Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
Tags
- 리눅스마스터2급
- 클라우드
- 정보처리기사
- 취약점진단
- 리눅스
- wargame
- DreamHack
- Shell
- 자격증공부
- webhacking
- 위험관리
- it자격증
- Linux
- 케이쉴드주니어
- study
- 드림핵
- Review
- 보안용어
- 자격증
- 공부
- 정리
- keyword
- IT
- 기록
- 보안
- reivew
- 워게임
- 복습
- 웹해킹
- Security
Archives
- Today
- Total
IT Memory Note
[K-Shield Jr 복습] 정보시스템 취약점 진단 기준 및 분석 실무 1 본문
정보시스템 취약점 진단 기준 수립과 절차
※ 정보관리를 수행하기 위하여 정보와 관련한 위험을 인지하고 필요한 활동을 수행해야하므로, 위험관리가 필수로 수반됩니다.
기본 개념의 이해
※ 위험관리는 위험에 영향르 줄 수 있는 변수의 적절한 통제이며, 이를 수행하기 위해 해당 변수에 대한 이해가 필요합니다.
→ 자산(Asset) : 조직에 가치가 있는 유/무형의 경제적/비경제적 자원 보호의 대상
→ 위협(Threat) : 자산에 원치 않는 결과나 해악을 미칠 수 있는 사건이나 행위
→ 취약점(Vulnerability) : 위협이 발생하기 위한 사전 조건이나 상황
정보 시스템의 종류와 특징
보안성 진단을 위해 알아야 할 정보 시스템의 종류와 특징은 아래 표들을 참고하세요.
< 유닉스의 종류와 특징 >
분야 | 세부 버전 | 특징 |
Unix (유닉스) |
AIX | · Advanced Interactive eXecutive 약자로 IBM에서 만든 유닉스 계열 운영체제 · 7.1 버전은 2010년 4월에 발표되고 9월 정식 릴리즈가 되었음 · AIX 7.1 기반 운영체제를 구성한 정보 시스템을 POWER7으로 부르고 있으며, 주로 서버용으로 사용됨 |
HP-UX | · 휴먼 팩커드(HP)에서 만든 유닉스 계열 운영체제 · 2007년 2월에 v3 버전이 정식 릴리즈 되었음 · 가용성, 안정성 등을 높이기 위해 노력한 정보 시스템으로 주로 서버용으로 사용됨 |
|
Solaris | · 오라클(Oracle)에서 만든 유닉스 계열 운영체제 · 초반 SunOS 운영체제로 개발하다가 이름을 솔라리스로 변경된 경우임 · AIX나 HP-UX와 달리 CDDL에 기반한 오픈소스형 운영체제도 운영되고 있음 |
|
Linux(CentOS) | · 레드햇(RedHat)과 제휴를 맺어 만들어짐 · 오픈 소스 운영체제 · 기업에서 무료로 리눅스 계열의 운영체제를 사용할 수 있도록 만들어진 유닉스 계열 운영체제 |
< 윈도우즈의 종류와 특징 >
분야 | 세부 버전 | 특징 |
Windows (윈도우즈) |
Windows Server 2000 Windows Server NT 5.0 |
· 윈도우즈 NT 4.0 후속 작으로 32bit 서버용 운영체제 · 참고 : 윈도우즈 NT 4.0 커널로 만들어진 운영체제는 윈도우즈 95, 98이 있고, 윈도우즈 NT 5.0 커널로 만들어진 운영체제는 윈도우즈 2000임 |
Windows Server 2003 | · 윈도우즈 NT 5.1로 만들어진 서버로, 같은 커널로 제작된 데스크톱은 윈도우즈 XP가 있음 · 서버의 운영 목적에 따라 에디션(웹 에디션, 엔터프라이즈 에디션, 데이터센터 에디션 등)으로 구분해서 사용함 · XP는 32bit, 2003은 64bit를 지원함 |
|
Windows Server 2008 | · 윈도우즈 NT 6.1으로 만들어진 서버로, 같은 커널로 제작된 데스크톱은 윈도우즈 7이 있음 · 32bit는 지원하지 않고 64bit만 지원함 · Hyper-V 가상화 기능이 추가되었음 |
|
Windows Server 2012 | · 윈도우즈 NT 6.3으로 만들어진 서버로, 같은 커널로 제작된 데스크톱은 윈도우즈 8.1이 있음 · DNS 서버, TLS/SSL 자체 지원, 802.1X 유무선 인증, AD 등 다양한 기능이 추가되거나 개선되었음 |
|
Windows Server 2016 | · 윈도우즈 10의 서버 버전으로 2016년 10월 12일 정식 출시되었음 · 나노 서버 모드가 추가되었고, 당시 동향에 맞게 클라우드 환경에 최적화되었으며, 컨테이너 및 도커 스웜 기능이 추가되었음 |
|
Windows Server 2019 | · 2018년 10월 3일 정식 출시되었음 · 쿠버네티스 지원이 추가되었고, 리눅스용 윈도우 서비스 시스템 1.0이 추가됨으로써 리눅스 바이너리를 직접 실행할 수 있음 |
< 보안 장비 및 네트워크 장비의 종류와 특징 >
분야 | 세부 버전 | 특징 |
보안 장비 | 범용 벤더 (방화벽, IPS, IDS, VPN 등) |
안랩, 하우리, 윈스, 파이어아이, 노턴 시큐리티 등 수 많은 보안 벤더사에서 제작한 보안 장비에 대한 시스템을 의미함 |
네트워크 장비 | CISSO IOS 15 | 네트워크 장비를 만드는 글로벌 업체인 시스코 시스템즈에서 제작한 대부분의 라우터와 스위치에서 사용하는 운영체제 |
JUNIOER Junos OS 12 | 컴퓨터 네트워크 관련 제품을 생산하는 주니퍼 네트웍스에서 만든 운영체제로 FreeBSD 운영체제 기반으로 라우터, 스위치 또는 기타 장비에서 사용함 | |
Radware Alteon OS 29 | 2009년 일테온을 인수한 라드웨어는 알테온에서 생산하는 스위치 운영체제를 지속적으로 개선하여 사용함 | |
Nortel Passport | Multiservice Switch로 잘 알려진 노르텔 패스포트는 자체 운영 시스템을 사용함 | |
Piolink PLOS | 대용량 네트워크 고속 처리를 할 수 있게 구성하여 클라우드 데이터 센터에 적합하게 만들어진 것으로 알려진 파이오링크의 운영체제(PioLink Operating System) |
< 제어 시스템 및 PC의 종류와 특징 >
분야 | 세부 버전 | 특징 |
제어 시스템 | 범용 벤더 (HMI, PLC, Data Historian) |
· HMI(Human-Machine Interface) : 스카다 시스템의 구성요소 중 하나로 기계 제어에 사용되는 데이터를 사람에게 친숙한 형태로 변환해서 보여주는 장치 · PLC(Programmable Logic Controller) : 특수한 목적으로 설계된 자동 제어 및 감시에 사용되는 제어 장치 · Data Historian : 시간별로 생산과 프로세스 데이터 기록 및 검색 소프트웨어 |
PC | Windows XP Professional SP3 x86 | 윈도우즈 커널 NT 5.1을 사용하고, 2014년에 기술 지원 종료된 윈도우즈 XP는 ATM 기기나 산업 공정 시스템 등 아직도 사용하고 있는 곳이 일부 있는 윈도우즈 운영체제 |
Windows 7 Professional SP2 x64 | · 윈도우즈 커널 6.1을 사용하는 이 시스템은 2008년에 공개되었음 · 윈도우즈 비스타에서 새로운 기능이 많이 도입되었으나 가장 중요한 기능상 발전은 응용프로그램과 하드웨어 호환성이었음 · 현재 윈도우즈 10과 더불어 가장 많이 사용되는 데스크톱용 운영체제 |
|
Windows 8.1 Professional x64 | · 윈도우즈 8이 출시된 후 많은 기능상 오류와 문제로 이를 개선하여 2013년에 출시되었음 · 윈도우즈 커널 NT 6.3을 사용함 · 윈도우즈 10이 곧바로(2015년) 출시되었기에 윈도우즈 8.1 일반 지원은 2020년 1월 종료되그 연장 지원은 2023년 윈도우즈 2012와 함께 종료될 예정임 |
|
Windows 10 Professional x64 | · 윈도우즈 7과 더불어 많이 사용되고 있는 운영체제로 2015년에 출시되었음 · 초기엔 윈도우즈 커널이 NT 6.4 였으나 현재 NT 10.0으로 변경되었음 · 이전 윈도우즈와 가장 다른 점은 스마트폰이나 IoT 단말기에 이 운영체제를 사용할 수 있게 만들었다는 점임 |
< 데이터베이스의 종류와 특징 >
분야 | 세부 버전 | 특징 |
데이터베이스 |
Oracle Database | 오라클사의 관계형 데이터베이스 관리 시스템으로 리눅스, Windows, IBM AIX, HP-UX 등 다양한 플랫폼을 지원함 |
MIS SQL Server | · 마이크로소프트에서 만든 SQL 서버로 1988년 사이베이스(Sybase)를 기반으로 만들어졌음 · 2017년에 들어서야 리눅스 계열로 플랫폼이 확장되었음 |
|
MySQL | · 세계에서 가장 많이 쓰이는 것으로 알려진 데이터베이스로 오픈 소스 라이선스임 · 오라클에서 오픈 소스를 인수했지만, 더 이상 발전이 없다고 판단한 핵심 개발자였던 몬티 와이드니어스는 MySQL 기반으로 한 MariaDB를 만들고 현재 대부분의 발전은 MariaDB에서 이루어지고 있 |
|
Tibero | · 국내 티맥스소프트에서 만든 데이터베이스 · 오라클 데이터베이스를 사용하는 시스템과 호환성이 뛰어나다는 점에서 오라클 데이터베이스의 대안으로 간주됨 |
|
ALTIBASE | · 국내 알티베이스사에서 제작한 데이터베이스 · 초기엔 인메모리(In-Memory) 데이터베이스로 운영되다가 현재는 온디스크(On-Disk)를 함께 지원함 · 인메모리를 기본으로 지원하기에 대용량 처리에 특화되었다는 평가가 있음 |
|
PostgreSQL | · 오픈 소스 객체 관계형 데이터베이스 시스템(ORDBMS)으로 Enterprise급 DBMS의 기능과 차세대 DBMS에서나 볼 수 있을 법한 기능들을 제공함 · 연산자, 복합 자료형, 집계함수, 자료형 확장 기능 등 다양한 객체를 사용자가 임의로 만들 수 있는 기능을 다양한 객체를 사용자가 임의로 만들 수 있는 기능을 제공함으로써 마치 새로운 프로그래밍 언어처럼 기능을 손쉽게 구현 가능 |
< 웹, 이동통신, 클라우드의 종류와 특징 >
분야 | 세부 버전 | 특징 |
웹 | 소스 코드 (웹 서버, 웹 방화벽 등) |
Apache, IIS, Nginx 등 웹 서버를 구성하는 응용 프로그램과 PHP, JSP, Tomcat 등과 같이 운영하는데 필요한 WAS를 알아두면 좋음 |
이동통신 | 이동통신 관련 설비 | 이번 2021년도 개정에 신설된 평가 분야로 총 4개 항목이며, 이동통신망을 이용한 서비스 운영 시 보안 설정, 보안 기술 적용, 보안 정책 마련 등의 부분을 평가함 |
클라우드 (AWS, GCP, 애저) |
가상화 장비 진단 (VMware, KVM 등) |
· 이동통신 분야와 마찬가지로 신설된 평가 분야로 클라우드 환경이 대중화됨에 따라 클라우드 환경에서 발생할 수 있는 보안 위협에 대응하기 위해 클라우드 서비스 접속, 계정, 인증과 관련해 총 5개의 항목으로 평가함 · 많은 정보시스템들이 클라우드로 전환이 이루어지고 있어 향후 평가 기준에 대한 구체화·세분화가 이루어질 수 있음 |
취약점 진단 및 평가 개요
※ 취약점 분석 및 평가 : 악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가 개선하는 일련의 과정
- 진단 항목
- 정보시스템의 안정적 운영을 위협하는 요소
- 요소의 항목별 세부 점검 항목을 도출하여 취약점 분석을 실시
- 발견된 취약점에 대한 취약성 등급 부여
- 위험도 산정, 빠른 대응을 위한 우선순위로 사용
- 개선방향 수립 등의 유기적 평가 수행
취약점 분석 절차
1. 계획 수립
계획 수립 | |
주요 수행안 |
· 수행 주제(자체, 외부위탁), 수행 절차, 소요 예상, 산출물 등 · 자체 : 전담반 구성, 사전 교육 → 기업 내부 부서 · 외부 위탁 : 프로젝트 준비 및 계획 → 컨설팅업체(정보보호전문 서비스 기업) |
산출물 | · 수행계획서 → 자체 · WBS → 업무 분업 구조 |
요청사항 | · 정책/지침 제공 · 업무환경 설명 |
2. 대상 식별
대상 선별 | |
주요 수행안 |
· 기반시설의 IT 자산, 제어 시스템 자산, 의료 장비 등 자산 식별 · 유형별 그룹화 · 식별된 대상 목록 중요도 산정 · 범위 내에 자산을 식별하는 것이 중요 → 물리적 범위, 서비스 범위 · 고객사의 담당자에게 자산 목록 양식을 제공하고 담당자로부터 양식에 식별된 자산 목록을 수신함 · 수행원은 받은 식별된 자산 목록들을 유형별로 그룹핑 → 같은 용도에 자산일 경우 동일한 취약점이 나올 가능성이 높으니 취약점 진단할 때 효율적임, 도출된 취약점에 대해 유형별로 대응방안을 제시함으로써 취약점 조치시에도 효율적임 · 식별된 자산 목록에 대한 자산의 중요도 평가 실시 → 정보시스템 자산별로 가장 잘 알고 있는 고객사의 운영자 또는 담당자들과의 인터뷰를 통해서 진행, 자산의 중요도 평가 시 기준은 보안의 3요소(기밀성, 무결성, 가용성) * 각 요소별로 1~5점으로 점수를 기재 |
산출물 | · 사업 및 업무 분석서 · 자산 분류 및 평가 |
요청사항 | · 정보자산 목록 |
3. 취약점 분석
취약점 분석 | |
주요 수행안 |
· 관리적/물리적/기술적 세부 점검 항목표 수립 1) 고객 요구사항이 반영된 점검 항목표 수립 - ISMS-P 국내 정보보호관리체계 수립 인증을 위한 컨설팅 수행 * 일반적으로 주통기 점검 항목 + OWASP Top 10 + 최신 취약점 반영 * 하나 이상의 점검 항목을 합칠 때 점검 항목을 하나로 통합하는 것이 중요함 2) 고객사 유형에 따른 점검 항목표 수립 - 고객사의 사업 및 업무 분석서를 통해 컴플라이언스를 준수할 수 있는 수준의 체크리스트를 준용 - 고객사 내부 점검 항목 존재시 해당 체크리스트를 준용 - 정보시스템 취약점 진단 기준으로 활용하는 기준들 * 주통기 항목, 전자금융기반시설 가이드, 행정안전부 취약점 진단 체크리스트, 국정원 취약점 진단 체크리스트 - 체크리스트에 대한 선정은 1차적으로 분야별 컴플라이언스를 준수하고 고객사 담당자와의 협의하에 선정 · 관리적/물리적 취약점 진단 · 기술적 취약점 진단 → 서버/NW/DB/보안장비/PC - 스크립트를 통한 반자동 진단, 수동진단 및 인터뷰, 텍스트 형태의 설정값 진단, 솔루션을 통한 자동 진단 · 응용시스템 모의해킹 · 취약점별 위험 등급 표시 - 대응방안을 수립하고 등급에 따라 조치 우선순위를 결정 · 개선방향 수립 - 대응방안에 따른 조치는 고객사에 이행 - 수행원은 고객사에서 이행했던 자산을 대상으로 이행 점검 |
산출물 | · 관리/물리적 진단 보고서 · 기술적 진단 보고서 · 모의해킹 분석 보고서 |
요청사항 | · 인터뷰 일정 협의 및 참여 · 진단 결과 제공 · 진단 보고서의 검토 및 의견 |
4. 취약점 평가
취약점 평가 | |
주요 수행안 |
· 주요정보통신기반시설의 위험평가 및 조치계획 수립 · 위험 조치계획을 고려한 정보보호대책 수립 - 대응방안에 따른 조치가 어렵거나 장기적(3년)인 조치인 경우 위험평가를 실시한 후 수립하고 이행 · 주요정보통신기반시설의 보호를 위한 기반시설대책 보고서 작성 · 정책/지침 개정 |
산출물 | · 위험평가, 조치계획서 · 정보보호대책서 · 기반시설 보호대책보고서 · 정책/지침(개정) |
요청사항 | · 위험평가 결과 검토 · 보호대책 우선순위 검토 · 기반시설대책 보고서 검토 · 정책/지침 검토 |
취약점 평가 방안
점검 항목 | 세부 내용 |
PC | · 점검방법 : 스크립트 및 수동 진단 · 점검항목 - 로그인 암호 설정 - 백신 설치 - 개인정보파일 보유 현황 점검 |
데이터베이스 | · 점검방법 : 스크립트 및 수동 진단 · 점검항목 - 관리자 권한 관리 - 주요 디렉터리 ACL 관리 - 로그 관리 등 현황 설정 점검 |
웹 서비스 | · 점검방법 : 수동 진단 및 인터뷰 · 점검항목 - OWASP TOP10 - 국정원 8대 취약점 등 |
보안 솔루션 | · 점검방법 : 실사 및 인터뷰 · 점검항목 - 보안 장비의 관리적 진단 - Rule-Set 진단 |
서버 | · 점검방법 : 스크립트 및 수동 진단 · 점검항목 - 취약한 패스워드 - 원격 접근 제어 - 로그 설정 등의 현황 설정 점검 |
네트워크 솔루션 | · 점검방법 : 설정 파일 점검 및 인터뷰 · 점검항목 - 네트워크 현황에 대한 구성 진단 - 네트워크 장비의 현황 설정 점검 |
취약점 진단 가이드
- 한국인터넷진흥원
- 대중적으로 가장 많이 사용되는 진단 가이드
- 주요정보통신기반시설 운영기관은 매년 취약점 분석/평가 실시 [정보통신기반 보호법 제9조]
- 정보시스템의 설정 현황 확인 + 웹 취약점 진단
- 중요 : 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드[2021]
- 금융보안원
- 금융권 기반시설을 위한 진단 가이드 배포
- 전자금융기반시설 운영기관은 매년 취약점 분석/평가 실시 [전자금융거래법]
- 평가 분야 : 인프라 영역, 서비스 영역, 모의해킹
- 매년 새로운 안내서 배포(1년 주기 갱신)
- OWASP 웹 진단 항목
- OWASP(The Open Web Application Security Project)
- 오픈소스 웹 어플리케이션 보안 프로젝트
- 주로 웹에 관한 보안 취약점에 대한 연구를 수행
취약점 평가 방안
< 기본적인 취약점 진단 절차 >
'K-Shield Jr' 카테고리의 다른 글
[K-Shield Jr - 복습] 리눅스 서버 기본 활용 방안 3 (0) | 2023.09.02 |
---|---|
[K-Shield Jr - 복습] 리눅스 서버 기본 활용 방안 2 (0) | 2023.08.17 |
[K-Shield Jr - 복습] 리눅스 서버 기본 활용 방안 1 (0) | 2023.08.16 |
[K-Shield Jr - 복습] 기업 IT 인프라 구성의 이해 (0) | 2023.08.16 |
[K-Shield Jr - 복습] 보안 업무 맛보기 및 Keyword (0) | 2023.08.15 |