세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
누구나 쉽게 체크하는 보안 취약점 진단 길라잡이
  |  입력 : 2017-09-07 09:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
실질적인 취약점 진단 및 침해 사고 예방법

[보안뉴스 박미영 기자] 우리 회사에 존재하는 보안 취약점에는 어떤 것들이 있을까? 특히, 서버와 PC 등에 존재하는 보안 취약점을 쉽게 진단할 수 있는 방법은 없을까?

[이미지=iclickart]


5~6일 열린 ‘ISEC 2017’의 동시 개최행사로 열린 ‘지능정보보안아카데미’에서는 보다 쉽게 보안 취약점 존재 여부를 체크하는 팁이 제시되어 관심을 끌고 있다.

이글루시큐리티의 여동균 보안관제팀장은 “버그(bug) 중에 이를 악용해 정보를 유출하거나 데이터를 변경하는 등의 피해를 주는 것이 있다. 이렇게 악용 가능한 버그를 일컫어 취약점이라고 한다”며, “취약점 진단이란 취약점을 발견하기 위한 테스트 방법으로, 취약점 진단에서는 취약점 외에 보안 기능 미흡 사항도 발견된다”고 말했다.

여 팀장은 최근 발생한 대형 쇼핑몰의 개인정보 유출사고 사례를 들어 최대 접속 시간 제한, 개인정보 백업(암호화 미조치), 보안관제 소홀 등 현재 우리가 아직도 지키지 않고 있는 기본적인 기술적·관리적 보호조치를 소개했다.

이어서 주요 정보통신기반시설 취약점 점검 항목에 기반한 윈도우·유닉스·리눅스·웹 취약점 진단 기술 등 실무 담당자들이 알아두고 활용하면 좋을 누구나 손쉽게 보안 취약점을 진단하는 기술을 설명했다.

더불어 가정에서 활용할 수 있는 간단한 점검 툴로 한국랜섬웨어침해대응센터 사이트에서 제공하는 랜섬웨어 방어 솔루션인 ‘발자국’ 프로그램과 경남지방경찰청 사이트에서 제공하는 ‘파밍캅’ 프로그램 등을 예로 들었다.

여 팀장은 “결론적으로 지능화·고도화되고 있는 개인정보 침해 사고는 지속적·효율적·체계적으로 대응해야 된다”며, “최신 보안 이슈 및 동향을 파악해 지능화·고도화된 사이버 공격에 대응하고, 시스템 취약점 점검 및 개선을 통해 침해사고 대응체계를 강화하며, 합리적 의사결정을 지원해 정보보안 부문 중복 투자를 최소화해야 한다”고 강조했다.

[우리가 꼭 지켜야 할 중요 사항 ‘보안성 검토’]
- 중요 서버에서 불필요한 인터넷(포트 80) 사용 금지
- 웹 WAS, DB 서버는 절대 DMZ에 구축하지 말기
- 인가된 IP/MAC 주소에서만 시스템에 접근하도록 조치, 인터넷이 차단된 단말기에서만 접근
- DB 접근 및 조회에 대한 확인
- 개인정보 및 중요정보(DB) 암호화, 비밀번호 암호화(128비트 이상) [md5.sha1 금지]
- 중요정보 및 개인정보는 안전한 암호화 전송

이러한 조치방법이 소개되어 있는 주요 정보통신기반시설의 기술적 취약점 분석·평가 방법 상세가이드는 https://drive.google.com/file/d/0B9OrkyPxRATDVy1CZWRjSzN5Zmc/view에서 내려받을 수 있다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)