재민스 정보보안창고

가. 취약점 개요 ■ 내용 - 보안장비의 NTP 서버 연동 설정 적용 여부 점검 ■ 목적 - 시스템 운영 또는 보안사고 발생으로 인한 로그 분석 과정에서 이벤트 간의 인과 관계 파악에 도움을 주고 로그 자체의 신뢰성을 갖도록 함 ■ 보안 위협 - 시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡 ■ 참고 - NTP(Network Time Protocol): 네트워크를 통해 컴퓨터 시스템 간의 시간을 정확하게 유지 시켜주기 위한 네트워크 프로토콜. NTP는 1985년 RFC958로 제안된 표준으로 현재 RFC5905 NTP version 4로 대체됨 - https://tools.ietf.org/html/rfc5905 NTP 관련 정보 참고 사이트 나. 점검방법 ■ 대..

가. 취약점 개요 ■ 내용 - 로그 서버에 저장될 로그 설정이 기관의 정책에 맞게 설정되어 있는지 점검 ■ 목적 - 보안장비와 연결된 로그 서버가 기관의 정책에 맞게 로그를 저장할 수 있도록 설정되어 있는지 확인하기 위함 ■ 보안 위협 - 로그 서버에 기관의 정책에 맞는 로그를 보관하도록 설정되어 있지 않을 경우 비인가자의 공격 및 침입 사고가 발생했을 시 로그 검토나 사고 원인 분석이 어려워질 수 있음 나. 점검방법 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등 ■ 판단기준 - 양호 : 로그 서버에 저장될 로그가 기관 정책에 맞게 설정되어 있을 경우 - 취약 : 로그 서버에 저장될 로그가 기관 정책에 맞게 설정되어 있지 않을 경우 ■ 점검방법 Step 1) 보안장비의 ..

가. 취약점 개요 ■ 내용 : 보안장비 로그 설정(syslog)에 원격 로그 서버로 보안장비 로그를 별도 보관 하도록 설정되어 있는지 점검 ■ 목적 : 보안 장비 로그를 원격 로그 서버에 별도 보관하도록 설정되어 있는지 점검하여 보안장비에 문제(장비 이상, 비인가자의 공격 및 침해 등)가 생겨 발생할 수 있는 로그 삭제나 변조 위험에 대비하고 있는지 확인하기 위함 ■ 보안 위협 : 원격 로그 서버에 로그를 별도 보관하도록 설정되어 있지 않을 경우 보안 장비 문제 발생 시 로그가 삭제되거나 변조되어 사고 원인 분석에 어려움이 발생함 ■ 참고 - 원격 로그 서버 : 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버 나. 점검방법 ■ 대상 : 방화벽, IPS, VPN, IDS, An..

가. 취약점 개요 ■ 내용 - 보안장비 설정 정보가 저장되어 있는 파일을 백업하는지 점검 ■ 목적 - 보안장비 설정 파일의 백업 유무를 점검하여 보안장비 또는 보안장비와 연결된 정보시스템에 문제 (장비 이상으로 인해 장비를 교체할 경우, 보안장비 설정을 실수로 잘못 변경하여 문제가 생긴 경우, 비인가자의 공격 및 침입에 의한 설정 변경 및 삭제 등의 침해사고가 발생했을 경우 등) 발생 시 백업된 설정 파일을 통해 즉시 복구 가능하도록 대비하고 있는지 확인하기 위함 ■ 보안 위협 - 설정 파일을 백업 해놓지 않을 경우 보안장비에 문제 발생 시 즉시 설정 복구가 되지 않아 보안장비에 연결된 정보시스템의 가용성(예: 웹서버 서비스 불가)에 영향을 미칠 수 있는 위험이 존재함 ■ 참고 - 보안 장비 설정 파일:..

가. 취약점 개요 ■ 내용 : 로그 보관 정책에 따라 적절하게 로그를 보관하는지 점검 ■ 목적 : 로그 보관 설정을 점검하여 로그 검토나 보안장비 침해 사고 원인 분석에 필요한 (3개월 이상) 로그를 안전(삭제, 변경 불가)하게 보관하는지 확인하기 위함 ■ 보안 위협 : 로그 보관 기간이 적용되어 있지 않은 경우 보안장비에서 로그를 자동으로 삭제하여 로그 검토나 보안장비 침해사고 원인 분석 시 필요한 로그가 남아있지 않아 로그 검토나 사고 원인 분석이 어려워질 수 있음 ■ 참고 - 로그 보관 기간: 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조 제2항에 따른 과학기술정보 통신부 고시 「정보보호조치에 관한 지침 [별표1] 보호조치의 구체적인 내용 2.2.10 로그 관리」에 따라 최소 1개월 ..

가. 취약점 개요 ■ 내용 - 로그 분석 도구(보안장비 로그 모니터링 기능, 로그 분석 프로그램 등)를 이용하여 보안장비 로그를 정기적 으로 검토하는지 점검 ■ 목적 - 정기적으로 로그 검토를 이행하는지 점검하여 보안장비의 이상 유무와 비인가자의 공격 및 침입을 식별하고 있는지 확인하기 위함 ■ 보안 위협 - 로그 검토를 이행하지 않을 경우 보안장비에 이상이 발생했을 경우와 보안장비 및 보안장비에 의해 보호받고 있는 정보시스템에 침해 사고가 발생했을 경우 원인 식별이 어려워지고 사전에 탐지할 수 없음 ■ 참고 - 정기적 검토 : 정기적 검토 간격은 기관의 정책에 따라 달라질 수 있으나 매달 1번 이 상 검토하는 것을 권고함 나. 점검방법 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS,..

가. 취약점 개요 ■ 내용 - 보안장비에 로그 설정이 적용되어 있는지 확인하고 로그 정책이 기관 정책에 맞게 적용되어 있는지 점검 ■ 목적 - 로그 설정을 점검하여 보안장비의 이상 유무와 보안장비 및 보안장비에 의해 보호받고 있는 정보시스템에 대한 비인가자의 침입 및 공격을 식별하고 있는지 확인하기 위함 ■ 보안 위협 - 로그 설정이 적용되어 있지 않을 경우 보안장비에 장애가 발생하거나 침해사고가 발생했을 경우 원인 분석이 어려움 ■ 참고 - 로그 정책 설정 : 로그 정책 설정 시 보안장비에 대한 접근 이력(날짜, 시간, IP, ID, 명 령어 이력 등), 보안 장비 성능 이상 유무(CPU, RAM 사용량 등), 보안장비를 통해 유입되거나 외부로 나가는 트래픽에 대해 로그가 남도록 설정하는 것을 권장 -..

가. 취약점 개요 ■ 내용 - 보안장비 OS 및 보안 기능(IPS, 안티바이러스 등)의 버전을 최신 버전으로 유지하고 있는지 점검 ■ 목적 - 최신 업데이트를 적용하여 보안장비 OS 취약점으로 발생하는 공격이나 보안장비로 유입되는 최신 유해 트래픽에 대한 탐지 및 차단을 하기 위함 ■ 보안 위협 - 보안장비 OS 및 보안 기능(IPS, 안티바이러스 등)의 버전을 최신 버전으로 유지하지 않을 경우 보안장비 OS 취약점을 이용한 공격이나 최신 유해 트래픽에 대한 탐지 및 차단이 제대로 이루어지지 않아 내부 정보시스템의 침해 위험이 존재함 나. 점검방법 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등 ■ 판단기준 - 양호 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고..

가. 취약점 개요 ■ 내용 : 보안장비의 정책에 Session timeout 설정을 적용하였는지 점검 ■ 목적 : 보안장비 관리 작업 완료 후 사용자의 부주의로 계정이 접속한 상태로 방치 되는 경우를 방지하며 사용하지 않는 세션을 종료하여 가용성을 높이기 위함 ■ 보안 위협 - 보안장비에 접속한 사용자가 자리 이석을 하거나 불완전한 세션 종료를 했을 경우, 이석한 자리는 이미 보안장비에 접속한 상태이므로 권한 없는 사용자가 이석한 자리에서 보안정책 삭제나 변경 등 악의적인 행위를 하거나 불완전한 세션 종료를 한 세션 정보를 재사용하여 인증 없이 보안장비에 접근할 수 있음 ■ 참고 - Session timeout : 로컬 또는 원격에서 보안장비에 접속한 사용자가 일정시간 동안 통신이 없을 시 해당 세션을 ..

가. 취약점 개요 ■ 내용 - 보안장비에 접속할 때 암호화 프로토콜을 이용하여 접속하는지 여부를 점검 ■ 목적 - 보안장비 접속 시 평문 전송하는 Telnet, HTTP 접속을 사용하지 않고 데이터가 암호화되는 SSH, SSL 인증 등의 암호화 접속을 통하여 공격자의 데이터 스니핑에 대비하기 위함 ■ 보안 위협 - Telnet 또는 HTTP 통신은 암호화 전송이 아닌 평문 전송을 하므로 공격자가 스니핑을 시도할 경우 관리자의 ID, 패스워드가 노출되어 악의적인 사용자가 관리자 계정을 탈취 할 수 있음 ■ 참고 - 스니핑(Sniffing): 스니퍼(Sniffer)는 "컴퓨터 네트워크상에 흘러다니는 트래픽을 엿듣는 도청장치"라고 말할 수 있으며 "스니핑"이란 이러한 스니퍼를 이용하여 네트워크상의 데이터를 도..