파워포인트배경(블랙과 레드의 체크패턴)

Size: px

Start display at page:

Download "파워포인트배경(블랙과 레드의 체크패턴)"

보배 동
5 years ago
Views:

1 기술적, 관리적측면에서의네트워크보안

2 Contents 01/ 보안사고현황 보안사고사례 보안사고관련소송 보안의가장큰고민 보안에서의취약한부분 02/ 정보보호대책 보안의구분 관리적 / 물리적 / 기술적보안 보안통제항목 안전성확보조치개요 보안서비스분류 03/ 장비취약점개선방안 라우터 / 스위치보안 무선랜보안 보안장비보안 04/ 네트워크보안강화를위해서는..

3 01/ 보안사고사례

4 01/ 보안사고사례

5 01/ 보안사고관련소송

6 01/ 보안의가장큰고민 참조. 완벽한방어는없지만최선의예방은있다 (IDG)

7 01/ 보안에서의취약한부분 참조. 완벽한방어는없지만최선의예방은있다 (IDG)

8 02/ 보안의구분 Bizforms 정보보호정책 정보보호조직 관리적 외부자보안 정보자산분류 정보보호교육 인적보안 물리적 물리적환경보안 사무실보안 시스템보호 시스템개발보안 암호통제 기술적 접근통제 운영보안 침해사고관리 IT 재해복구

9 02/ 관리적보안 정보보호정책 정책의승인, 공표, 상위정책과의연계성, 정책시행문서수립, 정책의검토, 정책문서관리 정보보호조직 정보보호최고책임자지정, 실무조직구성, 정보보호위원회, 역할및책임 외부자보안 외부자계약시보안요구사항, 외부자보안이행관리, 외부자계약만료시보안 정보자산분류 정보자산식별, 정보자산별책임할당, 보안등급과취급방침 정보보호교육 교육계획, 교육대상, 교육내용및방법, 교육시행및평가 인적보안 주요직무자지정및감독, 직무분리, 비밀유지서약서, 퇴직및직무변경관리, 상벌규정

10 02/ 물리적보안 물리적보안 보호구역지정, 보호설비, 보호구역내작업, 출입통제, 모바일기기반출입 시스템보호 케이블보안, 시스템배치및관리 사무실보안 개인업무환경보안, 공용업무환경보안

11 02/ 기술적보안 시스템개발보안 보안요구사항정의, 인증및암호화기능, 보안로그기능, 접근권한기능, 구현및시험, 개발과운영환경분리등 암호통제 암호정책수립, 암호키생성및이용 접근통제 접근통제정책수립, 사용자등록및권한부여, 관리자및특수권한관리, 접근권한검토, 사용자인증, 사용자식별, 사용자패스워드관리, 이용자패스워드관리, 네트워크접근등 운영보안 운영절차수립, 변경관리, 정보시스템인수, 보안시스템운영, 성능및용량관리, 장애관리, 원격운영관리, 스마트워크보안, 무선네트워크보안등 침해사고관리 침해사고대응절차수립, 침해사고대응체계구축, 침해사고훈련, 침해사고보고, 침해사고처리및복구, 침해사고분석및공유, 재발방지 IT 재해복구 IT 재해복구체계구축, 재해영향분석에따른복구대책수립, 시험및유지관리

12 02/ 보안통제항목 정보보호정책 정보보호조직 정책의승인및공표정보보호정책은이해관계자의검토와최고책임자의승인이필요하다정보보호정책문서는모든임직원및관련자에게이해하기쉬운형태로전달해야한다정책의유지관리정보보호정책은상위조직및관련기관의정책과연계성을유지하여야한다정보보호정책의구체적인시행을위한정보보호지침, 절차를수립하고관련문서간의일관성을유지하여야한다정기적으로정보보호정책및정책시행문서의타당성을검토하고필요한경우제 개정하여야한다 조직체계임원급의정보보호최고책임자를지정하고정보보호최고책임자는정보보호정책수립, 정보보호조직구성, 위험관리, 정보보호위원회운영등의정보보호에관한업무를총괄관리하여야한다최고경영자는정보보호최고책임자의역할을지원하고조직의정보보호활동을체계적으로이행하기위해실무조직을구성하고조직구성원의정보보호전문성을고려하여구성한다역할및책임정보보호최고책임자와정보보호관련담당자에대한역할및책임을정의하고그활동을평가할수있는체계를마련하여야한다.

13 02/ 보안통제항목 외부자보안 정보자산분류 보안요구사항정의조직의정보처리업무를외부자에게위탁하거나정보자산에대한접근을허용할경우등외부서비스를이용하는경우에는보안요구사항을식별하고관련내용을계약서및협정서등에명시하여야한다. 외부자보안이행외부자가계약서및협정서에명시된보안요구사항의이행여부를관리감독하고주기적인점검또는감사를수행하여야한다. 외부자와의계약만료, 업무종료, 담당자변경시조직이외부자에게제공한정보자산의반납, 정보시스템접근계정삭제, 중요정보파기, 업무수행시알게된정보의비밀유지확약서등의내용을확인하여야한다. 정보자산식별및책임조직의업무특성에따라정보자산분류기준을수립하고모든정보자산을식별하여야한다. 또한식별된정보자산을목록으로관리하여야한다. 식별된정보자산에대한책임자및관리자를지정하여책임소재를명확히하여야한다. 정보자산분류및취급기밀성, 무결성, 가용성, 법적요구사항등을고려하여정보자산이조직에미치는중요도를평가하고그중요도에따라보안등급을부여해여야하고등급부여에따른취급절차를정의하여이행하여야한다.

14 02/ 보안통제항목 정보보호교육 인적보안 교육프로그램수립교육의시기, 기간, 대상, 내용, 방법등의내용이포함된연간정보보호교육계획을수립하여야한다. 교육에는보안사고사례, 내부규정및절차, 법적책임등의내용을포함하고일반임직원, 책임자, IT 및정보보호담당자등각직무별전문성제고에적합한교육내용및방법을정하여야한다. 교육시행및평가임직원및외부자를대상으로연 1회이상교육을시행하고조직내 외부보안사고발생, 관련법규변경등의사유가발생할경우추가교육을수행하여야한다. 또한교육시행에대한기록을남기고평가하여야한다. 정보보호책임인사정보, 영업비밀, 산업기밀, 개인정보등중요정보를대량으로취급하는임직원의경우주요직무자로지정하여야한다. 권한오남용등고의적인행위로인한잠재적인피해를줄이기위하여직무분리기준을수립하고적용하여야한다. 다만불가피하게직무분리가어려운경우별도의보완통제를마련하여야한다. 인사규정퇴직및직무변경시관련부서에서이행해야할자산반납, 접근권한회수 조정, 결과확인등의절차를수립하여야한다. 인사규정에직원이정보보호책임과의무를충실히이행했는지여부등정보보호활동수행에따른상벌규정을포함하여야한다.

15 02/ 보안통제항목 물리적보안 물리적보안 물리적보호구역통제구역, 제한구역, 접견구역등물리적보호구역을지정하고각구역별보호대책을수립 이행하여야한다. 각보호구역의중요도및특성에따라온습도조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선등의설비를충분히갖추고운영절차를수립하여운영하여야한다. 주요설비및시스템이위치한보호구역내에서의작업절차를수립하고작업에대한기록을주기적으로검토하여야한다. 보호구역및보호구역내주요설비및시스템은인가된사람만이접근할수있도록출입을통제하고책임추적성을확보하여야한다. 보호구역내임직원및외부자모바일기기반출입통제절차를수립하고기록 관리하여야한다. 시스템보호데이터를송수신하는통신케이블이나전력을공급하는전력케이블은손상을입지않도록보호하여야한다. 시스템은그특성에따라분리하여배치하고장애또는보안사고발생시주요시스템의위치를즉시확인할수있는체계를수립하여야한다사무실보호일정시간동안자리를비울경우에는책상위에중요한문서나저장매체를남겨놓지않고화면보호기설정, 패스워드노출금지등보호대책을수립하여야한다. 공용으로사용하는사무처리기기, 문서고, 공용 PC, 파일서버등을통해중요정보유출이발생하지않도록보호대책을마련하여야한다.

16 02/ 보안통제항목 시스템개발보안 시스템개발보안 분석및설계보안관리정보보호관련법적요구사항, 최신보안취약점, 정보보호기본요소 ( 기밀성, 무결성, 가용성 ) 등을고려하여보안요구사항을명확히정의하고이를적용하여야한다. 사용자인증에관한보안요구사항을반드시고려하여야하며중요정보의입 출력및송수신과정에서무결성, 기밀성이요구될경우법적요구사항을고려하여야한다. 사용자의인증, 권한변경, 중요정보이용및유출등에대한감사증적을확보할수있도록하여야한다. 업무의목적및중요도에따라접근권한을부여할수있도록하여야한다. 구현및이관관리 분석및설계과정에서도출한보안요구사항 이정보시스템에적용되었는지확인하기위하 여시험을수행하여야한다. 개발및시험시스템은운영시스템에대한비 인가접근및변경의위험을감소하기위해원 칙적으로분리하여야한다. 운영환경으로의이관은통제된절차에따라 이루어져야한다. 시스템시험과정에서운영데이터유출을예 방하기위해시험데이터생성, 이용및관리, 파기, 기술적보호조치에관한절차를수립하 여이행하여야한다. 소스프로그램에대한변경관리를수행하고 인가된사용자만이소스프로그램에접근할 수있도록통제절차를수립하여이행하여야 한다.

17 02/ 보안통제항목 시스템개발보안 암호통제 외주개발보안정보시스템개발을외주위탁하는경우분석및설계단계에서구현및이관까지의준수해야할보안요구사항을계약서에명시하고이행여부를관리 감독하여야한다. 암호정책조직의중요정보보호를위하여암호화대상, 암호강도 ( 복잡도 ), 키관리, 암호사용에대한정책을수립하고이행하여야한다. 또한정책에는개인정보저장및전송시암호화적용등암호화관련법적요구사항을반드시반영하여야한다. 암호키관리암호키생성, 이용, 보관, 배포, 파기에관한안전한절차를수립하고필요시복구방안을마련하여야한다.

18 02/ 보안통제항목 접근통제 접근통제 접근통제정책비인가자의접근을통제할수있도록접근통제영역및범위, 접근통제규칙, 방법등을포함하여접근통제정책을수립하여야한다. 접근권한관리공식적인사용자등록및해지절차를수립하고업무필요성에따라사용자접근권한을최소한으로부여하여야한다. 정보시스템및중요정보관리및특수목적을위해부여한계정및권한을식별하고별도통제하여야한다. 접근권한부여, 이용 ( 장기간미사용 ), 변경 ( 퇴직및휴직, 직무변경, 부서변경 ) 의적정성여부를정기적으로점검하여야한다. 사용자인증및식별정보시스템에대한접근은사용자인증, 로그인횟수제한, 불법로그인시도경고등안전한사용자인증절차에의해통제되어야하고. 필요한경우중요정보시스템접근시강화된인증방식을적용하여야한다. 정보시스템에서사용자를유일하게구분할수있는식별자를할당하고추측가능한식별자사용을제한하여야한다패스워드복잡도기준, 초기패스워드변경, 변경주기등사용자패스워드관리절차를수립 이행하고패스워드관리책임이사용자에게있음을주지시켜야한다. 고객, 회원등외부이용자가접근하는정보시스템또는웹서비스의안전한이용을위하여계정및패스워드등의관리절차를마련하고관련내용을공지하여야한다.

19 02/ 보안통제항목 접근통제 접근통제 접근통제영역 네트워크접근통제리스트, 네트워크식별자등에대한관리절차를수립하고서비스, 사용자그룹, 정보자산의중요도에따라내 외부네트워크를분리하여야한다. 서버별로접근이허용되는사용자, 접근제한방식, 안전한접근수단등을정의하여적용하여야한다. 사용자의업무또는직무에따라응용프로그램접근권한을제한하고불필요한중요정보노출을최소화해야한다. 데이터베이스접근을허용하는응용프로그램및사용자직무를명확하게정의하고응용프로그램및직무별접근통제정책을수립하여야한다. 또한중요정보를저장하고있는데이터베이스의경우사용자접근내역을기록하고접근의타당성을정기적으로검토하여야한다. 모바일기기를업무목적으로내 외부네트워크에연결하여활용하는경우중요정보유출및침해사고예방을위해기기인증및승인, 접근범위, 기기보안설정, 오남용모니터링등의접근통제대책을수립하여야한다. 인사정보, 영업비밀, 산업기밀, 개인정보등중요정보를대량으로취급 운영하는주요직무자의경우인터넷접속또는서비스 (P2P, 웹메일, 웹하드, 메신저등 ) 를제한하고인터넷접속은침입차단시스템을통해통제하여야한다. 필요시침입탐지시스템등을통해인터넷접속내역을모니터링하여야한다.

20 02/ 보안통제항목 운영보안 운영보안 운영절차및변경관리정보시스템동작, 문제발생시재동작및복구, 오류및예외사항처리등시스템운영을위한절차를수립하여야한다. 정보시스템관련자산의모든변경내역을관리할수있도록절차를수립하고변경전시스템의전반적인성능및보안에미치는영향을분석하여야한다. 시스템및서비스운영보안새로운정보시스템도입또는개선시필수보안요구사항을포함한인수기준을수립하고인수전기준적합성을검토하여야한다. 보안시스템유형별로관리자지정, 최신정책업데이트, 룰셋변경, 이벤트모니터링등의운영절차를수립하고보안시스템별정책적용현황을관리하여야한다. 정보시스템및서비스가용성보장을위해성능및용량요구사항을정의하고현황을지속적으로모니터링할수있는방법및절차를수립하여야한다. 정보시스템장애발생시효과적으로대응하기위한탐지, 기록, 분석, 복구, 보고등의절차를수립하여야한다. 원격지에서인터넷등외부네트워크를통하여정보시스템을관리하는것은원칙적으로금지하고부득이한사유로인해허용하는경우에는책임자승인, 접속단말및사용자인증, 구간암호화, 접속단말보안 ( 백신, 패치등 ) 등의보호대책을수립하여야한다. 데이터의무결성및정보시스템의가용성을유지하기위해백업대상, 주기, 방법등의절차를수립하고사고발생시적시에복구할수있도록관리하여야한다.

21 02/ 보안통제항목 운영보안 운영보안 전자거래및정보전송보안전자거래서비스제공시정보유출, 데이터조작, 사기등의침해사고를예방하기위해사용자인증, 암호화, 부인방지등의보호대책을수립하고외부시스템과의연계가필요한경우연계안전성을점검하여야한다. 타조직에중요정보를전송할경우안전한전송을위한정책을수립하고조직간정보전송합의를통해관리책임, 전송기술표준, 중요정보의보호를위한기술적보호조치등을포함한협약서를작성하여야한다. 매체보안정보시스템폐기또는재사용시중요정보를담고있는저장매체폐기및재사용절차를수립하고매체에기록된중요정보는복구불가능하도록완전히삭제하여야한다. 조직의중요정보유출을예방하기위해외장하드, USB, CD 등휴대용저장매체취급, 보관, 폐기, 재사용에대한절차를수립하여야한다. 또한매체를통한악성코드감염방지대책을마련하여야한다. 악성코드관리바이러스, 웜, 트로이목마등의악성코드로부터정보시스템을보호하기위해악성코드예방, 탐지, 대응등의보호대책을수립하여야한다소프트웨어, 운영체제, 보안시스템등의취약점으로인해발생할수있는침해사고를예방하기위해최신패치를정기적으로적용하고필요한경우시스템에미치는영향을분석하여야한다.

22 02/ 보안통제항목 운영보안 침해사고관리 로그관리및모니터링로그기록의정확성을보장하고법적인자료로서효력을지니기위해정보시스템시각을공식표준시각으로정확하게동기화하여야한다. 정보시스템, 응용프로그램, 보안시스템, 네트워크장비등기록해야할로그유형을정의하여일정기간보존하고주기적으로검토하여야한다. 보존기간및검토주기는법적요구사항을고려하여야한다. 중요정보, 정보시스템, 응용프로그램, 네트워크장비에대한사용자접근이업무상허용된범위에있는지주기적으로확인하여야한다. 외부로부터의침해시도를모니터링하기위한체계및절차를수립하여야한다. 절차및체계 DDoS 등침해사고유형별중요도분류, 유형별보고 대응 복구절차, 비상연락체계, 훈련시나리오등을포함한침해사고대응절차를수립하여야한다. 침해사고대응이신속하게이루어질수있도록중앙집중적인대응체계를구축하고외부기관및전문가들과의협조체계를수립하여야한다. 대응및복구침해사고대응절차를임직원들이숙지할수있도록시나리오에따른모의훈련을실시하여야한다.

23 02/ 보안통제항목 침해사고관리 IT 재해복구 대응및복구침해사고징후또는사고발생을인지한때에는침해사고유형별보고절차에따라신속히보고하고법적통지및신고의무를준수하여야한다. 침해사고대응절차에따라처리와복구를신속하게수행하여야한다. 사후관리침해사고가처리되고종결된후이에대한분석을수행하고그결과를보고하여야한다. 또한사고에대한정보와발견된취약점들을관련조직및임직원들과공유하여야한다. 침해사고로부터얻은정보를활용하여, 유사사고가반복되지않도록재발방지대책을수립하고이를위해필요한경우정책, 절차, 조직등의대응체계를변경하여야한다. 체계구축자연재앙, 전력중단등의요인으로인해 IT 시스템중단또는파손등피해발생을대비하여비상시복구조직, 비상연락체계, 복구절차등 IT 재해복구체계를구축하여야한다. 대책구현핵심서비스연속성을위협할수있는 IT 재해유형을식별하고유형별예상피해규모및영향을분석하여야한다. 또한 IT 서비스및시스템복구목표시간, 복구시점을정의하고적절한복구전략및대책을수립 이행하여야한다. 효과적인복구가가능한지시험을실시하고시험계획에는시나리오, 일정, 방법, 절차등을포함하여야한다. 또한시험결과, IT 환경변화, 법규등에따른변화를반영하여복구전략및대책을보완하여야한다.

02/ 안전성확보조치개요 보안프로그램설치 - 백신소프트웨어 - 자동업데이트 - 일 1 회이상업데이트 접근권한 - 권한최소

침입차단시스템 (Firewall) - 침입탐지시스템 (IDS) - 침입방지시스템 (IPS) - 웹방화벽, SecureOS,

전송정보암호화 인터넷 가상사설망 (VPN), 전용선 SSL 이용자 접속기록 협력업체 / 출장직원 용역업체 안전한장소보관

내부관리계획 - 영문, 숫자, 특수문자중 > 2 종류이상 ( 최소 10 자리 ) > 3 종류이상 ( 최소 8 자리 ) -

비밀번호, 바이오정보일방향암호화 (Hash) - 정보통신망송 수신 (SSL) 및저장매체전달시암호화 - 개인정보보호책임자지정

24 02/ 안전성확보조치개요 보안프로그램설치 - 백신소프트웨어 - 자동업데이트 - 일 1 회이상업데이트 접근권한 - 권한최소 / 차등부여 - 부여기록최소 3 년보관 - 사용자계정공유금지 내부망 침입차단시스템 접근통제 - 웹취약점점검 - 침입차단시스템 (Firewall) - 침입탐지시스템 (IDS) - 침입방지시스템 (IPS) - 웹방화벽, SecureOS, ACL - 외부접속시 VPN, 전용선이용 -P2P, 공유설정이용금지 내부직원 백신설치 운영 접근권한관리 침입탐지시스템 전송정보암호화 인터넷 가상사설망 (VPN), 전용선 SSL 이용자 접속기록 협력업체 / 출장직원 용역업체 안전한장소보관 저장정보암호화 외부망 / DMZ - 최소 6 개월이상보관 - 위 변조및도난분실대비안전한보관 비밀번호 물리적방지 암호화 내부관리계획 - 영문, 숫자, 특수문자중 > 2 종류이상 ( 최소 10 자리 ) > 3 종류이상 ( 최소 8 자리 ) - 주기적인 (6 개월 ) 변경 - 출입통제절차수립 - 개인정보포함서류, 보조저장매체등안전한장소보관 - 고유식별정보암호화 - 비밀번호, 바이오정보일방향암호화 (Hash) - 정보통신망송 수신 (SSL) 및저장매체전달시암호화 - 개인정보보호책임자지정 - 개인정보보호책임자및취급자역할및책임 - 개인정보안전성확보조치사항 - 개인정보보호교육 참고. 개인정보의안전성확보조치종합 _ 전체개요도 ( 안행부 )

25 02/ 보안서비스분류 2012_ 국내 _ 지식정보보안산업 _ 실태조사 (KISA)

26 03/ 라우터 / 스위치보안 계정및암호관리 초기 (default) 패스워드변경 불필요한계정삭제 주기적인계정권한점검 비밀번호복잡성만족 ( 영숫자, 특수기호조합 8 자리이상 ) 비밀번호암호화 조치방안 (config)# no username [ 불필요한사용자명 ] (config)# username [ 사용자명 ] password [ 비밀번호 ] (config)# service password-encryption (config)# line con / vty # (config-line)# login local

03/ 라우터 / 스위치보안 접근제어및서비스 원격접속자동로그아웃설정 원격접속시암호화된통신을사용 인가된특정 IP 또는네트워크만접속할수있도록설정 불법적인접근에대한경고성문구 ( 배너 ) 설정 조치방안 (config)# line vty [line 번호 ] (config-line)# exec-timeout [ 분 ] [ 초 ] (config-line)#

27 03/ 라우터 / 스위치보안 접근제어및서비스 원격접속자동로그아웃설정 원격접속시암호화된통신을사용 인가된특정 IP 또는네트워크만접속할수있도록설정 불법적인접근에대한경고성문구 ( 배너 ) 설정 조치방안 (config)# line vty [line 번호 ] (config-line)# exec-timeout [ 분 ] [ 초 ] (config-line)# transport input ssh (config)# access-list [ 정책번호 ] permit [IP 주소 ] (config)# access-list [ 정책번호 ] deny any (config)# line vty [line 번호 ] (config-line)# access-class [ 정책번호 ] in (config)# banner motd

28 03/ 라우터 / 스위치보안 관리서비스 SNMP community string 변경 불필요한 SNMP read-write 권한제거 SNMP 접근제어설정 (config)# no snmp-server 조치방안 (config)# snmp-server community [ 복잡성만족이름 ] (config)# snmp-server community [ 커뮤니티이름 ] RO (config)# access-list 100 permit ip host any (config)# access-list 100 deny udp any any eq snmp (config)# access-list 100 deny udp any any eq snmptrap (config)# access-list 100 permit ip any any

29 03/ 라우터 / 스위치보안 불필요한서비스 Bootp server 기능제거 HTTP server 기능제거 Direct-broadcast 기능제거 TFTP 서비스차단 Finger 서비스차단 (config)# no ip bootp server 조치방안 (config)# no ip http server (config)# no ip direct-broadcast (config)# no tftp-server {flash [partition-number:]filename1 [rom filename2]} (config)# no ip finger

30 03/ 라우터 / 스위치보안 불필요한서비스 CDP 서비스차단 Source route 금지설정 사용하지않는인터페이스의 shutdown 설정 TCP/UDP small 서비스차단 (config)# no cdp run 조치방안 (config)# no ip source-route (config)# interface fa0/1 (config-if)# shutdown (config)# no service tcp-small-servers (config)# no service udp-small-servers

31 03/ 라우터 / 스위치보안 로그관리 Syslog 로깅설정자동로그아웃설정 시각동기화 (NTP) 설정 Timestamp 로깅기능설정 조치방안 (config)# logging trap [ 로깅수준 ] (config)# logging host [syslog 서버 IP 주소 ] (config)# ntp server [ntp 서버 IP 주소 ] (config)# service timestamp log date time msec local show-timezone

32 03/ 무선랜보안 취약점 참조. 무선랜보안가이드 (KISA)

33 03/ 무선랜보안 무선장비의물리적취약점 유형도난및파손구성설정초기화전원차단 LAN 차단 내용외부노출된무선 AP의도난및파손무선 AP의리셋버튼을이용한장비초기화무선 AP의전원케이블의분리무선 AP에연결된내부네트워크케이블절체 무선단말의물리적취약점 유형분실비인가자의오용데이터유출 내용 저장데이터의유출및무선랜내부보안설정이함께유출될가능성존재 로그인절차적용을통한통제필요 이동식저장매체를통한저장데이터유출

34 03/ 무선랜보안 무선랜의기술적취약점 유형도청서비스거부불법 AP(Rogue AP) 내용 무선 AP 의존재여부를파악할수있고더불어전송무선데이터의수신을통한도청 무선서비스를제공하는무선 AP 장비에대량의무선패킷을전송하는서비스거부공격을통해무선랜을무력화 공격자가불법적으로무선 AP 를설치하여무선랜사용자들의전송데이터를수집 무선암호화방식 WEP 의경우무선데이터전송시고정된키값을이용해무선전송데이터를암호화하지않으므로단순히무선전송데이터패킷의수집을통해서무선전송데이터의암호화키값을유추가능 비인가접근 SSID 노출, MAC 주소노출

35 03/ 무선랜보안 무선랜의관리적취약점 유형 내용 무선랜장비관리미흡 무선랜장비인 AP와무선랜카드등에한장비운현황과사용자현황등을파악필요 무선랜사용자의보안의식결여 사용자가무선랜단말기에보안기능을미설정하거나, 무선랜정보보호를위해사용하기로정한보안기능을사용하지않는경우가많음설정한보안설정값이나암호키값을협력업체직원이나외부방문객들에게노출시키는경우도발생 전파관리미흡 AP 의전파출력조정을하지않아기관외부로무선랜전파가유출되는경우존재무선랜채널설정이미흡한경우로, 무선랜은중심주파수를기준으로하여 3 개채널까지전파간섭을발생

36 03/ 보안장비보안 계정및접속관리 초기 (default) 패스워드변경 주기적인비밀번호변경 1 인 1 계정사용 계정별권한설정 - ex) 관리자, 일반사용자등 주기적인계정점검 패스워드입력오류시잠금기능설정 - ex) 로그인실패횟수 3 회시차단 원격관리접근제한 - ex) 관리자접근가능 IP 설정 보안접속 - ex) https 나 ssh 등암호화된통신방식사용 Session Timeout 설정

37 03/ 보안장비보안 정책및장비관리 Any(src) to Any(dst), Any 서비스정책제한 최소한의서비스설정 - 기본적으로 all deny 설정 유해트래픽차단정책설정 - signature detection( 알려진것탐지 ) 와 anomaly detection( 알려지지않은것들탐지 ) 기능설정 시각동기화설정 이상징후탐지경고기능설정 - 보안장비의이상유무를 , SMS 등을통해알림설정 로그정기적검토 로그백업 최신업데이트설정 장비사용량검토 - 네트워크트래픽수준파악및가용성파악 SNMP 서비스확인및 SNMP community string 복잡성설정

38 04/ 네트워크보안강화를위해서는.. 네트워크보안강화 보안에대한관심 보안에대한보안인식강화 주기적인보안점검

39 Thank YOU!

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고