[K-Shield Jr 복습] 정보시스템 취약점 진단 기준 및 분석 실무 1

 

정보시스템 취약점 진단 기준 수립과 절차

※ 정보관리를 수행하기 위하여 정보와 관련한 위험을 인지하고 필요한 활동을 수행해야하므로, 위험관리가 필수로 수반됩니다.

기본 개념의 이해

 

※ 위험관리는 위험에 영향르 줄 수 있는 변수의 적절한 통제이며, 이를 수행하기 위해 해당 변수에 대한 이해가 필요합니다.

위험의 이해

 

→ 자산(Asset) : 조직에 가치가 있는 유/무형의 경제적/비경제적 자원 보호의 대상
→ 위협(Threat) : 자산에 원치 않는 결과나 해악을 미칠 수 있는 사건이나 행위
→ 취약점(Vulnerability) : 위협이 발생하기 위한 사전 조건이나 상황

---

정보 시스템의 종류와 특징

 

보안성 진단을 위해 알아야 할 정보 시스템의 종류와 특징은 아래 표들을 참고하세요.

< 유닉스의 종류와 특징 >

 

분야	세부 버전	특징
Unix (유닉스)	AIX	· Advanced Interactive eXecutive 약자로 IBM에서 만든 유닉스 계열 운영체제 · 7.1 버전은 2010년 4월에 발표되고 9월 정식 릴리즈가 되었음 · AIX 7.1 기반 운영체제를 구성한 정보 시스템을 POWER7으로 부르고 있으며, 주로 서버용으로 사용됨
	HP-UX	· 휴먼 팩커드(HP)에서 만든 유닉스 계열 운영체제 · 2007년 2월에 v3 버전이 정식 릴리즈 되었음 · 가용성, 안정성 등을 높이기 위해 노력한 정보 시스템으로 주로 서버용으로 사용됨
	Solaris	· 오라클(Oracle)에서 만든 유닉스 계열 운영체제 · 초반 SunOS 운영체제로 개발하다가 이름을 솔라리스로 변경된 경우임 · AIX나 HP-UX와 달리 CDDL에 기반한 오픈소스형 운영체제도 운영되고 있음
	Linux(CentOS)	· 레드햇(RedHat)과 제휴를 맺어 만들어짐 · 오픈 소스 운영체제 · 기업에서 무료로 리눅스 계열의 운영체제를 사용할 수 있도록 만들어진 유닉스 계열 운영체제

 
< 윈도우즈의 종류와 특징 >

 

분야	세부 버전	특징
Windows (윈도우즈)	Windows Server 2000 Windows Server NT 5.0	· 윈도우즈 NT 4.0 후속 작으로 32bit 서버용 운영체제 · 참고 : 윈도우즈 NT 4.0 커널로 만들어진 운영체제는 윈도우즈 95, 98이 있고, 윈도우즈 NT 5.0 커널로 만들어진 운영체제는 윈도우즈 2000임
	Windows Server 2003	· 윈도우즈 NT 5.1로 만들어진 서버로, 같은 커널로 제작된 데스크톱은 윈도우즈 XP가 있음 · 서버의 운영 목적에 따라 에디션(웹 에디션, 엔터프라이즈 에디션, 데이터센터 에디션 등)으로 구분해서 사용함 · XP는 32bit, 2003은 64bit를 지원함
	Windows Server 2008	· 윈도우즈 NT 6.1으로 만들어진 서버로, 같은 커널로 제작된 데스크톱은 윈도우즈 7이 있음 · 32bit는 지원하지 않고 64bit만 지원함 · Hyper-V 가상화 기능이 추가되었음
	Windows Server 2012	· 윈도우즈 NT 6.3으로 만들어진 서버로, 같은 커널로 제작된 데스크톱은 윈도우즈 8.1이 있음 · DNS 서버, TLS/SSL 자체 지원, 802.1X 유무선 인증, AD 등 다양한 기능이 추가되거나 개선되었음
	Windows Server 2016	· 윈도우즈 10의 서버 버전으로 2016년 10월 12일 정식 출시되었음 · 나노 서버 모드가 추가되었고, 당시 동향에 맞게 클라우드 환경에 최적화되었으며, 컨테이너 및 도커 스웜 기능이 추가되었음
	Windows Server 2019	· 2018년 10월 3일 정식 출시되었음 · 쿠버네티스 지원이 추가되었고, 리눅스용 윈도우 서비스 시스템 1.0이 추가됨으로써 리눅스 바이너리를 직접 실행할 수 있음

 
< 보안 장비 및 네트워크 장비의 종류와 특징 >

 

분야	세부 버전	특징
보안 장비	범용 벤더 (방화벽, IPS, IDS, VPN 등)	안랩, 하우리, 윈스, 파이어아이, 노턴 시큐리티 등 수 많은 보안 벤더사에서 제작한 보안 장비에 대한 시스템을 의미함
네트워크 장비	CISSO IOS 15	네트워크 장비를 만드는 글로벌 업체인 시스코 시스템즈에서 제작한 대부분의 라우터와 스위치에서 사용하는 운영체제
	JUNIOER Junos OS 12	컴퓨터 네트워크 관련 제품을 생산하는 주니퍼 네트웍스에서 만든 운영체제로 FreeBSD 운영체제 기반으로 라우터, 스위치 또는 기타 장비에서 사용함
	Radware Alteon OS 29	2009년 일테온을 인수한 라드웨어는 알테온에서 생산하는 스위치 운영체제를 지속적으로 개선하여 사용함
	Nortel Passport	Multiservice Switch로 잘 알려진 노르텔 패스포트는 자체 운영 시스템을 사용함
	Piolink PLOS	대용량 네트워크 고속 처리를 할 수 있게 구성하여 클라우드 데이터 센터에 적합하게 만들어진 것으로 알려진 파이오링크의 운영체제(PioLink Operating System)

 
< 제어 시스템 및 PC의 종류와 특징 >

 

분야	세부 버전	특징
제어 시스템	범용 벤더 (HMI, PLC, Data Historian)	· HMI(Human-Machine Interface) : 스카다 시스템의 구성요소 중 하나로 기계 제어에 사용되는 데이터를 사람에게 친숙한 형태로 변환해서 보여주는 장치 · PLC(Programmable Logic Controller) : 특수한 목적으로 설계된 자동 제어 및 감시에 사용되는 제어 장치 · Data Historian : 시간별로 생산과 프로세스 데이터 기록 및 검색 소프트웨어
PC	Windows XP Professional SP3 x86	윈도우즈 커널 NT 5.1을 사용하고, 2014년에 기술 지원 종료된 윈도우즈 XP는 ATM 기기나 산업 공정 시스템 등 아직도 사용하고 있는 곳이 일부 있는 윈도우즈 운영체제
	Windows 7 Professional SP2 x64	· 윈도우즈 커널 6.1을 사용하는 이 시스템은 2008년에 공개되었음 · 윈도우즈 비스타에서 새로운 기능이 많이 도입되었으나 가장 중요한 기능상 발전은 응용프로그램과 하드웨어 호환성이었음 · 현재 윈도우즈 10과 더불어 가장 많이 사용되는 데스크톱용 운영체제
	Windows 8.1 Professional x64	· 윈도우즈 8이 출시된 후 많은 기능상 오류와 문제로 이를 개선하여 2013년에 출시되었음 · 윈도우즈 커널 NT 6.3을 사용함 · 윈도우즈 10이 곧바로(2015년) 출시되었기에 윈도우즈 8.1 일반 지원은 2020년 1월 종료되그 연장 지원은 2023년 윈도우즈 2012와 함께 종료될 예정임
	Windows 10 Professional x64	· 윈도우즈 7과 더불어 많이 사용되고 있는 운영체제로 2015년에 출시되었음 · 초기엔 윈도우즈 커널이 NT 6.4 였으나 현재 NT 10.0으로 변경되었음 · 이전 윈도우즈와 가장 다른 점은 스마트폰이나 IoT 단말기에 이 운영체제를 사용할 수 있게 만들었다는 점임

 

< 데이터베이스의 종류와 특징 >

 

분야	세부 버전	특징
데이터베이스	Oracle Database	오라클사의 관계형 데이터베이스 관리 시스템으로 리눅스, Windows, IBM AIX, HP-UX 등 다양한 플랫폼을 지원함
	MIS SQL Server	· 마이크로소프트에서 만든 SQL 서버로 1988년 사이베이스(Sybase)를 기반으로 만들어졌음 · 2017년에 들어서야 리눅스 계열로 플랫폼이 확장되었음
	MySQL	· 세계에서 가장 많이 쓰이는 것으로 알려진 데이터베이스로 오픈 소스 라이선스임 · 오라클에서 오픈 소스를 인수했지만, 더 이상 발전이 없다고 판단한 핵심 개발자였던 몬티 와이드니어스는 MySQL 기반으로 한 MariaDB를 만들고 현재 대부분의 발전은 MariaDB에서 이루어지고 있
	Tibero	· 국내 티맥스소프트에서 만든 데이터베이스 · 오라클 데이터베이스를 사용하는 시스템과 호환성이 뛰어나다는 점에서 오라클 데이터베이스의 대안으로 간주됨
	ALTIBASE	· 국내 알티베이스사에서 제작한 데이터베이스 · 초기엔 인메모리(In-Memory) 데이터베이스로 운영되다가 현재는 온디스크(On-Disk)를 함께 지원함 · 인메모리를 기본으로 지원하기에 대용량 처리에 특화되었다는 평가가 있음
	PostgreSQL	· 오픈 소스 객체 관계형 데이터베이스 시스템(ORDBMS)으로 Enterprise급 DBMS의 기능과 차세대 DBMS에서나 볼 수 있을 법한 기능들을 제공함 · 연산자, 복합 자료형, 집계함수, 자료형 확장 기능 등 다양한 객체를 사용자가 임의로 만들 수 있는 기능을 다양한 객체를 사용자가 임의로 만들 수 있는 기능을 제공함으로써  마치 새로운 프로그래밍 언어처럼 기능을 손쉽게 구현 가능

 

< 웹, 이동통신, 클라우드의 종류와 특징 >

 

분야	세부 버전	특징
웹	소스 코드 (웹 서버, 웹 방화벽 등)	Apache, IIS, Nginx 등 웹 서버를 구성하는 응용 프로그램과 PHP, JSP, Tomcat 등과 같이 운영하는데 필요한 WAS를 알아두면 좋음
			이동통신	이동통신 관련 설비	이번 2021년도 개정에 신설된 평가 분야로 총 4개 항목이며, 이동통신망을 이용한 서비스 운영 시 보안 설정, 보안 기술 적용, 보안 정책 마련 등의 부분을 평가함
클라우드 (AWS, GCP, 애저)	가상화 장비 진단 (VMware, KVM 등)	· 이동통신 분야와 마찬가지로 신설된 평가 분야로 클라우드 환경이 대중화됨에 따라 클라우드 환경에서 발생할 수 있는 보안 위협에 대응하기 위해 클라우드 서비스 접속, 계정, 인증과 관련해 총 5개의 항목으로 평가함 · 많은 정보시스템들이 클라우드로 전환이 이루어지고 있어 향후 평가 기준에 대한 구체화·세분화가 이루어질 수 있음

---

취약점 진단 및 평가 개요

 

※ 취약점 분석 및 평가 : 악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가 개선하는 일련의 과정

 

• 진단 항목

• 정보시스템의 안정적 운영을 위협하는 요소
• 요소의 항목별 세부 점검 항목을 도출하여 취약점 분석을 실시

 

• 발견된 취약점에 대한 취약성 등급 부여

• 위험도 산정, 빠른 대응을 위한 우선순위로 사용
• 개선방향 수립 등의 유기적 평가 수행

---

취약점 분석 절차

 

1. 계획 수립 

 

계획 수립
주요 수행안	· 수행 주제(자체, 외부위탁), 수행 절차, 소요 예상, 산출물 등 · 자체 : 전담반 구성, 사전 교육 → 기업 내부 부서 · 외부 위탁 : 프로젝트 준비 및 계획 → 컨설팅업체(정보보호전문 서비스 기업)
산출물	· 수행계획서 → 자체 · WBS → 업무 분업 구조
요청사항	· 정책/지침 제공 · 업무환경 설명

 

2. 대상 식별

 

대상 선별
주요 수행안	· 기반시설의 IT 자산, 제어 시스템 자산, 의료 장비 등 자산 식별 · 유형별 그룹화 · 식별된 대상 목록 중요도 산정 · 범위 내에 자산을 식별하는 것이 중요 → 물리적 범위, 서비스 범위 · 고객사의 담당자에게 자산 목록 양식을 제공하고 담당자로부터 양식에 식별된 자산 목록을 수신함 · 수행원은 받은 식별된 자산 목록들을 유형별로 그룹핑 → 같은 용도에 자산일 경우 동일한 취약점이 나올 가능성이 높으니 취약점 진단할 때 효율적임, 도출된 취약점에 대해 유형별로 대응방안을 제시함으로써 취약점 조치시에도 효율적임 · 식별된 자산 목록에 대한 자산의 중요도 평가 실시 → 정보시스템 자산별로 가장 잘 알고 있는 고객사의 운영자 또는 담당자들과의 인터뷰를 통해서 진행, 자산의 중요도 평가 시 기준은 보안의 3요소(기밀성, 무결성, 가용성)  * 각 요소별로 1~5점으로 점수를 기재
산출물	· 사업 및 업무 분석서 · 자산 분류 및 평가
요청사항	· 정보자산 목록

 

 

3. 취약점 분석

 

취약점 분석
주요 수행안	· 관리적/물리적/기술적 세부 점검 항목표 수립  1) 고객 요구사항이 반영된 점검 항목표 수립    - ISMS-P 국내 정보보호관리체계 수립 인증을 위한 컨설팅 수행    * 일반적으로 주통기 점검 항목 + OWASP Top 10 + 최신 취약점 반영    * 하나 이상의 점검 항목을 합칠 때 점검 항목을 하나로 통합하는 것이 중요함  2) 고객사 유형에 따른 점검 항목표 수립    - 고객사의 사업 및 업무 분석서를 통해 컴플라이언스를 준수할 수 있는 수준의 체크리스트를 준용    - 고객사 내부 점검 항목 존재시 해당 체크리스트를 준용    - 정보시스템 취약점 진단 기준으로 활용하는 기준들     * 주통기 항목, 전자금융기반시설 가이드, 행정안전부 취약점 진단 체크리스트, 국정원 취약점 진단 체크리스트    - 체크리스트에 대한 선정은 1차적으로 분야별 컴플라이언스를 준수하고 고객사 담당자와의 협의하에 선정 · 관리적/물리적 취약점 진단 · 기술적 취약점 진단 → 서버/NW/DB/보안장비/PC    - 스크립트를 통한 반자동 진단, 수동진단 및 인터뷰, 텍스트 형태의 설정값 진단, 솔루션을 통한 자동 진단 · 응용시스템 모의해킹 · 취약점별 위험 등급 표시    - 대응방안을 수립하고 등급에 따라 조치 우선순위를 결정 · 개선방향 수립    - 대응방안에 따른 조치는 고객사에 이행    - 수행원은 고객사에서 이행했던 자산을 대상으로 이행 점검
산출물	· 관리/물리적 진단 보고서 · 기술적 진단 보고서 · 모의해킹 분석 보고서
요청사항	· 인터뷰 일정 협의 및 참여 · 진단 결과 제공 · 진단 보고서의 검토 및 의견

 

4. 취약점 평가

 

취약점 평가
주요 수행안	· 주요정보통신기반시설의 위험평가 및 조치계획 수립 · 위험 조치계획을 고려한 정보보호대책 수립    - 대응방안에 따른 조치가 어렵거나 장기적(3년)인 조치인 경우 위험평가를 실시한 후 수립하고 이행 · 주요정보통신기반시설의 보호를 위한 기반시설대책 보고서 작성 · 정책/지침 개정
산출물	· 위험평가, 조치계획서 · 정보보호대책서 · 기반시설 보호대책보고서 · 정책/지침(개정)
요청사항	· 위험평가 결과 검토 · 보호대책 우선순위 검토 · 기반시설대책 보고서 검토 · 정책/지침 검토

---

취약점 평가 방안

 

정보시스템 점검 항목

 

점검 항목	세부 내용
PC	· 점검방법 : 스크립트 및 수동 진단 · 점검항목  - 로그인 암호 설정  - 백신 설치  - 개인정보파일 보유 현황 점검
데이터베이스	· 점검방법 : 스크립트 및 수동 진단 · 점검항목  - 관리자 권한 관리  - 주요 디렉터리 ACL 관리  - 로그 관리 등 현황 설정 점검
웹 서비스	· 점검방법 : 수동 진단 및 인터뷰 · 점검항목  - OWASP TOP10  - 국정원 8대 취약점 등
보안 솔루션	· 점검방법 : 실사 및 인터뷰 · 점검항목  - 보안 장비의 관리적 진단  - Rule-Set 진단
서버	· 점검방법 : 스크립트 및 수동 진단 · 점검항목  - 취약한 패스워드  - 원격 접근 제어  - 로그 설정 등의 현황 설정 점검
네트워크 솔루션	· 점검방법 : 설정 파일 점검 및 인터뷰 · 점검항목  - 네트워크 현황에 대한 구성 진단  - 네트워크 장비의 현황 설정 점검

---

취약점 진단 가이드

 

• 한국인터넷진흥원

• 대중적으로 가장 많이 사용되는 진단 가이드
• 주요정보통신기반시설 운영기관은 매년 취약점 분석/평가 실시 [정보통신기반 보호법 제9조]
• 정보시스템의 설정 현황 확인 + 웹 취약점 진단
• 중요 : 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드[2021]

---

• 금융보안원

• 금융권 기반시설을 위한 진단 가이드 배포
• 전자금융기반시설 운영기관은 매년 취약점 분석/평가 실시 [전자금융거래법]
• 평가 분야 : 인프라 영역, 서비스 영역, 모의해킹
• 매년 새로운 안내서 배포(1년 주기 갱신)

---

• OWASP 웹 진단 항목

• OWASP(The Open Web Application Security Project)

      - 오픈소스 웹 어플리케이션 보안 프로젝트

      - 주로 웹에 관한 보안 취약점에 대한 연구를 수행

 

---

취약점 평가 방안

 

< 기본적인 취약점 진단 절차 >

 

취약점 진단 절차