Web Security Checker 사용 가이드

가입 절차

Web Security Checker를 사용하려면 네이버 클라우드 플랫폼[Financial]에서 제공하는 콘솔 및 리소스 등을 이용하기 위해 네이버 클라우드 플랫폼의 계정이 필요합니다.

네이버 클라우드 플랫폼[Financial]에 가입하면 모든 서비스를 이용하실 수 있으며, 사용한 서비스에 대해서만 요금이 청구됩니다.
이미 계정이 있는 경우에는 해당 단계를 건너뛸 수 있습니다.

• 포털로 이동합니다.
• 오른쪽 상단에 [회원가입] 버튼을 클릭하여 [회원가입] 페이지로 이동합니다.
• 서비스 이용 약관 및 개인정보수집이용에 대한 안내 문구를 확인하고 동의합니다.
• 법인 및 담당자 정보를 입력합니다.
• 결제수단은 직접입금과 자동이체를 선택하실 수 있습니다.
• 가입한 ID/PW를 통해 로그인하고 결제수단 선택 및 등록을 완료합니다.
• 담당자의 가입정보 및 금융회원여부 검증 후 승인이 완료되면 SSL VPN 계정이 발급되어 메일로 전송됩니다.
• SSL VPN Client 접속 툴을 설치하고 실행하여, 발급된 SSL VPN 계정으로 로그인합니다.
• Financial 콘솔은 Financial 포털에 로그인하여 [Console] 버튼을 클릭하거나, 도메인(www.fin-ncloud.com)을 직접 입력하여 접속 후 사용가능합니다.

[포털](https://www.fin-ncloud.com)에서 가입한 계정으로 [콘솔](https://console.fin-ncloud.com/)에서도 동일하게 사용이 가능합니다.

네이버 클라우드 플랫폼[Financial] 서비스를 사용하기 위해서는 반드시 SSL VPN 접속을 통해 이용가능합니다.

이용 순서

Web Security Checker 서비스 이용 시 아래와 같은 순서로 진행됩니다.

Web Security Checker 사용하기

Step 1. 콘솔 접속하기

1. 네이버 클라우드 플랫폼 포털에 접속하여 로그인 후 우측 상단의 [Console] 버튼을 클릭하여 접속합니다.

Step 2. 서비스 이용 신청하기

1. 좌측 상단의 Services 를 클릭합니다.

2. 메뉴에서 Security 하위에 있는 Web Security Checker 를 클릭합니다.

3. [진단작업 생성] 버튼을 클릭합니다.

Step 3. 서비스 이용약관 동의하기

1. 서비스 이용약관을 읽고 나서 동의할 경우 체크박스에 체크합니다.

2. [확인] 버튼을 클릭하여 본격적으로 이용 신청을 진행합니다. (이용약관 동의창은 동의 후에는 나타나지 않습니다.)

Step 4. 대상 정보 입력하기

1. http://, https:// 를 포함한 진단할 대상 URL을 입력합니다.

Step 5. 소유 여부 확인하기

1. [소유 여부 확인] 버튼을 클릭하여 네이버 클라우드 플랫폼에서 생성한 웹 서버인지 확인합니다. 타사 인프라에 속한 웹 서버라면 아래 그림과 같은 팝업이 노출됩니다.

만약 네이버 클라우드 플랫폼에 속한 웹 서버라면 Step 6로 바로 넘어가게 됩니다.

1. 웹 취약점을 점검하는 과정에서 스캐너가 타사 네트워크에서 차단되지 않도록 Web Security Checker의 NAT IP를 해당 인프라 업체에서 제공하는 방법으로 예외처리 절차를 진행 합니다.

2. [인증 파일 생성 및 다운로드] 버튼을 클릭하여 인증 파일을 다운로드하고, 해당 파일을 나열된 경로 중 원하는 한 곳에 업로드 합니다.

3. 본인 소유의 웹 서버가 아닐 경우 법적 책임이 있을 수 있다는 내용에 대한 동의를 체크합니다.

4. 동의 체크를 할 경우에만 취약점 진단이 가능합니다.

Step 6. 제외 대상 정보 입력하기

1. 진단에서 제외할 URL 정보를 입력합니다. [추가] 버튼을 클릭하여 다수의 제외 URL 입력도 가능합니다.

Step 7. 인증 정보 입력

HTTP Header를 이용한 인증 정보 입력

1. 진단 시 인증 기능을 사용하려면 HTTP Header 입력 방식을 선택하고, 사용하지 않을 경우 “입력하지 않음”을 클릭합니다.
2. HTTP Header 입력의 경우 직접 서버에 로그인한 후 Request Header 값을 HTTP Header 입력 폼에 입력합니다.

Step 8. 예약 및 세부 설정하기

1. 즉시 진단이 아닌 예약 진단을 원할 경우 [예약] 버튼을 클릭합니다.
2. 날짜를 선택하기 위해 달력 모양을 클릭합니다.
3. 진단할 날짜를 선택합니다.
4. 진단할 시간을 선택합니다.

Step 9. 추가 세부 설정하기

1. 진단 시 사용할 User- Agent를 선택합니다. 진단하고자 하는 환경에 맞게 PC, Android, iPhone 등 User Agent 중 하나를 선택합니다.
2. 진단 속도를 설정합니다. (진단 속도가 빠를수록 진단 시간은 단축될 수 있으나, 웹 서비스에 부하가 비교적 높아질 수 있습니다.)
3. 진단 완료 시 알림을 받고 싶은 경우 “통보대상 설정하기”를 클릭하여 진행할 수 있습니다.
4. 진단 이력 관리 페이지에서 표시될 해당 진단 작업에 대한 메모를 자유롭게 남길 수 있습니다.

통보대상 설정하기

1. 통보대상자를 추가하고 싶을 때 클릭하면 통보대상관리 페이지로 이동됩니다.
2. 지정할 대상자가 포함되어 있는 통보대상자 그룹을 선택합니다.
3. 추가할 대상자를 선택합니다.
4. 대상자를 추가할 때 [추가] 버튼을 클릭합니다.
5. 대상자를 삭제할 때 [삭제] 버튼을 클릭합니다.
6. 설정이 완료되었으면 [설정 저장] 버튼을 클릭합니다.

Step 10. 설정 내용 최종 확인 및 진행 방식 선택하기

1. 설정한 내용으로 진단 작업을 생성합니다. 진단 작업이 생성되면 지정한 일정(즉시 또는 예약)에 따라 작업이 진행됩니다.
2. 설정 페이지로 돌아가고자 할 때 클릭합니다.

Step 11. 작업 진행 상황 확인하기

1. 진단 시작 시간입니다. 예약 진단일 경우 진단이 시작될 시간입니다.

2. 진단이 완료된 시간입니다.

3. 현재 진단 상태입니다.

4. 웹 사이트로부터 수집되어 진단할 URL 개수입니다.

5. 발견된 취약점 개수입니다.

Step 12. 작업 중지하기

1. “URL 수집중”, “진단 진행중” 상태에서 작업 중지를 원할 경우[[중지] 버튼을 클릭합니다.

2. 정말 중지를 원할 경우 [네] 를 클릭합니다.

Step 13. 예약 취소하기

1. “진단 예약” 상태에서 취소를 원할 경우 [취소] 버튼을 클릭합니다.

2. 정말 취소를 원할 경우 [네] 버튼을 클릭합니다.

Step 14. 취약점 진단 결과 리포트 확인하기

1. 진단 완료 시 활성화되는 [리포트] 버튼을 클릭합니다.

2. 브라우저에서 바로 열람이 가능하며 PDF 파일로 다운로드를 원할 경우 클릭합니다.

Step 15. 취약점 조치 후 재진단 수행하기

1. [재진단 작업생성] 버튼을 클릭합니다. (최초 진단한 후 60일 내 동일한 대상을 추가로 2회까지 무료 재진단 가능)
   최초 진단한 후 60일 내 동일한 대상을 추가로 2회까지는 무료로 재진단을 할 수 있습니다. 앞서 발견된 취약점을 조치한 후에 “재진단 기능”을 활용한다면 보다 쉽게 취약점 조치 여부를 확인할 수 있습니다.
   

2. 최초 진단 시 입력한 “대상 정보”는 수정할 수 없습니다.

3. 최초 진단 시 “인증 정보”를 입력하였다면 해당 세션이 만료되었을 수 있으니 진단대상 사이트에서 로그인 과정을 다시 진행 후 새로운 Request Header 정보를 입력하기 바랍니다..
   

4. 진단 항목은 변경 가능합니다.

5. 설정한 내용으로 재진단 작업을 생성합니다.