[시큐리티 Q&A] 보안취약점 점검·관리 체크리스트

Q. 보안취약점 점검에 도움이 되는 사이트나 관련 툴, 아니면 체크리스트가 있을까? 이를 활용해 기업의 보안관리자가 자체적으로 수행할 수 있는 보안취약점 점검방법이 있다면 소개해 달라.

A-1. 보안취약점 점검방법은 KISA ISMS, PIMS, ISO27001 등 보안관련 인증을 비롯해 안전행정부, 금융위원회, MBSA 등 다양한 기관에서 권고하는 통제항목들이 있다. 이러한 컴플라이언스(Compliance)를 준수하는 통제항목들에 대해서 점검을 하는 것이 중요하다.

통상 이러한 취약점 점검은 보안컨설팅 업체를 통해 컨설턴트가 투입되어 점검하게 되는데, 시스템 전수검사를 위해서는 비용이 많이 발생되어 기업이나 기관 입장에서는 샘플링 진단을 많이 선택하고 있다. 그러나 샘플링의 기준은 항상 가장 중요한 시스템 위주로 선택할 수밖에 없는데, 실제 해커들의 타깃은 항상 중요도 및 관심이 떨어지는 시스템을 통한 우회공격이다.

따라서 샘플링 진단이 아닌 전수검사가 내부 시스템의 보안수준을 높이기 위한 필수조건이며, 이러한 전수검사를 위해서는 막대한 인력을 투입한 보안 컨설팅보다는 자동회된 솔루션을 통해 비용 및 인력을 절감하는 방안이 필수적으로 검토되어야 한다. 자동화 솔루션을 도입할 경우, 해당 기업 및 기관의 내부 보안지침에 100% 일치하는 항목 선택이 가능해야 하며, 국가에서 권고하는 다양한 컴플라이언스 기준에도 충족해야 한다.

또한, 빠른 점검 속도를 통해 전수검사가 가능해야 하며, 객관적으로 이해할 수 있는 보안지수가 측정되고 이를 지속적으로 관리할 수 있는 방안이 제공되어야 한다. 이러한 점검결과는 솔루션이나 툴에서 일방적으로 제공하는 보고서가 아닌 컨설팅을 대체할 수 있는 수준의 산출물이 작성되어야 한다.

(이상용 에스에스알 연구소장/jion99@ssrinc.co.kr)

A-2. 보안취약점 점검에 도움이 되는 사이트로는 취약점 분석에 사용되는 레퍼런스코드(http://cve.mitre.org), 소프트웨어 취약점에 대한 가이드라인(http://cwe.mitre.org), 취약점 데이터베이스(http://www.kb.cert.org/vuls), 미국 NIST 취약점 데이터베이스(http://nvd.nist.gov)에서 각각의 플랫폼에 대한 최신 취약점 데이터를 확인할 수 있다.

하지만 위와 같은 사이트에서는 방대한 양의 취약점 데이터베이스를 주로 다루고 있기 때문에 ‘안전행정부 취약점분석평가기준’, ‘KISA의 네트워크 취약점 점검도구 선정 지침’, ‘OWASP(Open Web Application Security Project) Top 10’과 같이 국내에서 주로 활용하고 있는 취약점 진단 체크리스트를 참고하는 것이 도움이 될 수 있다.

보안관리자가 자체적으로 수행할 수 있는 보안취약점 점검(진단) 방법으로는 ‘진단 대상에 대한 정보 수집’을 통해 ‘진단 대상에 대한 테스트’를 수행해 취약점에 대한 정보를 확인하는 방법이 있다.

보안취약점의 경우 진단 대상 및 점검 범위가 워낙 방대하기 때문에 점검의 효율성을 고려해 취약점 점검 대상 시스템에 따라 그에 맞는 상용화 점검툴을 사용하여 점검하는 것을 권장한다.

우선 진단대상에 대한 정보를 수집하기 위해서는‘시스템 및 서비스 점검’, ‘OS 확인’, ‘네트워크 토폴리지’ 정보를 수집해야 한다. 시스템 및 서비스 점검은 시스템에 대한 port scan을 하여 실제 사용하지 않는 서비스 포트 정보를 수집하고, queso와 같은 툴을 이용하여 대상의 OS를 확인할 수 있으며, ping 또는 traceroute(tracert)와 같은 명령을 통해 보안관리자와 진단대상 사이에 위치한 네트워크 토폴리지를 확인할 수 있다.

진단 대상에 대한 보안 취약점 테스트 방법으로는 ‘DDoS’, ‘Exploit’, ‘Brute Force’ 등이 존재한다. Buffer overflow/format string/input validation과 같은 기법으로 DDoS 테스트를 수행할 수 있으며, Exploit 테스트는 비인가 접근 테스트(data access)를, Brute Force는 telnet/Remote Desktop Protocol/Database에 대해서 알려진 계정 또는 기본사용자 계정과 패스워드를 무차별 대입하는 방식으로 테스트 할 수 있다.

대다수의 보안취약점은 잠재적인 보안위협으로 분류되며, 현재까지 보고된 보안취약점의 수는 수 만개가 넘는다. 여기에 기업 내 존재하는 수많은 자산(점검 대상 시스템)을 고려할 때 기업의 보안관리자가 별도의 툴을 사용하지 않고 자체적으로 취약점을 점검하는 데는 한계가 있다. 따라서 점검대상에 따라 그에 따른 자동화 점검 툴사용을 권장하며, 이러한 툴을 사용하여 기업의 보안관리자가 자체적으로 기업 내 시스템에 대한 보안 취약점을 점검하고 관리하는 것이 가장 효율적인 방법이다.

(서승실 소프트와이드시큐리티 과장/danyseo@softwidesec.com)

A-3. 공통적인 네트워크 시스템 관리의 경우 주기적인 백업을 하고 있는지, 장비의 펌웨어 버전이 가장 최신인지, 방화벽이 설치되어 있는지, 장비의 노후상태를 점검하는지 등이 있다. 만약 보안사고 및 재해발생으로 인해 장비를 사용할 수 없게 되는 경우, 우선 장비상태를 확인한 후 가장 최근 백업된 파일로 복구시키는 방법과 물리적 고장의 경우 평소 대체를 할 수 있는 장비를 보관·교체해서 복구하는 방법이 있다. 회사마다 네트워크 시스템이 다르기 때문에 무조건 같은 체크리스트를 만들어 사용할 수는 없다. 세부적인 체크리스트의 경우는 회사 내 보안담당자를 지정하여 회사에 가장 적합한 체크리스트를 만들어 보관하는 것이 좋다.

(허청일 한국산업기술보호협회 관제운영팀 연구원/pig837@kaits.or.kr)

[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)