SolidStep v2.5 ( 인프라보안진단관리솔루션 )
취. 약. 점. 진. 단.
1. 취약점진단이란? 취약점 ( 脆弱點, Vulnerability) 컴퓨터의 H/W, S/W 의결함이나설계 ( 설정 ) 상의허점 악의적크래커의침투 내부비인가자통제어려움 취약점악용 비인가자접근허용 주요데이터유출 / 변조 / 삭제 인사정보및기밀정보유출 제품설계도면유출 정상적인서비스방해 서비스거부공격 (DoS) 서비스차단 (Interruption) 現조직의현황파악기술적분석 연간위험관리활동 : 정보보호컨설팅, 내부보안감사등 3
2. 취약점진단유형 CCE CVE Infrastructure 취약점진단 IT Infra Configuration 진단 (S, Network, DBMS, WEB/WAS 등 ) Application 취약점진단 어플리케이션취약점진단 (Microsoft, Adobe, pen SSL, Java 등 ) Web 취약점진단 웹서버의소스진단 (HTML, ASP, JSP, PHP 등 ) 취약점해결 : 자체개선가능내부대응 : 운영자수정가능 취약점해결 : 자체개선불가 ( 제조사패치에절대의존 ) 내부대응 : 운영자수정불가 취약점해결 : 자체개선일부가능내부대응 : 개발자수정일부가능 Compliance Compliance 취약점진단의컴플라이언스는자체적으로개선이가능한인프라및웹취약점을위주로선정 4
3. 강화되는 정보보호 관련 법규 준수사항 정보통신기반보호법 주요정보통신 기반보호시설 관리기관은 매년 취약점 분석/평가를 실시하여야 함 [정보통신기반 보호법 제 9조] Unix, Windows, Network 장비, DBMS, WEB/WAS, 보안 장비, 제어시스템, PC에 대한 설정현황을 확인 총 313 개의 기술적 점검항목에 대해 취약여부를 점검 전자금융거래법 + 금융위원회 전자금융기반시설에 대해 매년 정기평가 실시 금융회사 및 전자금융업자의 취약점 분석, 평가 결과 및 이행 실태를 점검 CE 책임하에 취약점 점검 및 보완조치 이행 철저 非 금융 전산시스템에 대해 주기적으로 취약점 점검을 시행 그룹 계열사 또는 모자회사간의 공동시스템의 경우 한 회사가 취약점 분석 평가를 시행할 시에 관련자료를 공유하며, 취약점 발견 시 공동시스템 사용회사들과 공동조치 5 시스템 계정 사용권한, 접근기록 등 중점 관리 및 통제 非 금융 전산시스템까지 취약점 점검 확대 정보보안 조직은 임직원의 IT 보안법규 준수 여부를 정기적으로 점검하고, 결과를 CIS 및 CE에 보고
4. 정보보호인증컴플라이언스 정보보호관리체계 (ISMS) 정보보안경영시스템 (IS/IEC27001) 11.2.8 공개서버보안 취약점점검을주기적으로수행 11.2.10 취약점점검 정기적으로점검을수행 A.12.6.1 기술적취약점통제 기술적취약점에대해적시에정보를수집후, 취약점에대한조직의노출정도를평가 개인정보관리체계 (PIMS) 7.3.12 공개서버보안관리 취약성진단도구등을이용하여서버의취약성및서버상의중요응용프로그램에대한무결성을수시로점검 9.2.2 기술적점검 절차에따라운영관리되는지정기적으로점검 6
5. 컴플라이언스준수대상의기준 주요정보통신기반시설전자금융기반시설정보보호관리체계 정보통신망이용촉진및정보보호등에관한법률 제 2 조제 1 항제 1 호의규정에의한정보통신망을말함. 정보통신망이용촉진및정보보호등에관한법률 제 2 조제 1 항제 1 호에따른정보통신망을말함. 정보통신망이용촉진및정보보호등에관한법률 제 47 조, 정보보호관리체계인증등에관한고시에해당하는아래의기관. - 도로, 철도, 지하철, 공항, 항만등주요교통시설 - 전력, 가스, 석유등에너지, 수자원시설 - 방송중계, 국가지도통신망시설 - 원자력, 국방과학, 첨단방위산업관련정부출연연구기관의연구시설 - 은행 - 보험회사 ( 생명, 손해 ) - 협동조합 ( 농협, 수협, 신협등 ) - 증권회사 ( 선물 ) - 신용카드 ( 캐피탈등 ) - 저축은행 - 기타금융 ( 종합금융, 새마을금고등 ) - ISP, IDC, VIDC - 정보통신서비스부문매출액합 100 억이상 - 3 개월간의일평균이용자수 100 만명이상 - 매출이 1,500 억원이상인의료기관 - 재학생수 1 만명이상의교육기관 17 개관계중앙행정기관 210 개관리기관등 354 개 (2015. 11 월기준 ) 전자금융감독규정대상기관 약 500 여개 인증의무대상약 480 여개 (2016. 6 월기준 ) 7
5. 컴플라이언스준수대상의기준 정보통신기반보호법 정보보호산업진흥법의제정및시행 2015 년 12 월시행 해당시설을안정적으로운용하여국가의 안전과구민생활의안정을보장하는것이목적 2016년시행 정보보호제품, 서비스의수요정보공개 정보보호제품 / 서비스에대한평가 기술경쟁력향상및우수인력육성추진 2016 년 9 월시행 신용정보의이용및보호에관한법률 개인신용정보강화 금융회사신보법, 개정법, 정통망법간중첩 해소 빅데이터활용근거및규정 정보통신망이용촉진및정보보호에관한법률 & 개인정보보호법개정및시행 2016 년 7 월시행 기업규모, 개인정보보유량에따라안전조치 의무차등화 개인정보처리방침 정보처리현황정기조사 전기업및기관대상! 취약점진단관리는필수! 정통망법, 신보법, 개정법등의시행및강화 8
6. 현재수행되고있는컨설팅취약점진단의현황 구분 How ften? 내용 1~2 회 / 1 년 How Many? Man/Months (50EA:Max.) What Method? Script What Target? Sampling 조직의 IT 인프라에대한취약점전수진단수행비용예시.. 500EA 1M/M : 10,000,000 원 예상비용 : 약 100,000,000 원 9
7. 현재컨설팅취약점진단의한계점및개선방향 구분내용문제점 How ften? 1~2 회 / 1 년자산의신규도입 or 서비스변경시누락위험 How Much? Man/Months (50EA:Max.) 기존고비용저효율방식 -> 고급인력의스케쥴종속 What Method? Script 텍스트형태의결과저장및관리자계정공유 What Target? Sampling 매년진단대상이중복될가능성높음 문제점개선방향 변경관리와연동취약점상시관리체계구축및이행 인력 솔루션자동화수행으로예산및리소스절감 암호화저장및관리내부인력이직접진단수행 중요순위를탈피전인프라대상취약점진단수행 現수행방법의구조적, 비용적한계는자동화솔루션도입을통한패러다임의전환으로개선이필요!!! 10
진단솔루션의필수요건
1. 보안기준매칭 Q. 내 외부의다방면으로주요보안기준을만족하는가? 기존취약점진단솔루션 국내인프라환경의요구사항 NIST, ITIL, Cobit FFIEC, HIPPA PCI-DSS Zero-Day, CVE IS17799,27001 정보통신망법, I.S.M.S. 개인정보보호법, P.I.M.S. 정보통신기반보호법주요정보통신기반시설 금융위원회전자금융기반시설 IS/IEC 27001:2013 : Non-Compliance Item : Compliance Item : Non-Compliance Item : Compliance Item 대외적으로오픈된알려진항목 ( 내부환경과큰 GAP 이존재 ) 대부분외국기준으로진단하여국내환경적용이미흡 컨설팅을대체할만큼의수준의진단이불가 ( 항목및수준 ) 관련법률및컴플라이언스진단항목은반드시포함 폐쇄망점검및고도화수준의진단필요 ( 컨설팅대체 ) 컨설팅을대체하는솔루션도입으로인한 RI 확보보장 12
1. 보안기준매칭 - 계속 Q. 정책및지침항목과솔루션평가항목이일치하는가? 내부정책 ( 가이드 ) 진단항목결과리포트 패스워드 영문, 숫자, 특수문자 를혼용하여 9 자리이상으로사용한다. ex) abc1234!@# -> 조건만족 패스워드 영문, 숫자를혼용하여 8 자리이상으로사용하는가? ex) abc12345 -> 내부정책조건미달 결과 : 양호 영문, 숫자를혼용하여 8 자리로사용. 진단기준은만족하나, 실제정책의준수확인은미흡. 따라서, 진단결과를신뢰할수없음. 계정잠금 계정입력의오류가 5 번이상일경우, 잠금처리하고잠금기간은 60 분으로한다. 계정잠금 진단항목이존재하지않음. 진단불가 해당취약점진단수행불가. 정책및지침은조직환경에따라상이하게구성 진단기준과내부항목매칭이필수 진단결과의신뢰도는항목일치여부에종속 일치하지않은평가기준으로진단하는솔루션의경우결과의신뢰도및활용가능성저조 13
2. 빠른속도의전수검사 Q. 전수검사꼭해야하나요? 하단인프라의보안수준 25 점 수용가능한수준의위험 보안수준 중요도 92 점 A+ 87 점 A 83 점 A 25 점 D 96 점 A+ 내부정책기준 실제보안수준 서버 1 서버 2 서버 3 서버 4 서버 5 : 주기적인진단 ( 샘플링 ) 자산 : 낮은중요도로인해진단누락자산 물통안수위는결국최하단의구멍이결정!! 해커는관리자산을통한공격은시도하지않음. 14
2. 빠른속도의전수검사 - 계속 현재수행중인샘플링진단의사례 1 2 시간과비용의리소스한계 취약점샘플링진단 변동되지않는자산의중요도 진단샘플자산도매번동일 미진단인프라자산 취약점관리부재 위험상존으로해커의우회도구로악용가능 15
3. 자산변경에따른자동진단 Q. 유지보수 ( 교체 ) 및신규도입자산의보안관리는? 365 일, 자산의변경은수시로발생 신규 변경 진단직후에도입된자산. 내년까지無진단? or 폐기시까지無진단? 자산의변경및신규도입시 보안성검토및취약점진단은 컴플라이언스이행사항 실제운영환경은 여러가지의이유로 이행에어려움이따름 컴플라이언스중첩항목으로 강조되는부분인만큼 솔루션의필수기능항목 16
4. 진단현업의충분한이해 Q. 예외도많고한번에진단할수없는현실을솔루션이어떻게? 동일플랫폼이라도용도에따라진단항목이상이 진단대상의현업 ( 연관 ) 부서가수행기간중스케줄링불일치 예외처리 3 건 DB 서버 100 대진단옵션변경 진단기간내시스템도입 진단오류분석후예외처리지속적용과관련승인이필요 인사팀은나중에진단 템플릿수정 자산시스템데이터에의존하지만 SID 등개별인스턴스파악은불가능 진단보고서점수가동일하나내용이상이하여직접상세비교. 진단은한번에끝나는단순업무가아님 17
18 단시간내모든위험자산은반드시진단! 100 1 = 0 All or Nothing. 보안은사슬과같아가장약한연결고리만큼의강도를지닌다.
과학기술정보통신부지정정보보호전문서비스기업 취약점진단 ( 컨설팅 ) 을가장잘알고있는회사에서만들었습니다. 20
1. SolidStep 특장점 내부정책기반의최적화진단 비즈니스, 문화, 환경 ( 인증 ) 을 100% 고려한맞춤형진단수행 완벽한컴플라이언스대응 국내외기준을만족하는 1,000개이상의보안진단항목 신속한자동화전수진단 컨설턴트 ( 인력 ) 대비 28,800배빠른진단속도 자산변경시자동진단 1,000 대대상, 100 대 /1MM 기준 신규자산은 1 Click 사전보안검토변경자산은자동진단수행 지속적인리소스절감 1/3 ~ 1/10 의비용으로진단수행 대규모인프라환경에서더욱큰절감효과 진단업무효율화 각종예외, 변경을시스템화 30 여가지의다양한진단옵션 21
2. 내부정책기반의최적화진단 내부정책 ( 가이드 ) 진단항목결과리포트 계정잠금 로그인실패횟수제한이 5 회를초과하여설정되어있으면취약 계정로그인의오류가 5 회이상일경우, 계정은잠금처리한다. 패스워드최대사용기간 패스워드최대사용기간이 90 을초과하여설정되어있다면취약 패스워드의최대사용기간은최대 90 일이다. 정책의세부내용을완벽하게충족하는항목으로진단을수행하여결과를 100% 수용 22
3. 취약점진단범위 (2017.10) SolidStep Template S.S.R Standard Tpl Critical ISSUE 금융위기준항목 기반시설기준항목 ISMS 기타 * Server DBMS Web/Was Network 125 167 157 73 8 N/A N/A N/A 61 39 22 42 150 72 24 38 87 119 135 38 434 167 55 210 Total 522 8 164 284 379 866 Server Windows / UNIX / LINUX DBMS racle / MSSQL / MYSQL / Sybase / Tibero / DB2 / PostgreSQL / Altibase / MariaDB/Postgresql/Infomix Web/WAS Apache / IIS / WebtoB / HS / Tomcat / WebLogic / Jeus / WebSphere / Jboss / IPlanet/Nginx/Resin/racle Http Server NetWork Cisco / Alcatel / Alteon / Juniper / Extreme / 3CM / AVAYA / Borcade / ubiquoss / PILIN / Ffive 기타 * - 교육부, 국방부, 산자부, 기반시설 PC, SolidPC, 금융보안원취약점항목 23
To - Be 취약점진단자동화 : 시간, 비용리소스절감인프라전수진단 : 잔여취약점제거정책및지침의이행보장법규및컴플라이언스완벽대응 24 4. 초고속전수진단
25 5. 아키텍처 4-free Internet with Agent FireWall nline Install-Free Portable 프로그램 ( 재부팅불필요 ) S Free Resource Free CPU 소모량 1% 이하 ACL Free Network Windows, Linux, AIX, HP-UX Solaris 등 5 종지원 Agent Port Listening 없음 HTTPS Protocol 이용 PC Agentless SSH, Winexec 를이용한점검 SolidStep Agent 설치관련운영이슈 Zero, Agent 방식과동일한결과보장서버접속정보입력및관리필요, 네트워크접근 ACL 필요부가기능 ( 리소스모니터링등 ) 이용불가, 예약진단이용불가 Windows Unix DBMS WEB WAS N/W ffline 암호화된정보수집파일수동반영 Password Crack (3-Ways) 매니저 수집기 템플릿 분석기 리포터
6. 기능 보고서비교 변경감시기능및진단결과보고서를상호비교후취약점조치결과의구체적인현황파악및대응이가능합니다. 26
6. 기능 UI like Gmail SolidStep 은편의성을극대화하기위한플랫메뉴방식의화면과무엇이든검색가능한토큰인터페이스를제공합니다. 진단현황 / 검색 / 필터 3 분할화면 * 사용편의를위해상 / 좌패널은항상고정 * - 상 ) 진단실행, 각종필터, 시스템리소스대시보드 - 좌 ) 자산 / 항목 / 템플릿 - 우 ) 진단관련모든정보 꼭봐야하는지표들만대시보드화 각종아이콘과색상으로클릭없이모든정보표시 진단항목사용현황검색 / 필터 / 예외등 진단이력정보를한눈에 27
6. 기능 자산관리 물리 or IP 로자산을등록하는기존방식은자산등록및할당시중복이슈가발생하여보안관리의한계가있으나, Solid Step 은 WEB/WAS/DBMS 등을자산 ( 인스턴스 ) 의논리적등록으로진단 / 이행부서간원활한업무진행이가능합니다. 3 개의 DB 인스턴스를하나의자산으로처리 ERP 보안이슈처리담당은? 타팀의 DB 도접근가능?? 192.10.10.1_DBMS 보안진단 + 이행의책임을명쾌하게분리 192.10.10.1_ERP 192.10.10.1_ 인사 192.10.10.1_ 재무 ERP ERP 인사 DB 재무회계 192.10.10.1_Unix 192.10.10.1_Unix IT 팀인사팀재무회계팀 IT 팀인사팀재무회계팀 진단책임 192.10.10.1_Unix 192.10.10.1_DBMS 192.10.10.1_DBMS 192.10.10.1_DBMS 진단책임 192.10.10.1_Unix 192.10.10.1_ERP 192.10.10.1_ 인사 192.10.10.1_ 재무 28
6. 기능 진단실행 진단업무에최적화된 UI 로구성되어 진단실행 을위한접근성을극대화하였고, 즉각적인오류통보로진단템플릿을생성 / 적용을신속히수행할수있습니다. 즉각적인오류검증 빠르고쉬운진단템플릿생성 자세한진단항목정의 2 다양한진단대상의지원 3 Steps,! 3 고객환경에따라처리할수있는예외를설정으로정리 1. 진단대상선택 2. 진단실행 3. 시작 4 조치방법의보고서, 웹UI 구분하여설정, 세부설정의문법컬러링 표시 중복 ID 자동체크 중복넘버링체크 1 29
6. 기능 진단옵션 다양한고객대상의컨설팅수행경험으로보안진단시이슈사항을예외처리 ( 옵션 ) 항목으로구현, 진단결과를편리하게취합이가능합니다. AS-IS T-BE 오래전수행한진단 중복항목이있는진단 별도로진행한원격연결진단 제외대상포함하여보안점수측정 원격연결방법을통한진단포함 모든대상에대해다시진단 ( 기진단대상을포함 ) 기간내진단결과를포함하여, 진단내역이없는대상만진단후종합적인진단결과추출 조치기한설정가능 진단명이없어도생성가능 적용템플릿도 WISWIG 수정 30
6. 기능 조치관리 취약점진단후 조치및이력관리 를보안담당자와운영자간승인절차를제공해내부합의된프로세스로진행이가능합니다. 담당자별할일통계 승인절차를통해서만, 예외, 대체처리등가능 31
6. 기능 보고서 수많은고객사에서검증된보안진단 보고서 는 (1) 컨설턴트의수작업과 100% 동일한엑셀보고서로추출하고, (2) 결과상세를한눈에알수있는뷰어기능으로한층강화하였습니다. 컨설턴트가진단결과를취합하고설명을추가했던보고서를버튼 1 번으로실행 / 추출 엑셀보고서와연결된상세데이터뷰어제공 보고서와상세내용은웹에서도편리하게제공 32
6. 기능 변경감시 진단수행이후발생가능한설정의변경을모니터링 / 진단하여보안의지속성을유지하고, 변경사항을자동진단하여보안준수여부를통보합니다. Arp-a 명령어를이용하여 Agent 미설치자산을탐지 서버시스템내인접한 Server Farm 들의정보를수집 자산의 S, IP, Hostname, MAC-Address 정보를수집하여기존정보와비교후일치하지않을경우, 미등록자산으로등록 33
6. 기능 미등록자산탐지 (CatchUP) 미등록자산탐지 CatchUP 기능은실행시서버시스템내자산의 S, IP, Hostname, MAC-Address 정보를수집하여 SolidStep Manager 의기존정보와비교후에미등록자산을탐지합니다. 시스템설정값변경사항알림및변경내용비교 점검감시정책기능에허용 / 제외설정 점검감시정책을대상서버에일괄적용 변경감시적용범위 - S 계정 - 로컬 / 계정정책 - 파일 - 리스닝포트 - 설치프로그램 - 시작서비스 - 레지스트리 - 공유디렉토리 - 프로세스 34
6. 기능 Agentless 진단 SolidStep Agentless 분석 Agent 설치관련운영이슈 Zero Agent 방식과동일한결과보장 Manager 수집결과자동전송기능 Agentless Network - Cisco, JUNIPER, HP 3com, Alteon 등 L4 장비지원 Network S - 다양한 S 탐지지원 Installing... Winexec 점검 SolidStep 2hr... SSH 점검 DBMS Agentless -MYSQL, DB2, Sysbase, PostgreSQL 등탐지 서버접속정보입력및관리필요, 네트워크접근 ACL필요, 부가기능 ( 리소스모니터링등 ) 이용불가 예약진단이용불가 WEB/WAS - IIS, Apache, WebtoB, Http Server, Tomcat 지원 35
7. 솔루션도입기대효과 취약점관리의시간, 비용리소스절감 비용 시간 시간 매년진단에필요한예산을집행하지않고, 도입시구매비용으로반복진단수행가능 규모 자산의증가및진단대상을확대 ( 전수진단 ) 해도, 추가적으로발생하는비용은 ZER 인프라보안관리의상향평준화 모든인프라를대상으로수행되는취약점관리로보안수준이상향평준화하여관리가능 객관적으로신뢰성높은수준향상측정가능 일관된기준과동일한방법으로수행되는진단으로인프라수준의향상도측정이가능 컨설팅수행의경우수행주체별방법론및숙련도의차이로기준이동일하지않으며, 인력의정성적평가반영 36
진단및운영사례
1. 구축레퍼런스 SolidStep 은금융권및 IT 비즈니스를수행하는기관및기업등다양한환경에구축되었고, 단일사업최대규모의설치, 운영레퍼런스를보유하고있습니다. 공공기관 문화체육관광부, 교육부, 국군사이버사령부, 국군기무사령부, 국가보훈처, 국방과학연구소, 한국공항공사, 한국동서발전, 중부발전, LH한국토지주택공사, 한국석유공사, 국민연금공단, 서울시농수산식품공사, 한국예탁결제원, 한국교육개발원, 한국재정정보원세종특별자치시, 서울시교육연구정보원, 국방기술품질원, 국가평생교육진흥원, 한국원자력환경공단, 한국원자력안전기술원, 한국원자력안전위원회, 한국항공우주연구원, 청주공항, 울산과학기술원, 한국신용정보원, 전라남도청, 경상북도개발공사, 서귀포시, 부산항만공사, 연천군, 식품의약품안전처, 외 20여곳 대기업 / 일반기업 현대기아차, S Telecom, T, LG U+, 한화 S&C, LG 생활건강, 현대오토에버, 삼성전자로지텍, 하나 IDT, 코오롱베니트, LG 화학, 코웨이, CJ 오쇼핑 W 쇼핑, 현대모비스, S 브로드밴드, 이수그룹, 롯데백화점, 나이스정보통신, 현대자동차미주법인 & 유럽법인, 안랩, TDS, 현대위아, 골프존, S 네트웍스, 아시아나항공, 코리아케이블텔레콤, 굿네이버스 금융권 금융감독원, 한국증권금융, IB기업은행, B국민은행, 우리은행, 하나금융그룹, 한화투자증권, 키움증권, 동부증권경남은행, B손해보험, B생명보험, 한화손해보험, 한국신용정보원, 신협, NH농협생명 DGB생명보험, 보험개발원, 서울외국환중계, ING생명보험, 우리카드, 메리츠화재, 신한생명, 교보생명보험, BC카드, G이니시스, NH농협손해보험, B손해사정, 롯데카드, 흥국생명, 웰컴저축은행, G모빌리언스, 스마트로, 브이피, 에이앤디신용정보 교육기관 / 병원 울산과학기술대학교, 부산카톨릭대학교, 한국해양대학교, 진주경상대학교, 서울과학기술대학교, 강원대학교, 두원공과대학교 대구보건대학교, 울산대학교, 신라대학교, 국립암센터, 울산대학교병원, 제주국제학교, 전국교육대학교 납품계약 60,000 대이상설치, 500,000 회이상진단수행. ( 컨설팅포함진단횟수 : 수십만회수행 ) 38
2. 주요적용사례 넥슨글로벌대규모시스템에대한단기간복합적점검요구에맞춰 9,000 대의시스템을기간 1 개월에 SolidStep 으로해결하였습니다. 중점요구사항 글로벌시스템전체에대한단기간의진단필요 자체개발한다양한보안점검도구의통합실행필요 9,000 대의시스템, 200 여개의보안통제항목을 300 명의속도로점검 ( 투입인원 2 명 ) PC 점검및 AD 환경에서의계정 - 권한 MAP 산출 Windows Server 점검율 Unix Server 점검율 PC 취약점점검율 고객환경의요구사항 100% 선충족후진단수행 100% 100% 100% 39
2. 주요적용사례 LG U+ 의다양한복합인프라운영환경에서안정성최우선진단요구에맞춰 10 년이상운영된시스템도 SolidStep 으로해결하였습니다. 중점요구사항 3 사통합에따른다양한종류의시스템진단필요 가용성을보장한안정성최우선목표진단수행 12 종 10,000 대의시스템, 300 여개의보안통제항목을 300 명의속도로점검 ( 투입인원 1 명 ) 내부격리네트워크에위치한시스템포함진단 Windows Server 점검율 Unix Server 점검율 Legacy System 점검율 고객환경의요구사항 100% 선충족후진단수행 100% 100% 100% 40
2. 주요적용사례 금융위원회전자금융감독규정컴플라이언스를준수하는항목구성으로기존샘플링기반의컨설팅외주업 무를 SolidStep 으로자동화전수진단으로관리하고있습니다. 중점요구사항 단기간내전인프라를대상으로정밀진단필요 관련법규충족및전자금융감독규정대응체계수립 1,600 대의시스템, 150 여개의보안통제항목을 300 명의속도로점검 ( 투입인원 1 명 ) 연간수행일정및이벤트발생시상시점검 Windows Server 점검율 Unix Server 점검율 Legacy System 점검율 고객환경의요구사항 100% 선충족후진단수행 100% 100% 100% 41
2. 주요적용사례 ( 미주법인 ) 미국현지맞춤형취약점항목을개발하여미국정부기관이제공하는정보로만자체적으로수동점검하던 상황을객관적인기준을통한상시취약점점검이가능하도록만들었습니다. 중점요구사항 해외법인여건상단기간의구축, 진단필요 미국법규분석에기반한진단항목개발 1,300 대의시스템, 미국법규기준항목들을신규개발, 300 명의속도로점검 ( 투입인원 2 명 ) 연간스케쥴및이벤트발생시수시점검 Windows Server 점검율 Unix Server 점검율 Legacy System 점검율 국내뿐만아니라전세계에있는 모든인프라취약점진단수행가능 100% 100% 100% 42
砂上樓閣사상누각 : 모래위에세운누각이라는뜻으로, 기초가튼튼하지못하여오래가지못할일을비유적으로이르는말 A.P.T Cloud 악성코드 Big Data C.V.E. 사물인터넷 문서보안 Mobile 어플리케이션 Zero-Day 인프라보안관리 중요하지않은보안은없습니다. 하지만, 가장시급하고기본이되는우선순위는분명있습니다. 43
Appendix
별첨 1. 전체보고서 ( 엑셀 ) 45
별첨 1. 그룹보고서 ( 엑셀 ) 46
별첨 1. 개별보고서 ( 엑셀 ) 47
별첨 2. 취약점진단세부항목 : 1/5 (S : UNIX) 분류 점검항목 분류 점검항목 계정관리 파일및디렉터리관리 로그관리 패치관리 사용자계정파일의접근제한 root 권한의 UID/GID 중복제거일반사용자계정의 UID 중복제거불필요한계정제거패스워드최대사용기간제한패스워드최소길이제한암호없는계정의비활성화암호화된 (C2 Level) 패스워드사용로그인실패횟수제한만기될패스워드경고최근패스워드기록설정패스워드복잡도설정취약한계정패스워드사용제한홈디렉터리접근권한제한홈디렉터리소유자설정홈디렉터리설정기본환경파일의접근권한제한사용자환경파일의접근권한제한 root 계정의원격접속제한 root umask 검사주요디렉터리의접근권한제한 PATH 환경변수검사 STICY BIT 설정디렉터리검사사용자 UMAS 검사 SU 명령어실행제한 syslog 파일의접근권한제한및감사설정 sulog, last 관련로그파일의쓰기권한제한시스템 Update 서비스관리 서비스관련파일의접근권한제한서비스배너정보설정 inetd.conf DoS, rpc 데몬비활성화 inetd.conf tftp, talk 데몬비활성화 inetd.conf finger, rusersd, rstatd 비활성화 inetd.conf r서비스관련데몬비활성화 r명령어설정파일의접근권한제한 r명령어접근통제 NFS 서비스비활성화 NFS 설정파일의접근권한제한비인가된 NFS 접근통제 SMTP 서비스비활성화 SMTP를통한사용자정보제공명령어제거 SNMP 서비스비활성화 SNMP 설정파일의접근권한제한취약한 SNMP Community Name 설정제한 FTP Anonymous 접속제한및사용접근제어원격관리프로그램접근제어 X-service 사용제한암호화된터미널 (SSH) 이용 sendmail의 WIZARD 명령비활성화 debug 명령어를지원하는 sendmail 사용제한비인가된스케줄링 (scheduling) 의제거 cron 스케줄러파일의접근권한제한 root cron 파일의소유자설정 root cron 파일의접근권한제한 48
별첨 2. 취약점진단세부항목 : 2/5 (S : Windows) 분류 점검항목 분류 점검항목 계정관리 파일및디렉터리관리 서비스관리 네트워크서비스 레지스트리보안 백신관리 로그관리 패치관리 Administrator 계정관리 Guest 계정의비활성화 무자격사용자 ID 제거 계정잠금기간및임계값설정 계정암호최대기간, 기록개수설정 계정암호최소길이및사용기간설정 취약한계정패스워드사용제한 파일및디렉터리보호 하드디스크기본공유제거 SAM 파일접근통제 원격로그파일접근권한제한 불필요한서비스제거 터미널서비스설정 FTP Anonymous 접속제한 취약한 SNMP Community Name 설정제한 RDS(Remote Data Services) 제거 SNMP 서비스비활성화 SNMP Access Control 설정 HTTP/FTP/SMTP 배너차단 Autologon 기능제거 Null Session 접근제한레지스트리서비스비활성화 백신프로그램설치및최신엔진업데이트 보안로그의감사기능설정이벤트뷰어설정 최신서비스팩및 HT FIX 적용 보안설정관리 로그오프나워크스테이션잠김 사용자디렉터리접근제한 공유권한및사용자그룹설정 Telnet 보안설정 DNS 동적업데이트비활성화 DNS Zone Transfer 설정비활성화 마지막로그온사용자계정숨김 보안기능이있는파일시스템사용 로그온메시지출력설정 암호복잡성사용 시스템종료감사 보안감사불가시시스템종료 콘솔로그온시로컬계정에서빈암호사용제한 익명계정의 Everyone 권한제거 보안채널데이터를디지털암호화또는서명 계정암호최대사용기간설정 ( 도메인구성원 ) Autologon 기능제거 Null Session 접근제한 레지스트리서비스비활성화 보안로그의감사기능설정 이벤트뷰어설정로컬로그온허용설정제한 익명 SID/ 이름변환허용설정제한 원격터미널접속가능한사용자그룹제한 NetBIS 바인딩서비스구동점검 49
별첨 2. 취약점진단세부항목 : 3/5 (DBMS) 플랫폼분류점검항목 racle 보안설정관리 불필요한계정목록제거원격 S 인증방식제한 DBA 권한제한 Default 계정제거및제한무제한로그인시도차단패스워드최대사용기간패스워드복잡도설정취약한패스워드사용제한 Public 그룹의권한제한 SYS.LIN$ 테이블접근제한 SYSDBA 권한제한 With grant option 사용제한 S 명령수행제한 PL/SQL Package 사용제한 External Call 제한 UTL_FILE_DIR 사용제한 Listener 패스워드설정 Initialization 파일접근권한제한 racle Password 파일접근권한제한 Alert Log 파일접근제한 Trace Log 파일접근제한컨트롤, 데이터파일접근권한제한 $TNS_ADMIN 파일접근제한 IP 기반접근제한접근수준및권한부여 DBLIN 암호화설정 최신패치적용 플랫폼분류점검항목 MS-SQL My-SQL 보안설정관리 보안설정관리 불필요한계정제거 DBA 권한제한 Fixed server role 제한 SA null 패스워드사용제한 Guest 권한제한패스워드주기적변경취약한패스워드사용제한데이터베이스데이터파일분리 Public 에대한권한제한시스템테이블접근제한시스템테이블 update 제한일반사용자의 With grant option 사용제거 xp_cmdshell procedure 사용제한 Startup stored procedure 사용제한 Registry extended stored procedure 사용제한샘플 DB 삭제 SQL Mail 비활성화불필요한로그파일삭제최신서비스팩및 HT FIX 적용 불필요한계정제거 root null 패스워드제한취약한패스워드사용제한 root 권한으로서버구동제한 mysql.user 테이블접근제한 grant_priv 사용제한쉘히스토리접근제한 Initialization 파일 (my.cnf) 접근제한 mysql.server 파일접근제한 $datadir 디렉터리및데이터파일접근제한시스템 Update 테스트데이터베이스제거 50
별첨 2. 취약점진단세부항목 : 4/5 (WEB/WAS) 플랫폼분류점검항목 IIS Jeus 보안설정 접근통제 권한설정 보안설정 로그관리 관리자인터페이스비활성화디렉토리쓰기및실행권한관리상위패스기능제거디렉토리검색기능제거로그디렉터리및파일의권한제한에러메시지관리불필요한 FTP 서비스제거불필요한 SMTP 서비스제거불필요한 NNTP 서비스제거웹파티션과시스템파티션분리 ISAPI DLL 보안취약점제거 Sample 디렉토리삭제 WebDAV 레지스트리수정 DB 연결설정파일취약점 (.asa 매핑 ) 시스템 Update 관리자콘솔관리관리자계정명변경관리자패스워드관리패스워드파일관리서비스계정관리서비스데몬실행파일권한관리 JEUS 설정파일쓰기권한제거 JEUS 소스파일쓰기권한제거홈디렉터리쓰기권한관리소스 / 설정파일권한관리에러메시지설정 DB 패스워드암호화서버헤더전송관리샘플디렉토리삭제세션타임아웃로그설정관리로그디렉토리권한관리 플랫폼분류점검항목 Apache Tomcat 보안설정 접근통제 권한설정 보안설정 로그설정 Apache 데몬의 root 권한제한디렉터리쓰기권한제거소스 / 설정파일쓰기권한제거디렉터리검색기능제거로그디렉터리및파일의권한제한에러메시지관리응답메시지헤더정보노출제한 FollowSymLinks 옵션제거 MultiViews 옵션제거로그설정관리 Manual 디렉터리제거 HTTP Method 제한 CGI 스크립트실행제한 Apache 파일업로드및다운로드제한 Apache 웹서비스영역의분리최신패치적용 Apache 상위디렉토리접근금지 Apache 링크사용금지관리자콘솔관리관리자계정명관리관리자패스워드관리패스워드파일관리서비스계정관리 Tomcat 설정파일쓰기권한제거 Tomcat 소스파일쓰기권한제거디렉터리쓰기권한관리소스 / 설정파일권한관리에러메시지설정디렉토리검색기능제거 Examples 디렉토리삭제로그설정로그디렉토리권한관리 51
별첨 2. 취약점진단세부항목 : 5/5 (Network) 플랫폼분류점검항목 Alteon Cisco 보안설정 보안설정 패스워드설정 사용자 - 명령어별권한수준설정 VTY 접근 (ACL) 설정 Session Timeout 설정 로그온시경고메시지설정 SNMP 서비스확인 SNMP community string 복잡성설정 Spoofing 방지필터링적용 사용하지않는인터페이스의 shutdown 설정 최신보안패치및벤더권고사항적용 패스워드설정 패스워드복잡성설정 암호화된패스워드사용 VTY 접근 (ACL) 설정 SESSIN TIMEUT 설정 SNMP 서비스확인 SNMP CMMUNITY STRING 복잡성설정 SNMP ACL 설정 SNMP 커뮤니티권한설정 TFTP 서비스차단 SPFING 방지필터링적용 DDS 공격방어설정 사용하지않는인터페이스의 SHUTDWN 설정 최신보안패치및벤더권고사항적용 플랫폼분류점검항목 Juniper HP(3Com) 보안설정 보안설정 패스워드설정패스워드복잡성설정암호화된패스워드사용사용자 - 명령어별권한수준설정 VTY 접근 (ACL) 설정 Session Timeout 설정로그온시경고메시지설정 SNMP 서비스확인 SNMP community string 복잡성설정 SNMP ACL 설정 SNMP 커뮤니티권한설정 Spoofing 방지필터링적용사용하지않는인터페이스의 shutdown 설정최신보안패치및벤더권고사항적용패스워드설정패스워드복잡성설정암호화된패스워드사용 VTY 접근 (ACL) 설정 SESSIN TIMEUT 설정 SNMP 서비스확인 SNMP CMMUNITY STRING 복잡성설정 SNMP ACL 설정 SNMP 커뮤니티권한설정 SPFING 방지필터링적용사용하지않는인터페이스의 SHUTDWN 설정 최신보안패치및벤더권고사항적용로그설정로그디렉토리권한관리 52
CNTACT US 행정안전부지정개인정보영향평가기관과학기술정보통신부지정정보보호전문서비스기업 서울시구로구디지털로 26 길 111 Jn 디지털타워 1606 호 Tel. 02) 6959-0126~7 E-mail : biz@ssrinc.co.kr