콘텐츠로 이동

파일 검사 정책

URL별 파일 검사 정책 설정

[정책관리] > (도메인그룹선택) > [정책설정] > URL 보안정책 > (URL선택) > [파일검사정책]

서버에 저장된 파일의 무결성(Integrity)을 검사하는 정책입니다. DeepFinder는 파일의 해시(Hash) 값크기(Size) 정보를 저장하고 있다가, 공격자에 의해 소스 코드가 수정되거나 파일 용량이 변경될 경우 이를 탐지합니다.

파일검사 정책 설정

설정 및 운영 방법

파일 검사 정책을 효과적으로 운영하기 위해서는 초기 학습 기간이 필요합니다.

  1. 초기 학습 (Baseline 설정):

    • 처음 정책을 적용할 때는 대응 방법을 ALLOW 또는 NONE으로 설정합니다.
    • 이 기간 동안 DeepFinder는 지정된 디렉토리 내 정상 파일들의 Hash 값과 크기 정보를 수집하여 데이터베이스를 구축합니다.
    • 권장 학습 기간: 서버 환경에 따라 다르나, 모든 정상 파일 정보가 업데이트될 때까지 약 1주일 정도의 운영 기간이 필요할 수 있습니다.

  2. 보안 적용 (Blocking):

    • 정상 파일 정보 수집이 완료된 후, 대응 방법을 DENY로 변경합니다.
    • 이후 파일의 위변조(소스 수정, 악성코드 삽입 등)가 발생하면 즉시 탐지하고 해당 파일에 대한 접근을 차단합니다.

  3. 검사 대상 설정:

    • 설정 화면에서 검사할 파일의 종류(확장자 그룹, 예: TEXT, IMAGE 등)를 선택할 수 있습니다.
    • 설정이 완료되면 우측 상단의 [저장] 버튼을 클릭하여 적용합니다.

주요 검사 항목

항목 설명
파일위변조 검사 기존에 존재하는 파일의 내용이나 크기가 변경되었는지 검사합니다. (웹쉘 삽입, 악성 스크립트 주입 등 탐지)
신규파일생성 검사 해당 경로에 관리자가 의도하지 않은 새로운 파일이 생성되는 것을 탐지합니다. (공격자가 백도어를 생성하는 행위 등 탐지)
검사대상 검사를 수행할 파일의 포맷을 지정합니다. (예: TEXT 등)
대응방법 위변조 또는 신규 생성 탐지 시 수행할 작업을 선택합니다. (NONE / ALLOW / DENY / REDIRECT / DETECT)