Unknown Worm 탐지 및 차단
      √ 웹 보안 요소 방어
      √ Cookie 변조 및 도용 방지
      √ Hidden Field 변조 방지
      √ 표준 암호 알고리즘 사용(AES, SEED)
      √ 웹 콘텐츠 필터링
      √ 개인정보 포함 파일 업로드/다운로드 탐지 차단
      √ 주민등록번호, 신용카드번호, 이메일주소, 주소, 전화번호 탐지
      √ MS-Office, Open Office, PDF, MS Outlook Message, hwp 등 30여종의 파일 검색
      √ 지정한 금지 단어 입력 시 자동 변환
      √ 해커에 의해 변조된 페이지 노출 차단 및 자동 복구

     

    2. DDos (Distributed DoS) 방지

      √ TCP SYN Floods

      √ TCP FIN Floods

      √ TCP RST Floods

      √ HTTP GET Floods

      √ HTTP Post Floods

      √ HTTP XMLRPC

      √ PingBack attacks

      √ TCP Fragment attacks

      √ Slowloris

      √ TCP Syn Spoofed

      √ ICMP Floods

      √ HTTP HEAD Floods

      √ Brute Force

      √ TCP Ack Floods

      √ Ping of Death

      √ DNS NXDomain Floods

      √ HTTP Cache Control

      √ HTTP SSL Saturation

      √ Amplified DNS DDoS

      √ RUDY

      √ Smurf

      √ As well as other attacks

     

    3. SSL 인증서 무료제공

      (1) SSL(Secure Socket Layer)은 웹사이트 방문자와 웹서버 간의 통신을 암호화하기 위하여 웹서버에 저장해야 하는 인증서

      (2) SSL을 사용하지 않고 HTTP통신을 한다면 방문자와 웹서버 간의 통신이 제3자에게 노출 가능

      (3)WebBric이 제공하는 Let’s Encrypt 인증서는 세계적으로 널리 사용되는 웹 브라우저에게 신뢰받는 Iden Trust로부터 인증