SolidStep (인프라 보안진단 관리 솔루션)

취.약.점. 진.단.

1. 취약점진단 이란?

취약점 (脆弱點, Vulnerability) 컴퓨터의 H/W, S/W의 결함이나 설계(설정)상의 허점

취약점 악용

現 조직의 현황파악 기술적 분석

악의적 크래커의 침투

내부 비인가자 통제 어려움

인사정보 및 기밀정보 유출

제품 설계도면 유출

서비스 거부 공격 (DoS)

서비스 차단 (Interruption)

비인가자 접근 허용

정상적인 서비스 방해

주요 데이터 유출/변조/삭제

연간 위험관리 활동 : 정보보호 컨설팅, 내부 보안감사 등

3

Compliance

취약점 진단의 컴플라이언스는 자체적으로 개선이 가능한 인프라 및 웹 취약점을 위주로 선정

Infrastructure

취약점 진단 Application

취약점 진단 Web

취약점 진단

IT Infra Configuration 진단

(OS, Network, DBMS, WEB/WAS 등)

어플리케이션 취약점 진단

(Microsoft, Adobe, Open SSL, Java 등)

웹 서버의 소스 진단

(HTML, ASP, JSP, PHP 등)

취약점 해결 : 자체 개선 가능 내부 대응 : 운영자 수정 가능

취약점 해결 : 자체 개선 불가 (제조사 패치에 절대 의존)

내부 대응 : 운영자 수정 불가

취약점 해결 : 자체 개선 일부 가능 내부 대응 : 개발자 수정 일부 가능

Compliance

2. 취약점진단 유형

CCE CVE

4

정보통신기반보호법

3. 강화되는 정보보호 관련 법규 준수사항

전자금융거래법 + 금융위원회

주요정보통신 기반보호시설 관리기관은 매년 취약점 분석/평가를 실시하여야 함 [정보통신기반 보호법 제 9조]

Unix, Windows, Network 장비, DBMS, WEB/WAS, 보안 장비, 제어시스템, PC에 대한 설정현황을 확인

총 313 개의 기술적 점검항목에 대해 취약여부를 점검

전자금융기반시설에 대해 매년 정기평가 실시

금융회사의 취약점 분석, 평가 결과 및 이행 실태를

점검

CEO 책임하에 취약점 점검 및 보완조치 이행 철저

시스템 계정 사용권한, 접근기록 등 중점 관리 및

통제

非 금융 전산시스템까지 취약점 점검 확대

정보보안 조직은 임직원의 IT 보안법규 준수 여부를

정기적으로 점검하고, 결과를 CISO 및 CEO에 보고

5

4. 정보보호 인증 컴플라이언스

11.2.8 공개서버 보안

취약점 점검을 주기적으로 수행

11.2.10 취약점 점검

정기적으로 점검을 수행

7.3.12 공개서버 보안관리

취약성 진단도구 등을 이용하여 서버의 취약성 및 서버상의 중요 응용프로그램에 대한 무결성을

수시로 점검

9.2.2 기술적 점검

절차에 따라 운영 관리되는지 정기적으로 점검

A.12.6.1 기술적 취약점 통제

기술적 취약점에 대해 적시에

정보를 수집 후, 취약점에 대한

조직의 노출정도를 평가

정보보호관리체계(ISMS) 정보보안경영시스템(ISO/IEC27001)

개인정보관리체계(PIMS/PIPL)

6

- 도로, 철도, 지하철, 공항, 항만 등 주요 교통시설

- 전력, 가스, 석유 등 에너지, 수자원 시설

- 방송중계, 국가지도통신망 시설 - 원자력, 국방과학, 첨단방위산업 관련

정부출연연구기관의 연구시설

주요정보통신기반시설 전자금융기반시설 정보보호관리체계

‘정보통신망 이용 촉진 및

정보보호 등에 관한 법률‘ 제2조

제1항 제1호의 규정에 의한

정보통신망을 말함.

‘정보통신망 이용촉진 및 정보보호

등에 관한 법률‘ 제2조 제1항

제1호에 따른 정보통신망을 말함.

- 은행 - 보험회사(생명, 손해) - 협동조합(농협, 수협, 신협 등) - 증권회사(선물) - 신용카드(캐피탈 등) - 저축은행 - 기타 금융(종합금융, 새마을금고 등)

‘정보통신망 이용촉진 및 정보보호

등에 관한 법률‘ 제47조, 정보보호

관리체계 인증 등에 관한 고시에

해당하는 아래의 기관.

- ISP, IDC, VIDC - 정보통신서비스 부문 매출액 합 100억

이상 - 3개월간의 일평균 이용자 수 100만명

이상

5. 컴플라이언스 준수 대상의 기준

16개 소관기관 산하

337 개 (2015. 11월 현재)

전자금융감독규정 대상 기관

약 500 여개

인증 의무대상

408 개(2016. 1월 현재)

7

구분 내용

How Often? 1~2회 / 1년

How Much? Man/Months (50EA:Max.)

What Method? Script

What Target? Sampling

조직의 IT 인프라에 대한 취약점 전수진단 수행비용 예시

1M/M : 10,000,000원 예상비용 : 약 100,000,000원

….. 500EA

6. 현재 수행되고 있는 컨설팅 취약점 진단의 현황

8

구분 내용 문제점

How Often? 1~2회 / 1년 자산의 신규도입 or 서비스 변경 시 누락위험

How Much? Man/Months (50EA:Max.) 기존 고비용 저효율 방식 -> 고급인력의 스케쥴 종속

What Method? Script 텍스트 형태의 결과 저장 및 관리자 계정 공유

What Target? Sampling 매년 진단대상이 중복될 가능성 높음

문제점 개선방향

변경관리와 연동 취약점 상시 관리체계

구축 및 이행

인력 → 솔루션 자동화 수행으로

예산 및 리소스 절감

암호화 저장 및 관리 내부 인력이

직접 진단 수행

중요순위를 탈피 전 인프라 대상

취약점 진단 수행

現 수행방법의 구조적, 비용적 한계는 자동화 솔루션 도입을 통한 패러다임의 전환으로 개선이 필요!!!

7. 현재 컨설팅 취약점 진단의 한계점 및 개선 방향

9

진단 솔루션의 필수요건

NIST, ITIL, Cobit

대외적으로 오픈된 알려진 항목 (내부 환경과 큰 GAP이 존재)

대부분 외국 기준으로 진단하여 국내환경 적용이 미흡

컨설팅을 대체할 만큼의 수준의 진단이 불가 (항목 및 수준)

관련 법률 및 컴플라이언스 진단항목은 반드시 포함

폐쇄망 점검 및 고도화 수준의 진단 필요 (컨설팅 대체)

컨설팅을 대체하는 솔루션 도입으로 인한 ROI 확보 보장

FFIEC, HIPPA

PCI-DSS

Zero-Day, CVE

ISO17799,27001

정보통신망법, I.S.M.S.

ISO/IEC 27001:2013

개인정보보호법, P.I.M.S.

금융위원회 전자금융기반시설

정보통신기반보호법 주요정보통신기반시설

1. 보안기준 매칭

Q. 내・외부의 다방면으로 주요 보안기준을 만족하는가?

기존 취약점 진단 솔루션 국내 인프라 환경의 요구사항

: Non-Compliance Item : Compliance Item : Non-Compliance Item : Compliance Item

11

2. 자산변경에 따른 자동진단

Q. 유지보수(교체) 및 신규도입 자산의 보안관리는?

365일, 자산의 변경은 수시로 발생

변경

신규 진단 직후에 도입된 자산

내년까지 無 진단?

폐기시까지 無 진단?

or

자산의 변경 및 신규도입 시

보안성 검토 및 취약점 진단은

컴플라이언스 이행사항

실제 운영환경은

여러가지의 이유로

이행에 어려움이 따름

컴플라이언스 중첩항목으로

강조되는 부분인 만큼

솔루션의 필수 기능항목

.

.

.

✚

12

미래창조과학부 선정

지식정보보안컨설팅전문업체

취약점진단(컨설팅)을

가장 잘 알고 있는 회사에서 만들었습니다.

14

내부 정책기반의 최적화 진단

완벽한 컴플라이언스 대응

신속한 자동화 전수진단

자산변경 시 자동 진단

100%

비즈니스, 문화, 환경(인증)을

1,000개 이상의 보안진단 항목

컨설턴트(인력) 대비

신규자산은 1 Click 사전 보안검토

지속적인 리소스 절감

1/3 ~ 1/10 의 비용으로 진단 수행

대규모 인프라 환경에서 더욱 큰 절감효과

국내외기준을 만족하는

28,800배 빠른 진단속도

고려한 맞춤형 진단 수행

변경자산은 자동진단 수행

진단업무 효율화

각종 예외, 변경을 시스템 화

30여 가지의 다양한 진단 옵션

1,000대 대상, 100 대/1MM기준

15

1. SolidStep 특장점

정책의 세부 내용을 완벽하게 충족하는 항목으로 진단을 수행하여 결과를 100% 수용

내부 정책 (가이드) 진단항목 결과 리포트

계정잠금

계정 로그인의 오류가 5회 이상일경우, 계정은 잠금 처리한다.

패스워드 최대 사용기간

패스워드의 최대 사용기간은 최대 90일이다.

16

2. 내부 정책기반의 최적화 진단

17

3. 취약점 진단 범위(2016.07)

SolidStep Template

Web/Was DBMS Network Server Total

S.S.R Standard Tpl

금융위 기준항목

Critical ISSUE

기반시설 기준항목

ISMS

545

기타*

8

134

265

866

379

150 167 155 73

8 N/A N/A N/A

62 36 22 14

131 72 24 38

87 119 135 38

434 167 55 210

Server – Windows / UNIX / LINUX

DBMS – Oracle / MSSQL / MYSQL / Sysbase / Tebiro / DB2 / PostgreSQL / Altibase / MariaDB

Web/WAS – Apache / IIS / WebtoB / OHS / Tomcat / WebLogic / Jeus / WebSphere / Jboss / IPlanet

NetWork – Cisco / Alcatel / Alteon / Juniper / Extreme / 3COM

기타* - 교과부, 국방부, 산자부, 기반시설PC, SolidPC, 금융보안원 취약점 항목

Offline 암호화된 정보 수집 파일 수동 반영

with Agent

Agentless

Online

• Install-Free

Portable 프로그램 (재부팅 불필요)

• OS Free

Windows, Linux, AIX, HP-UX Solaris 등 5종 지원

• Resource Free

CPU 소모량 1% 이하

• ACL Free

Agent Port Listening 없음 HTTPS Protocol 이용

• SSH, Winexec를 이용한 점검

Agent 설치관련 운영 이슈 Zero, Agent 방식과 동일한 결과 보장 서버 접속정보 입력 및 관리 필요, 네트워크 접근 ACL필요 부가기능(리소스 모니터링 등) 이용불가, 예약진단 이용불가

4-free

Internet

PC

Network

분석기 템플릿 수집기 리포터

18

Windows Unix DBMS WEB WAS

SolidStep

매니저

Password Crack

(3-Ways)

FireWall

N/W

4. 아키텍처

SolidStep은 편의성을 극대화 하기 위한 플랫 메뉴 방식의 화면과 무엇이든 검색 가능한 토큰 인터페이스를 제공합니다.

3 분할 화면 *사용편의를 위해 상/좌 패널은 항상 고정*

-상) 진단실행, 각종 필터, 시스템 리소스 대시보드 -좌) 자산/항목/템플릿 -우) 진단관련 모든 정보 각종 아이콘과 색상으로 클릭 없이 모든 정보 표시

꼭 봐야 하는 지표들만 대시보드 화

진단이력 정보를 한눈에

진단 현황/검색/필터

진단 항목 사용 현황 검색/필터/예외 등

19

5. 기능 – UI like Gmail

192.10.10.1_Unix

3개의 DB 인스턴스를 하나의 자산으로 처리 ERP보안 이슈 처리담당은? 타 팀의 DB도 접근가능??

IT 팀 인사팀 재무회계팀

ERP

보안 진단+이행의 책임을 명쾌하게 분리

192.10.10.1_Unix

192.10.10.1_ERP 192.10.10.1_인사 192.10.10.1_재무

진단 책임 192.10.10.1_Unix

192.10.10.1_DBMS

192.10.10.1_DBMS 192.10.10.1_DBMS

192.10.10.1_DBMS

ERP 인사DB 재무회계

IT 팀 인사팀 재무회계팀

진단 책임 192.10.10.1_Unix

192.10.10.1_ERP

192.10.10.1_인사 192.10.10.1_재무

물리 or IP로 자산을 등록하는 기존 방식은 자산등록 및 할당 시 중복 이슈가 발생하여 보안관리의 한계가 있으나, Solid

Step은 WEB/WAS/DBMS 등을 자산(인스턴스)의 논리적 등록으로 진단/이행부서 간 원활한 업무진행이 가능합니다.

20

6. 기능 – 자산관리

변경감시 기능 및 진단 결과 보고서를 상호 비교 후 취약점 조치 결과의 구체적인 현황 파악 및 대응이 가능합니다.

6. 기능 – 보고서 비교

21

자세한 진단 항목 정의

진단업무에 최적화된 UI로 구성되어 ‘진단실행’을 위한 접근성을 극대화하였고, 즉각적인 오류 통보로 진단 템플릿을 생성/

적용을 신속히 수행할 수 있습니다.

3 Steps, OK !

1. 진단대상 선택 2. 진단실행 3. 시작

중복 ID 자동 체크

중복 넘버링 체크

즉각적인 오류검증 빠르고 쉬운 진단 템플릿 생성

1

3

다양한 진단 대상의 지원 2

고객환경에 따라 처리할 수 있는 예외를 설정으로 정리

4 조치방법의 보고서, 웹UI 구분하여 설정, 세부설정의 문법 컬러링 표시

22

6. 기능 – 진단 실행

제외 대상 포함하여 보안점수 측정

원격 연결 방법을 통한 진단 포함

모든 대상에 대해 다시 진단(기 진단 대상을 포함)

기간 내 진단결과를 포함하여, 진단 내역이 없는 대상만 진단 후 종합적인 진단 결과 추출

진단명이 없어도 생성 가능 적용 템플릿도 WISWIG 수정

오래 전 수행한 진단

중복 항목이 있는 진단

별도로 진행한 원격연결 진단

AS-IS TO-BE

다양한 고객대상의 컨설팅 수행경험으로 보안진단 시 이슈사항을 예외처리(옵션)항목으로 구현, 진단결과를 편리하게 취합이 가능합니다.

23

6. 기능 – 진단 옵션

취약점 진단 후 ‘조치 및 이력관리’를 보안담당자와 운영자 간 승인절차를 제공해 내부 합의된 프로세스로 진행이 가능합니다.

담당자별 할일 통계

승인절차를 통해서만, 예외, 대체처리등 가능

24

6. 기능 – 조치관리

수 많은 고객사에서 검증된 보안진단 ‘보고서’는 (1)컨설턴트의 수작업과 100% 동일한 엑셀 보고서로 추출하고, (2)결과상세를 한눈에 알 수 있는 뷰어 기능으로 한층 강화하였습니다.

엑셀보고서와 연결된 상세데이터 뷰어 제공

컨설턴트가 진단 결과를 취합하고 설명을 추가했던 보고서를 버튼 1번으로 실행/추출

보고서와 상세 내용은 웹에서도 편리하게 제공

25

6. 기능 – 보고서

SolidStep 2.5는 진단 수행 이후 발생 가능한 설정의 변경을 모니터링/진단하여 보안의 지속성을 유지하며, 변경사항을 자동 진단하고 보안준수 여부를 통보합니다.

설정 변경 발생 신규 또는 삭제 발생

진단Cycle과 보안설정의 변경 이슈 SolidStep 자동진단

P

A D

C

진단 및 이행 계획

진단 대상, 적용 템플릿, 진단 일시 예외 대상 관련 부서 협업 방안

진단수행

진단 수행 및 취합 관련 부서 협조

진단결과 분석 및 보고

취약성 이행 및 재진단 담당자 퇴사

개발자의 설정수정

신규장비 설치

신규 프로그램 설치

자산 스캔

신규자산은 담당자에게 알림

최초 진단 수행

분석 및 이행

담당자에게 알림 + 자동 진단 수행

진단 결과 전송

변경사항 육안확인

26

6. 기능 – 변경 감시 및 자동 진단

OS

WEB/WAS

Network

DBMS

Agentless

SolidStep Agentless 분석 Agent 설치관련 운영 이슈 Zero

Agent 방식과 동일한 결과 보장

Manager 수집 결과 자동 전송 기능

SolidStep

Network

Agentless

Installing...

2hr...

서버 접속정보 입력 및 관리 필요, 네트워크 접근 ACL필요, 부가기능(리소스모니터링 등) 이용불가 예약진단 이용불가

- Cisco, JUNIPER, HP 3com, Alteon 등 L4장비 지원

-다양한 OS탐지 지원

-MYSQL, DB2, Sysbase, PostgreSQL 등 탐지

- IIS, Apache, WebtoB, Http Server, Tomcat 지원

SSH 점검

Winexec 점검

27

6. 기능 – Agentless 진단

취약점 관리의 시간, 비용 리소스 절감

인프라 보안관리의 상향 평준화

모든 인프라를 대상으로 수행되는 취약점 관리로 보안 수준이 상향 평준화하여 관리 가능

객관적으로 신뢰성 높은 수준향상 측정 가능

일관된 기준과 동일한 방법으로 수행되는 진단으로 인프라 수준의 향상도 측정이 가능

• 컨설팅 수행의 경우 수행 주체 별 방법론 및 숙련도의 차이로 기준이 동일하지 않으며, 인력의 정성적 평가 반영

비용

시간

시간

규모

매년 진단에 필요한 예산을 집행하지 않고, 도입 시 구매 비용으로 반복 진단 수행가능

자산의 증가 및 진단대상을 확대(전수진단)해도, 추가적으로 발생하는 비용은 ZERO

28

7. 솔루션 도입 기대효과

진단 및 운영 사례

1. 구축 레퍼런스

SolidStep은 금융권 및 IT 비즈니스를 수행하는 기관 및 기업 등 다양한 환경에 구축되었고, 단일 사업 최대규모의 설치,

운영 레퍼런스를 보유하고 있습니다.

국군사이버사령부, 국가보훈처, 한국건설기술연구원, 한국통신사업자연합회, 국가평생교육진흥원, 한국교육개발원

서울시농수산식품공사, 세종특별자치시, 서울시교육연구정보원, 국방기술품질원,국방과학연구소, 한국공항공사

한국원자력환경공단, 한국원자력안전기술원, 한국원자력안전위원회, SEC연구소, 안성시청

대기업 / 일반기업 KT, KTDS, LG U+, 현대기아차, 코웨이, LG생활건강, CJ오쇼핑, 세메스, 코오롱베니트

누리아이엔에스, 아이온시큐리티 , LG화학, 현대오토에버, W쇼핑, 현대모비스

KB손해보험, KB생명보험, 한화손해보험, KG모빌리언스, 스마트로, 에이앤디신용정보, 서울외국환중계

키움증권, 신협, NH농협생명, DGB생명보험, ING생명보험, 우리카드, 한국증권금융, 동부증권, 교보생명

울산과학기술대학교, 부산카톨릭대학교, 한국해양대학교, 진주경상대학교, 서울과학기술대학교

강원대학교, 두원공과대학교

납품 계약 50,000대 이상 설치, 200,000회 이상 진단 수행. (컨설팅 포함 진단횟수 : 수 십만 회 수행)

공공기관

교육기관 / 병원

금융권

30

Appendix

별첨 1. 전체보고서 (엑셀)

32

별첨 1. 그룹보고서 (엑셀)

33

별첨 1. 개별보고서 (엑셀)

34

별첨 2. 취약점 진단 세부항목 : 1/5 (OS : UNIX)

분류 점검 항목

계정관리

사용자 계정 파일의 접근 제한

root 권한의 UID/GID 중복 제거

일반 사용자 계정의 UID 중복 제거

불필요한 계정 제거

패스워드 최대 사용 기간 제한

패스워드 최소 길이 제한

암호 없는 계정의 비활성화

암호화된(C2 Level) 패스워드 사용

로그인 실패 횟수 제한

만기될 패스워드 경고

최근 패스워드 기록 설정

패스워드 복잡도 설정

취약한 계정 패스워드 사용 제한

파일 및 디렉터리 관리

홈 디렉터리 접근권한 제한

홈 디렉터리 소유자 설정

홈 디렉터리 설정

기본 환경 파일의 접근 권한 제한

사용자 환경 파일의 접근 권한 제한

root 계정의 원격 접속 제한

root umask 검사

주요 디렉터리의 접근 권한 제한

PATH 환경변수 검사

STICKY BIT 설정 디렉터리 검사

사용자 UMASK 검사

SU 명령어 실행 제한

로그관리 syslog 파일의 접근 권한 제한 및 감사 설정

sulog, last 관련 로그 파일의 쓰기 권한 제한

패치관리 시스템 Update

분류 점검 항목

서비스관리

서비스 관련 파일의 접근 권한 제한

서비스 배너 정보 설정

inetd.conf DoS, rpc 데몬 비활성화

inetd.conf tftp, talk 데몬 비활성화

inetd.conf finger, rusersd, rstatd 비활성화

inetd.conf r서비스 관련 데몬 비활성화

r명령어 설정파일의 접근 권한 제한

r명령어 접근 통제

NFS 서비스 비활성화

NFS 설정 파일의 접근 권한 제한

비인가 된 NFS 접근 통제

SMTP 서비스 비활성화

SMTP를 통한 사용자 정보 제공 명령어 제거

SNMP 서비스 비활성화

SNMP 설정 파일의 접근 권한 제한

취약한 SNMP Community Name 설정 제한

FTP Anonymous 접속 제한 및 사용 접근제어

원격관리 프로그램 접근 제어

X-service 사용 제한

암호화된 터미널(SSH) 이용

sendmail의 ‘WIZARD’ 명령 비활성화

debug 명령어를 지원하는 sendmail 사용제한

비인가 된 스케줄링(scheduling)의 제거

cron 스케줄러 파일의 접근 권한 제한

root cron 파일의 소유자 설정

root cron 파일의 접근 권한 제한

35

별첨 2. 취약점 진단 세부항목 : 2/5 (OS : Windows)

분류 점검 항목

계정관리

Administrator 계정 관리

Guest 계정의 비활성화

무자격 사용자 ID 제거

계정 잠금 기간 및 임계값 설정

계정 암호 최대 기간, 기록 개수 설정

계정 암호 최소 길이 및 사용 기간 설정

취약한 계정 패스워드 사용 제한

파일 및 디렉터리 관리

파일 및 디렉터리 보호

하드 디스크 기본 공유 제거

SAM 파일 접근 통제

원격 로그 파일 접근 권한 제한

서비스 관리

불필요한 서비스 제거

터미널 서비스 설정

FTP Anonymous 접속 제한

취약한 SNMP Community Name 설정 제한

네트워크 서비스

RDS(Remote Data Services) 제거

SNMP 서비스 비활성화

SNMP Access Control 설정

HTTP/FTP/SMTP 배너 차단

레지스트리 보안

Autologon 기능 제거

Null Session 접근 제한

레지스트리 서비스 비활성화

백신관리 백신 프로그램 설치 및 최신 엔진 업데이트

로그관리 보안 로그의 감사 기능 설정

이벤트 뷰어 설정

패치 관리 최신 서비스팩 및 HOT FIX 적용

분류 점검 항목

보안설정관리

로그오프 나 워크스테이션 잠김

사용자 디렉터리 접근 제한

공유 권한 및 사용자 그룹 설정

Telnet 보안 설정

DNS 동적 업데이트 비활성화

DNS Zone Transfer 설정 비활성화

마지막 로그온 사용자 계정 숨김

보안기능이 있는 파일시스템 사용

로그온 메시지 출력 설정

암호 복잡성 사용

시스템 종료 감사

보안 감사 불가 시 시스템 종료

콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한

익명 계정의 Everyone 권한 제거

보안 채널 데이터를 디지털 암호화 또는 서명

계정 암호 최대 사용 기간 설정 (도메인 구성원)

Autologon 기능 제거

Null Session 접근 제한

레지스트리 서비스 비활성화

보안 로그의 감사 기능 설정

이벤트 뷰어 설정

로컬 로그온 허용 설정 제한

익명 SID/이름 변환 허용 설정 제한

원격 터미널 접속 가능한 사용자 그룹 제한

NetBIOS 바인딩 서비스 구동 점검

36

별첨 2. 취약점 진단 세부항목 : 3/5 (DBMS)

플랫폼 분류 점검 항목

Oracle 보안설정

관리

불필요한 계정 목록 제거

원격 OS 인증방식 제한

DBA 권한 제한

Default 계정 제거 및 제한

무제한 로그인 시도 차단

패스워드 최대 사용 기간

패스워드 복잡도 설정

취약한 패스워드 사용 제한

Public그룹의 권한 제한

SYS.LINK$ 테이블 접근 제한

SYSDBA 권한 제한

With grant option 사용 제한

OS 명령 수행 제한

PL/SQL Package 사용 제한

External Call 제한

UTL_FILE_DIR 사용 제한

Listener 패스워드 설정

Initialization 파일 접근 권한 제한

Oracle Password 파일 접근권한 제한

Alert Log 파일 접근제한

Trace Log 파일 접근제한

컨트롤, 데이터 파일 접근권한 제한

$TNS_ADMIN 파일 접근 제한

IP 기반 접근 제한

접근 수준 및 권한부여

DBLINK 암호화 설정

최신 패치 적용

플랫폼 분류 점검 항목

MS-SQL 보안설정

관리

불필요한 계정 제거 DBA 권한 제한 Fixed server role 제한 SA null 패스워드 사용 제한 Guest 권한 제한 패스워드 주기적 변경 취약한 패스워드 사용 제한 데이터베이스 데이터 파일 분리 Public에 대한 권한 제한 시스템 테이블 접근 제한 시스템 테이블 update 제한 일반사용자의 With grant option 사용 제거 xp_cmdshell procedure 사용 제한 Startup stored procedure 사용 제한 Registry extended stored procedure 사용 제한 샘플 DB 삭제 SQL Mail 비활성화 불필요한 로그 파일 삭제 최신 서비스팩 및 HOT FIX 적용

My-SQL 보안설정

관리

불필요한 계정 제거 root null 패스워드 제한 취약한 패스워드 사용 제한 root 권한으로 서버구동 제한 mysql.user 테이블 접근 제한 grant_priv 사용 제한 쉘 히스토리 접근 제한 Initialization 파일(my.cnf) 접근 제한 mysql.server 파일 접근 제한 $datadir 디렉터리 및 데이터 파일 접근 제한 시스템 Update 테스트 데이터베이스 제거

37

별첨 2. 취약점 진단 세부항목 : 4/5 (WEB/WAS)

플랫폼 분류 점검 항목

IIS 보안설정

관리자 인터페이스 비활성화 디렉토리 쓰기 및 실행 권한 관리 상위 패스 기능 제거 디렉토리 검색 기능 제거 로그 디렉터리 및 파일의 권한 제한 에러 메시지 관리 불필요한 FTP 서비스 제거 불필요한 SMTP 서비스 제거 불필요한 NNTP 서비스 제거 웹 파티션과 시스템 파티션 분리 ISAPI DLL 보안취약점 제거 Sample 디렉토리 삭제 WebDAV 레지스트리 수정 DB 연결 설정파일 취약점(.asa 매핑) 시스템 Update

Jeus

접근통제

관리자 콘솔 관리

관리자 계정명 변경 관리자 패스워드 관리

패스워드 파일 관리

권한설정

서비스 계정 관리 서비스 데몬 실행파일 권한 관리

JEUS 설정 파일 쓰기 권한 제거 JEUS 소스 파일 쓰기 권한 제거 홈 디렉터리 쓰기 권한 관리

소스/설정파일 권한 관리

보안설정

에러 메시지 설정

DB 패스워드 암호화 서버 헤더 전송 관리 샘플 디렉토리 삭제

세션 타임아웃

로그관리 로그 설정 관리 로그 디렉토리 권한 관리

플랫폼 분류 점검 항목

Apache 보안설정

Apache 데몬의 root 권한 제한 디렉터리 쓰기 권한 제거 소스 / 설정 파일 쓰기 권한 제거 디렉터리 검색 기능 제거 로그 디렉터리 및 파일의 권한 제한 에러 메시지 관리 응답 메시지 헤더 정보 노출 제한 FollowSymLinks 옵션 제거 MultiViews 옵션 제거 로그 설정 관리 Manual 디렉터리 제거 HTTP Method 제한 CGI 스크립트 실행 제한 Apache 파일 업로드 및 다운로드 제한 Apache 웹 서비스 영역의 분리 최신 패치 적용 Apache 상위 디렉토리 접근 금지 Apache 링크 사용금지

Tomcat

접근통제

관리자 콘솔 관리 관리자 계정명 관리 관리자 패스워드 관리

패스워드 파일 관리

권한설정

서비스 계정 관리

Tomcat 설정 파일 쓰기 권한 제거 Tomcat 소스 파일 쓰기 권한 제거 디렉터리 쓰기 권한 관리

소스/설정파일 권한 관리

보안설정 에러 메시지 설정 디렉토리 검색 기능 제거

Examples 디렉토리 삭제

로그설정 로그 설정 로그 디렉토리 권한 관리

38

별첨 2. 취약점 진단 세부항목 : 5/5 (Network)

39

플랫폼 분류 점검 항목

Alteon 보안설정

패스워드 설정

사용자 - 명령어별 권한 수준 설정

VTY 접근(ACL) 설정

Session Timeout 설정

로그온 시 경고 메시지 설정

SNMP 서비스 확인

SNMP community string 복잡성 설정

Spoofing 방지 필터링 적용

사용하지 않는 인터페이스의 shutdown 설정

최신 보안 패치 및 벤더 권고사항 적용

Cisco 보안설정

패스워드 설정

패스워드 복잡성 설정

암호화된 패스워드 사용

VTY 접근(ACL) 설정

SESSION TIMEOUT 설정

SNMP 서비스 확인

SNMP COMMUNITY STRING 복잡성 설정

SNMP ACL 설정

SNMP 커뮤니티 권한 설정

TFTP 서비스 차단

SPOOFING 방지 필터링 적용

DDOS 공격 방어 설정

사용하지 않는 인터페이스의 SHUTDOWN 설정

최신 보안 패치 및 벤더 권고사항 적용

플랫폼 분류 점검 항목

Juniper 보안설정

패스워드 설정

패스워드 복잡성 설정

암호화된 패스워드 사용

사용자 - 명령어별 권한 수준 설정

VTY 접근(ACL) 설정

Session Timeout 설정

로그온 시 경고 메시지 설정

SNMP 서비스 확인

SNMP community string 복잡성 설정

SNMP ACL 설정

SNMP 커뮤니티 권한 설정

Spoofing 방지 필터링 적용

사용하지 않는 인터페이스의 shutdown 설정

최신 보안 패치 및 벤더 권고사항 적용

HP(3Com) 보안설정

패스워드 설정

패스워드 복잡성 설정

암호화된 패스워드 사용

VTY 접근(ACL) 설정

SESSION TIMEOUT 설정

SNMP 서비스 확인

SNMP COMMUNITY STRING 복잡성 설정

SNMP ACL 설정

SNMP 커뮤니티 권한 설정

SPOOFING 방지 필터링 적용

사용하지 않는 인터페이스의 SHUTDOWN 설정

최신 보안 패치 및 벤더 권고사항 적용

로그 설정

로그 디렉토리 권한 관리

CONTACT US

서울시 구로구 구로3동 222-3 JnK디지털타워 1606호

Tel. 02) 6959-0126~7

행정자치부 선정 개인정보 영향평가 기관 미래창조과학부 선정 지식정보보안 컨설팅 전문업체