정보 시스템의 이해와 취약점 진단 기준

정보 시스템이란

• 개인 또는 집단에게 유용한 정보를 제공하는 시스템이다. (= 사람 또는 장소, 사물에 대한 정보를 가지고 있을 수 있음)
• 데이터를 입력 받아서 처리하여 정보를 산출하는 시스템이다.

▶ 정보 시스템 취약점 진단

   - 컴퓨터 기반 정보 시스템의 위협/취약점을 도출 및 영향도 분석을 통해 대책을 수립하는 일련의 과정이다.

   - 현업에서는 인프라 진단이라고도 불리운다.

 

 

▷ 정보통신망

   - 컴퓨터의 이용 기술을 활용하여 정보를 수집/가공/저장/검색/송ㆍ수신하는 정보통신체계를 말한다.

 

 

▶ 정보통신기반보호법

   - 정보통신기반시설

     : 국가에서 주요 정보통신기반시설로 지정된 사업자

     : 정보통신망을 정보통신기반시설이라고도 불리움

  * 금융권 같은 경우는 주요 정보통신기반시설 가이드가 아닌 금보원에서 제공하는 금융기반시설 가이드를 따른다!

---

정보 시스템 종류와 특징

▶ 유닉스 / 리눅스 서버

   - 유닉스 서버 : AIX, HP-UX, SunOS(= 솔라리스, iso 파일 존재)

   - 리눅스 서버 : CentOS, Ubuntu, Debian, RHEL, Fedora, Slackware, SuSE, 붉은 별

        Debian 계열 : Ubuntu, Kali Linux

        RedHat 계열 : CentOS(무료), RHEL(유료)

    

 

▷ 윈도우즈 서버

   - Windows server 2008, Windows server 2008 R2, Windows server 2012

 

 

▶ 보안 장비

   - OS를 가지고 있기 때문에 보안 설정을 해주어야 한다.

방화벽 (Firewall, F/W)	ㆍ침입 차단 시스템. ㆍIP 또는 port 단위로 접근 통제 가능.
IDS (Intrusion Detection System)	ㆍ침입 탐지 시스템. ㆍRule 기반으로 공격 트래픽을 탐지하는 기능.
IPS (Intrusion Prevention System)	ㆍ침입 방지 시스템. ㆍRule 기반으로 공격 트래픽을 탐지 및 차단하는 기능.
WAF (Web Application Firewall)	ㆍ웹 방화벽. ㆍ웹 서버 보호를 전문적으로 담당하는 침입 차단 전용 장비.
NAC (Network Access Control)	ㆍ네트워크 접근제어 시스템. ㆍPC와 같은 end-point 단말에 대한 보안 기술 적용. ㆍPC 내에서 네트워크 접근 연결 요청 시 NAC 장비의 정책 준수 여부에 따라 네트워크 연결을 허가 또는 차단하는 장비
VPN (Virtual Private Network)	ㆍ가상사설망. ㆍ원격에서 회사 내부 시스템 접근 시 사용되는 보안 장비. ㆍ암호화된 접근 키 및 함호화 통신 기능이 적용되어 있음.
WIPS (Wireless IPS)	ㆍ비인가 무선신호 차단 보안 장비.

 

 

▷ 네트워크 장비

   - 장비에 직접 붙지 않는다(SSH, Telnet 열어두지 않음) ⇒ 담당자가 설명을 txt 파일로 줘서 문제를 해결한다.

L2 스위치	ㆍ보통 스위치라고 부름. ㆍMAC 주소를 기반으로 송수신 해주는 장비.
L3 스위치	ㆍIP 주소를 기반으로 송수신 해주는 장비. ㆍ같은 대역 뿐 아니라 다른 대역대의 망 또는 외부 네트워크 연결을 목적으로 함.    * 라우터 : L3 스위치와 마찬가지로 IP 주소로 송수신 해주는 주요 기능을 담당.                   L3보다는 상대적으로 규모가 큰 인프라 구축 시에 적합.
L4 스위치	ㆍport 기반 트래픽 제어. ㆍ네트워크 스위칭 장비(로드밸런싱)
L7 스위치	ㆍ컨텐츠 기반 트래픽 제어. ㆍ네트워크 스위칭 장비(로드밸런싱)

   * 로드밸런싱 : 트래픽 분산 기술을 이용하여 목적지 시스템의 부하를 줄여줌으로써 시스템의 가용성 확보를 목적

 

 

▶ 제어 시스템

   - 국가가 지정한 주요 정보통신기반시설 중 특히 산업분야에서 주로 사용하는 정보 시스템이다.

   - 컨트롤 시스템이라고 불리우며, 속도제어ㆍ조절이 필요한 그 밖의 시스템과 연동되어 오류나 버그 또는 해킹에 의해 오작동을 일으켰을 때 제어시스템을 통해 통제 또는 조절하는 역할을 담당한다.

   - ex) 발전소, 한전, 한수원 등

   * HMI : 제어 시스템을 관리하는 휴먼 인터페이스 시스템

 

 

▷ 데이터베이스

   - 개인 정보, 회사 기밀 정보, 기타 중요한 정보가 저장되는 저장소이다.

   - 데이터베이스를 관리하는 매니지먼트 시스템(DBMS)을 대상으로 진단한다.

 

 

▶ 웹

웹 서버 (Web Server)	ㆍ클라이언트가 요청한 URL을 받아서 경로를 찾고, 해당하는 파일을 실행시켜서 응답하는 역할. ㆍ주로 정적 컨텐츠 실행이 주요 기능(HTML, JavaScript, vbscript 등) ㆍex) Apache, IIS, Nginx
WAS (Web Application Server)	ㆍ주로 동적 컨텐츠 실행이 주요 기능(jsp, PHP, asp 등) ㆍex) tomcat, JEUS, Weblogic, Webshpere

소스코드 취약점 진단	ㆍ소스코드 상에 보안 취약점을 식별하여 안전한 소스코드를 적용하는 것이 목적. ㆍ웹에서 주로 사용하는 소스코드들이 진단 대상.    = HTML, JavaScript, jsp, PHP, asp 등 ㆍ진단 방법    - 개발 지식이 있는 수행원들의 수동 진단 방법    - 소스코드 진단 도구를 활용한 취약점 진단 방법    - KISA 자료실 - 기술안내가이드 - 공개SW를 활용한 소프트웨어 개발보안 검증가이드.pdf
웹 애플리케이션 취약점 진단	ㆍ홈페이지 취약점 진단 ㆍ진단 방법    - 입력 값 검증 등을 직접 수동으로 확인하는 방법    - 웹 스캐너 등을 활용하여 자동화 도구를 통해 진단하는 방법

---

정보 시스템 취약점 진단 및 분석 절차

▶ 1. 계획 수립

   - 수행 주체에 따른 취약점 진단에 소요되는 기간, 범위, 예산, 산출물 등이 상이할 수 있다.

   - 수행 주체의 분류

     ☞ 자체(기업 내에서 직접하는) 정보 시스템 자산을 소유하고 있는 기관이나 기업의 내부 직원들로 구성된 자체 전담반을 구성하여 취약점 진단 수행

     ☞ 위탁, 보안전문컨설팅 업체를 선정하고, 해당 업체의 기술컨설턴트를 고용하여 TFT(임시프로젝트조직) 취약점 진단 수행

   - 산출물 : 수행계획서, WBS(업무분업구조)

 

 

▷ 2. 진단대상 식별

   - 범위(물리적 / 서비스 범위) 내에 자산을 식별하는 것이 중요하다.

   - 고객사의 담당자에게 자산목록 양식을 제공하고 담당자로부터 양식에 식별된 자산목록을 수신한다.

   - 수행원은 받은 식별된 자산목록들을 유형별로 그룹핑한다.

     ☞ 같은 용도의 시스템일 경우 동일한 취약점이 나올 가능성이 높으므로 취약점 진단할 때 효율적

     ☞ 마찬가지로 도출된 취약점에 대해 유형별로 대응방안을 제시함으로써 취약점 조치 시에도 효율적

   - 식별된 자산목록에 대한 자산의 중요도 평가를 실시한다.

     ☞ 정보 시스템 종류별로 가장 잘 알고 있는 고객사의 운영자 또는 담당자들과의 인터뷰를 통해서 진행

     ☞ 자산 중요도 평가 시 기준은 보안 3요소(기밀성, 무결성, 가용성)

 

 

▶ 3. 취약점 분석

   - 고객사 비즈니스 유형에 따른 점검항목표를 수립한다.

     1) 고객 요구사항이 반영된 점검항목표 수립

         - ISMS 국내 정보보호관리체계 수립 인증을 위한 컨설팅 수행에 대한 요구사항

           ☞ ISMS 통제항목이 준용된 체크리스트 선정

           ☞ 보통 주요정보통신기반시설 점검항목 + OWASP TOP 10 + 최신 취약점 반영

               * 하나 이상의 점검항목을 합칠 때 중복되는 점검항목을 하나로 통합하는 것이 중요!

 

     2) 고객사 유형에 따른 점검항목표 수립

         - 고객사의 사업 및 업무 분석서를 통해 대내외 컴플라이언스를 준수할 수 있는 수준의 체크리스트를 준용

           ☞ 고객사 내부 점검항목 존재 시 해당 체크리스트를 준용

         - 체크리스트에 대한 선정은 1차적으로 분야별 컴플라이언스를 준수하고 고객사 담당자와 협의 하에 선정

         - 대표적인 취약점 진단 체크리스트 종류

           ☞ 주요정보통신기반시설 정보시스템 취약점 점검항목

           ☞ 금융 분야 취약점 진단 체크리스트

           ☞ 행정안전부 취약점 진단 체크리스트

           ☞ 국정원 취약점 진단 체크리스트

 

     3) 기술적 취약점 진단 실시

         - 스크립트를 통한 자동 진단(완전한 자동화X)

         - 솔루션을 통한 자동 진단(VADA, SSR - 솔리드스텝)

         - 수동진단 및 운영자 인터뷰를 통한 진단

         - 취약점을 도출 / 위협을 맵핑하여 등급 산정

           ☞ 대응방안을 수립하고 등급에 따라 조치 우선순위를 결정

         - 조치 및 이행점검

           ☞ 대응방안에 따른 조치는 고객사에 이행

           ☞ 수행원은 고객사에 이행했던 정보시스템을 대상으로 이행점검

 

 

▷ 4. 취약점 평가

   - 대응방안에 따른 조치가 어렵거나 장기적(3년)인 조치인 경우

   - 위험평가 실시한 후 위험전략을 수립하고 이행

   - 위협 vs 취약점 vs 위험

     ☞ 위협 : 취약점을 이용해서 공격하는 행위 그 자체

     ☞ 취약점 : 이미 공격자가 악용했던 공격기법이 적용될 수 있는 약점 또는 구조

     ☞ 위험 : 취약점과 위협이 결합되었을 때 미치는 영향(파급효과)