주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 (2011)


주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드는 안전행정부(행정안전부)에서 2011년 최초로 공개하였다.

당시 이정도 수준의 취약점 진단 상세 가이드라인은 정보보호전문업체 소속이 아니면 쉽게 접하기 힘든 자료로써 

취약점 진단 분야에 저변을 확대한 계기가 되었을뿐만 많은 관련 연구 및 스터디에 도움이 된 자료로 평가 할 수 있겠다. (개인적으로..)

※ 이전에도 일부 취약점 진단 기준에 대해서 비공식적으로 공개된 자료도 있었지만 이 수준까지는 아니였었다. 


주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 (2011) 다음과 같이 구성되어 있다.

- 유닉스 취약점 항목 상세 설명서

- 윈도우즈 취약점 항목 상세 설명서

- 보안장비 취약점 항목 상세 설명서

- 네트워크장비 취약점 항목 상세 설명서


2014년 버전과 비교하면 아무래도 미흡한 점이 많겠지만 두개의 자료를 비교해보는것도 학습에 좋을것이다.

원문 링크는 현 시점에서 알기는 힘들지만 안전행정부(행정안전부)에서 최초로 공개하였다.


기술적_점검항목(2011).pdf


주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드


안전행정부가 출간한 주요정보통신기반시설 기술적 취약점 분석 ·평가 방법 상세가이드이다.




주요정보통신기반시설 취약점 분석·평가 기준 중 기술적 취약점 점검 기준을 상세히 기술한 자료이며, 아래와 같이 구성되어 있다.

- UNIX 서버 보안가이드라인

- 윈도우즈 서버 보안가이드라인

- 보안장비 보안가이드라인

- 네트워크장비 보안가이드라인

- 제어시스템 보안가이드라인

- PC 보안가이드라인

- DBMS 보안가이드라인

- Web(웹) 보안가이드라인


안전행정부 시절 원문 URL은 아래와 같았으나 현재 행정자치부로 바뀌면서 해당 자료는 홈페이지에서 찾을 수 없다. 

http://www.mospa.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000012&nttId=41297


주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.7z.001

주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.7z.002

주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.7z.003

주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.7z.004


첨부파일 최대용량이 10MB로 제한되어 있어서 7z 으로 분할해서 올리니 모든 파일을 다운로드 받아서

7z 으로 압축을 풀면 된다.



주요정보통신기반시설 취약점 분석평가 기준


주요정보통신기반시설 취약점 분석평가 기준은 취약점 진단 항목의 표준으로 사용되는 기준 항목으로 취약점 진단 분야에 관심이 있거나 시작하려는 사람에게는 필수적인 자료이다.



1. 주요정보통신기반시설 취약점 분석 평가 기준 (행정안전부, 2012. 12)

출처 : www.law.go.kr/flDownload.do?flSeq=12457820

첨부파일 : 

주요 정보통신기반시설 취약점 분석·평가기준 (전문).hwp


I. 취약점 분석·평가 개요

o 취약점 분석·평가란, 악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가 개선하는 일련의 과정을 말함

- 주요정보통신기반시설의 안정적 운영을 위협하는 사이버보안 점검항목과 항목별 세부 점검항목을 도출하여 취약점 분석을 실시

- 발견된 취약점에 대한 위험등급 부여, 개선방향 수립 등의 유기적인 평가 수행





2. 주요정보통신기반시설 취약점 분석 평가 기준 근거

- 정보통신기반 보호법 제9조(취약점의 분석·평가)

출처 : http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EA%B8%B0%EB%B0%98%20%EB%B3%B4%ED%98%B8%EB%B2%95

첨부파일 : 

정보통신기반 보호법.pdf



제1조(목적) 이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립·시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생활의 안정을 보장하는 것을 목적으로 한다.


제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다.  <개정 2007.12.21.>

1. "정보통신기반시설"이라 함은 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호의 규정에 의한 정보통신망을 말한다.

2. "전자적 침해행위"라 함은 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위를 말한다.

3. "침해사고"란 전자적 침해행위로 인하여 발생한 사태를 말한다.


제9조(취약점의 분석·평가) ①관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가하여야 한다.

②관리기관의 장은 제1항의 규정에 의하여 취약점을 분석·평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석·평가하는 전담반을 구성하여야 한다.

③관리기관의 장은 제1항의 규정에 의하여 취약점을 분석·평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다. 다만, 이 경우 제2항의 규정에 의한 전담반을 구성하지 아니할 수 있다.  <개정 2002.12.18., 2007.12.21., 2009.5.22., 2013.3.23., 2015.6.22.>

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조의 규정에 의한 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다)

2. 제16조의 규정에 의한 정보공유·분석센터(대통령령이 정하는 기준을 충족하는 정보공유·분석센터에 한한다)

3. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업

4. 「정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」 제8조의 규정에 의한 한국전자통신연구원

④미래창조과학부장관은 관계중앙행정기관의 장 및 국가정보원장과 협의하여 제1항의 규정에 의한 취약점 분석·평가에 관한 기준을 정하고 이를 관계중앙행정기관의 장에게 통보하여야 한다.  <개정 2008.2.29., 2013.3.23.>

⑤주요정보통신기반시설의 취약점 분석·평가의 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.



보안 취약점 진단 개요


1. 개요

보안 취약점 진단은 보안 취약성 진단, 보안 취약점 점검, 보안 취약성 점검 등의 용어로 사용되고, 정보보호업체 마다 자신들만의 정의가 있어서 조금씩 사용하는 용어가 다르긴 하나 일반적으로 다음과 같이 소개된다.


보안 취약점 진단은 고객사의 주요 정보시스템을 대상으로 취약점 평가 항목을 점검하여 내재되어 있는 보안 취약점을 도출하고, 그 발생 원인을 분석하여 보안 수준을 강화함으로써 서비스의 안전한 운영을 목적으로 하고 있다. 



2. 보안 취약점 진단 분류

- 서버 취약점 진단 (UNIX 계열, Windows 계열)

- 네트워크 취약점 진단 (Cisco, Pumpkin, Alcatel, Piolink 등)

- DBMS 취약점 진단 (Oracle, MySQL, MSSQL, DB2 등)

- 정보보호시스템 취약점 진단 (방화벽, IPS, IDS, UTM, 접근제어, NAC 등)

- PC 취약점 진단 (Windows XP, 7, 8, 10 등)

- 웹 어플리케이션 취약점 진단 (웹 기반의 어플리케이션)

- 모바일 앱 취약점 진단 (IOS, Android)

* VB, Delphi, VC, .NET 등으로 작성된 업무용 어플리케이션은 일반적인 취약점 진단 분야에서는 제외됨

 

참고 : 몇 년 전부터 "모의해킹, 모의침투공격" 등의 명칭으로 "웹 어플리케이션 취약점 진단"을 실시하곤 하는데 엄연히 두 가지는 구분되어 사용되어야 한다.



3. 진단 기준

정보보호업체 마다 각각의 고유한 취약점 진단 기준이 존재한다.

하지만 최근 들어 주요정보통신기반시설 취약점 분석 평가 기준을 취약점 진단의 표준 기준으로 삼고 있다.



4. 진단절차

진단절차는 특별하지 않는 이상 다음과 같이 실시된다.


1) 진단대상선정

2) 정보수집

3) 취약점 진단

4) 진단결과 분석

5) 대응책 수립

6) 보고서 작성



5. 수행 분야

- 정보보호관리체계(K-ISMS, IOS27001 등) 및 개인정보보호관리체계 컨설팅 등에서 기술적 취약점 진단 항목으로 수행

- 주요정보통신기반시설 점검시 기술적 취약점 진단항목 관점에서 수행

- 전문적인 기술적 취약점 진단 수행

- 통합유지보수 관점에서 취약점 진단 분야 포함

- 보안감사 관점에서 수행

- 기타 등등



이상으로 취약점 진단에 대해서 간단하게 알아보았다.


+ Recent posts