국내클라우드서비스보안취약점점검
취약성점검계획 수행방법 정보보호체계및정책수립, 정보시스템취약점분석, 모의해킹및소스코드분석, 어플리케이션분석 4개영역에대한취약점점검을선택적으로수행 구분 점검도구 점검방법 정보보호체계및정책수립 Check-List 인터뷰및현장실사 정보시스템취약점진단 AppScan, Nessus, Shell 등 자동 수동진단도구사용 모의해킹및소스코드분석 해커수동점검및분석도구 해커및분석도구를통한점검 어플리케이션분석 Check-List 실사및수동점검 AppScan: IBM 의웹취약점진단도구인 AppScan 은웹어플리케이션소스수준의취약점분석을통해웹소스가가지고있는원천적인취약점을도출가능하며상세한보고서추출이가능 ( 상용 ) Nessus: Tenable Network Security에서개발제공하는 Nessus는다수의보안제품에원천기술의제공하고있으며방대한취약점 DB를바탕으로수준높은취약점점검이가능한네트워크기반취약점점검도구임 ( 비상용 ) Shell: 보안취약성점검수행사가개발안취약점점검도구 정보보호체계및정책수립 Check List 측정분야측정항목 ( 항목수 ) 정책및계획 (22) 시스템보호 (73) 보안계획정책및지침 (7) 서비스지속역량 (4) 예산계획 (2) 이용자서비스정책수립 (1) 고객지원체계 (5) 비상계획 (3) 시스템도입 / 관리 (11) 소프트웨어의사용 (2) 내부관리 (3) 위험관리 (2) 자원확보및유지 / 관리 (3) 예방활동및품질측정 (2) - 1 -
매체의보호 (4) 개발시보호 (3) 유지보수 (3) 보안성평가 (1) 백업시스템확보및관리 (4) 백업시행및복구테스트 (2) 데이터반환및폐기 (2) 인증및접근관리 (12) 악성코드보호 (1) 스팸으로부터의보호 (1) 모니터링 (3) 정보의입출력 (1) 시스템개발보안 (1) 가상화보안 (1) 보안사고관리 (1) 변경관리 (5) 서비스제공방식의다양성 (3) 서비스이전 (2) 서비스목표제시및결과의통지 (4) 서비스수준 (12) 데이터관리정책수립 (4) 서비스수준보증 (4) 조직및책임설정 (3) 정보자산관리 (1) 정보보호교육 (2) 인적보안 (13) 내 / 외부인력보안 (4) 퇴직시보호 (1) 인사이동시보호 (1) 위반시처벌 (1) 물리적보안 (11) 물리적접근통제 (11) 정보시스템취약점진단 - 서버, 네트워크, 보안장비등정보통신설비에대한취약점점검을수행 - 취약점점검도구및자동화도구를이용 16 개분야, 88 개항목을기반으로수행 구분 분야 항목 내역 서버점검 5개 41개 계정관리, 시스템환경설정, 서비스관리등 네트워크점검 6개 36개 계정관리, 장비접속, 서비스관리, 경로보안등 보안장비점검 5개 11개 계정관리, 정책관리, 서비스관리, 환경설정등 - 2 -
서버취약점점검 - 진단항목 (Windows 시스템기준 ) 항목 SW1. 사용자계정관리 SW2. 시스템환경설정 SW3. 서비스관리 SW4. 레지스트리보호 SW5. 패치관리 진단항목 SW1-01 Trivial Password SW1-02 Administrator 계정사용 SW1-03 Guest 계정사용 SW1-04 관리자그룹에일반사용자계정포함 SW1-05 불필요한계정존재 SW1-06 계정암호정책 SW1-07 계정잠금정책 SW1-08 패스워드사용만기미설정 SW1-09 사용자디렉터리접근제한 SW1-10 마지막로그온사용자계정숨김 SW2-01 파일시스템 NTFS 설정 SW2-02 공유폴더설정 SW2-03 경고메시지 SW2-04 화면보호기설정 SW2-05 로그온없이시스템종료 SW2-06 감사정책 SW2-07 이벤트로그설정 SW2-08 SAM 파일접근통제 SW3-01 NetBIOS 바인딩 SW3-02 불필요한서비스구동 SW3-03 SNMP(1) - 서비스구동 SW3-04 SNMP(2) 커뮤니티이름 SW3-05 사용하지않는 IIS WEB 서비스구동 SW3-06 사용하지않는 IIS FTP 서비스구동 SW3-07 FTP(1) - 디렉토리접근권한 SW3-08 FTP (2) 익명연결허용 SW3-09 FTP (3) IP 접근제어 SW3-10 FTP (4) 로깅설정 SW3-11 FTP (5) 로그파일접근파일 SW3-12 DNS 보안설정 SW3-13 HTTP/FTP/SMTP 배너관리 SW3-14 SMTP 서버릴레이제한 SW3-15 터미널서비스환경설정 SW4-01 보안레지스트리설정이적절한가? SW4-02 DoS 공격에대한방어레지스트리설정이적절한가? SW4-03 SAM에대한보안감사설정이적절한가? SW4-04 null session 설정이적절한가? SW4-05 레지스트리보호설정이적절한가? SW4-06 AutoLogon 기능을제한하고있는가? SW5-01 SW5-02 최신서비스팩적용 바이러스백신엔진업데이트 - 3 -
모의해킹 ( 시나리오기반보안위협점검 ) - 각서비스유형별시나리오기반모의해킹수행 < IaaS 환경점검리스트 > NO 진단항목내용진단방법대응방안 1 2 외 / 내부전송상태 물리망과가상망의분리상태 3 중요데이터 4 패스워드 5 6 7 8 9 로그인접근횟수제한 중요데이터접근권한 IP, MAC, DNS 검증 부적합쿼리필터링 악성코드탐지방안 관리자서버의외부접근암호화데이터송수신시주요정보의암호화점검 물리 / 가상망분리 Sniffing 가능성 개인정보, 기밀문서등의보관상태 마스킹일방향함수복잡한암호의사용 ( 사전 / 무차별대입취약점 ) 무차별대입공격후계정잠기는지여부확인개인정보, 기밀문서등의권한할당상태 DNS변조, MITM공격 ARP Posoning 을통한 Sniffing 머신ID/PW, Key Pair 등의세션정보노출 DB 명령실행차단 AV 솔루션사용유무 Cain&Abel, Ettercap ( 전송계층도청및정보추출, 크랙, 원격응용설치,..) 물리망접속을통한가상망사이전달되는정보스니핑접근가능한파일열람및상태확인 Cain&Abel, Hashcat, John the ripper, PwDump Vasto 중요데이터의비인가자열람여부 Cain&Abel,Ettercap, DNSSpoof(Parming) PacketSniffer 클라우드환경에서사용하는 API들에대한데이터값변조 악성시그니처배포및탐지결과 / AV 설치 -업데이트여부 전송계층암호화민감한데이터전송최소화 가상망과물리망분리 암호설정, 암호화, 격리암호화보관, 패스워드변경주기설정패스워드복잡도설정 로그인실패횟수설정 최소접근권한설정 static한 mac addres 설정 입력값필터링및검증 가상머신안에의무적으로 AV 설치 - 4 -
< SaaS 환경점검리스트 > 구분진단항목내용진단방법대응방안 모바일웹 웹 어플리케이션변조 입력값검증 암호화통신여부확인 개인정보취급방침게시및수집동의구현 비정상 ( 탈옥, 루팅 ) 단말기의실행제한 중요정보평문저장 명령어삽입가능성 Cross Site Scripting 어플리케이션을불법적으로조작또는악성코드를삽입하여배포 사용자입력부분에의도되지않은동작을일으키는값을입력하여악의적인동작실행 APP에서통신하는데이터들에대해암호화통신여부를확인합니다. 개인정보를수집할경우개인정보취급방침이게시되어있어야함 단말기가탈옥및루팅이된상태에서어플리케이션실행이가능 설정파일, 로컬리소스등에사용자의개인정보가남아유출이가능 시스템명령을직접실행할수있는함수에악의적인의도의명령어를삽입하여실행할수있음 악의적인사용자가웹페이지에몰래악성코드를심어놓고다른사용자가해당페이지를열어보았을때악성코드가사용자의컴퓨터에서실행되어악의 원본어플리케이션을수정하여악성코드작성및삽입 입력값검증이이뤄지는지앱에서의도되지않은동작을하는코드삽입 패킷스니핑후데이터들이암호화되어있는지여부확인 회원가입및로딩시개인정보취급방침이게시되어있는지확인 프로그램소스코드내에 /bin/su 등의파일들이있는지체크하는루틴확인 사용된앱의캐시, 설정, 로컬파일내부정보를수집하여노출된패턴이있는지점검시스템명령어를수행하는취약한변수에시스템정보나파일획득을위한명령어또는명령어가포함된 URL 삽입 게시판 / 덧글등에악성스크립트삽입. 열람한사용자의세션정보수집 공식지정된배포페이지에서앱을설치. 외부검증되지않은앱의사용금지입력값검증을통해악의적으로이용될수있는문자필터링또는이용에필요한문자만허용하도록설정. 길이제한 데이터암호화 개인정보취급방침게시 소스코드에서 /system/bin/su, /system/xbin/su, /system/app/su peruser.apk, /data/data/com. noshufou.andro id.su 등루팅됐을시생성되는파일들이존재하는지체크 사용된개인정보는제거되도록변경 외부명령수행을차단 입력값검증을통해악의적으로이용될수있는문자필터링또는이용에필요한문자만허용 - 5 -
SQL Injection 쿠키스니핑 / 조작가능성 디렉터리인덱싱 관리자페이지접근 백업파일 디폴트페이지 파일업로드 파일다운로드 적행위가가능하게됨 DB 연동단계에서내부 SQL 구문을실행시켜 DB 의내용을얻어내거나시스템에악의적인행위를할수있음 해당사이트에접근이가능한계정의쿠키내용을조작하여다른사용자또는관리자로가장하여접속이가능함웹페이지를구성하고있는서버의디렉터리내용이보이는상황으로, 디렉터리구조, 백업파일이나로그파일등, 중요한정보를얻을수있음 관리자페이지는악의적인사용자의궁극적인공격의목표로노출되지않도록해야함 불필요한백업파일은소스코드의중요정보를노출시킬수있음웹서버의디폴트페이지는취약점이공개되어있으며, 웜의공격대상이므로반 드시삭제되어야함게시판이나자료실에파일을업로드할시에확장자점검을하지않음으로인하여악의적인소스코드를올릴수있으며, 실행이가능할경우시스템에명령을실행할수있음 파일다운로드경로에대한제한이없을경우서버내의특정 SQL map 수작업쿼리전송, 부적절한 SQL 쿼리를전송하여비인가되거나불법적으로 DB 정보열람 WebBrowser, Burpsuit, 웹개발도구 / 웹프록시를이용한쿠키세션정보획득및재사용 임의의디렉토리에접근하여디렉토리구조확인 관리자의페이지접근 디렉토리리스팅을이용하거나추측가능한파일명으로접근및다운로드 알려진디폴트페이지접근확인 파일업로드기능이있는게시판등에웹쉘및악성코드업로드를수행 업로드된파일의경로확인. 접근경로변경을통한직접참조가가능 하도록설정불필요한 HTML 페이지작성차단입력값검증을통해악의적으로이용될수있는문자필터링또는이용에필요한문자만허용하도록설정. 불필요한 HTML 페이지작성차단 세션정보확인에사용되는문자열필터링 가상디렉터리로웹서버루트상위의접근제한설정. 웹서버의디렉토리리스팅허용설정해제 관리자페이지는추측하기어렵운이름의경로로설정하며해당페이지는관리자만이접근가능하도록설정서비스에필요하지않은정보들은제거하고따로보관 기본적으로제공되고사용되지않는페이지들은모두제거 업로드되는파일의확장자필터링업로드된파일의이름변경및해당디렉토리의실행권한제거 업로드된파일의파일명은 DB 에보관하며다운로 - 6 -
어플리케이션 인증우회 히든필드점검 취약한계정 / 패스워드 에러처리미흡 사용자개인정보노출취약점 기타취약점 어플리케이션변조 입력값검증 파일을모두다운로드받을수있음 취약한인증방식으로인해인증을우회할수있음 웹페이지의소스등을통하여감추어놓은정보를습득, 조작이가능할수있음로그인등에쓰이는계정과패스워드가 취약하게설정되어있으면악의적인사용자가쉽게유추할수있음 특정검색기능을통하여로그인을통하지않고접근할수있거나부적절한행위에필요한정보를습득가능함 사용자개인정보노출취약점 ( 이름, 주민등록번호, 핸드폰, 이메일등의매핑이가능한개인정보 ) 서비스상에존재하는기타취약점 어플리케이션을불법적으로조작또는악성코드를삽입하여배포 사용자입력부분에의도되지않은동작을일으키는값을입력하여악의적인동작실행 한경우파일다운로드확인 BurpSuite. 웹프록시, 개발도구등을이용하여클라이언트사이드의인증을우회하거나로그인정보검증루틴의취약한로직을이용하여올바르지않은정보로권한획득 BurpSuite. 웹프록시를이용한히든필드확인. 값변경 Hydra, Medusa, Browser ExtTools 추측, 무차별대입공격을통한취약한계정리스트확인및계정명, 사전정보를이용한패스워드설정등. DB 의변수값처리오류에따른웹서버의에러정보출력, 비인가된페이지접근확인 DB 내의획득가능한민감한정보가암호화되어보관되고있는지확인 제로데이 Exploit, 웹서버및기타서비스신규취약점점검 원본어플리케이션을수정하여악성코드작성및삽입 입력값검증이이뤄지는지앱에서의도되지않은동작을하는코드삽입 드시에는 DB 의시퀀스로접근하여다운로드정상업로드위치와비교하여일치하면다운로드 서버사이드에서인증정보비교. 입력값검증및 ID/PW 인증루틴분리. 전송되는민감한정보의암호화 지정한기준이상의복잡한암호사용강제추측가능한단어사용배제 각페이지의적절한인증루틴구현, 접근권한제어 주민번호등의개인정보를암호화하여보관 알려진신규취약점등에대한지속적인보안업데이트실시공식지정된배포페이지에서앱을설치. 외부검증되지않은앱의사용금지입력값검증을통해악의적으로이용될수있는문자필터링또는이용에필요한문자만허용하도록설정. 길이제한 - 7 -
공통 중요정보노출 인증처리 설정파일, 로컬리소사용된앱의캐시, 설스등에사용자의개정, 로컬파일내부정보사용된개인정인정보가남아유출를수집하여노출된패보는제거되도록이가능턴이있는지점검변경 패스워드전송 스니핑 전송계층암호화 보관 암호키등평문저장암호설정상태 암호화, 암호화레벨 무차별대입공격, 패스워드추측 일방향해시, 잡한암호 복 인증방식 3A 인증절차 - 8 -