[보안동향] 시스템 취약점 점검 고도화 필요

0
0

시스템 취약점 점검’ 고도화 필요

이번호에서는 시스템의 취약점을 점검함에 있어 불필요한 점검 방법을 제거하고 최신 트렌드를 방영하지 않은 점검항목으로 인하여 시스템의 위험에서 벗어 날수 없어 이에 대한 고도화의 필요성에 대해 살펴 보고자 한다.
enter image description here

1) 현재 시스템 취약점 점검의 정의

  • 시스템 설정 또는 서비스를 통해 공격자에 의해 공격 당하지 않도록 보안점검 항목을 정의하여 점검을 실시하여 취약점을 제거하는 행위를 말한다.
  • 시스템 취약점 점검 항목에 의해 현황을 파악하고 보안 기준에 부합하도록 설정을 유지하여 안정적인 서비스와 보안 위험으로부터 보호하기 위함이다.

​2) 현재 시스템 취약점 점검의 범위

  • 계정 설정영역: 시스템에 등록되어 있는 관리자 및 사용자 계정의 권한 오남용 여부, 패스워드의 안전한 설정 적용

  • 파일시스템 영역: 시스템 파일의 권한 오남용 여부 점검, 중요파일에 대한 권한 오남용 여부 점검

  • ​네트워크 서비스 영역: 네트워크를 이용하는 전체 서비스 중 불필요한 서비스 활성화 부분 및 설정 점검(DNS, SMTP, SNMP, FTP, SSH 등)
  • ​로그관리: 시스템 로그 접근 권한 점검, 로그수집
    ​- 응용설정 영역: 주요 응용 프로그램의 사용여부 및 설정 영역 점검
    ​- 보안 패치: 시스템 OS의 보안 패치 여부 점검

3) 현재 취약점 점검 방법

  • 자동화된 진단 툴을 사용하여 게정권한, 파일권한, 설정현황 등을 자동으로 텍스트형태의 파일로 만들어 점검자에게 제공하여 결과를 분석하여 결과보고서를 작성함

​- 수동진단은 자동화된 툴을 사용하지 못하거나 자동화할 수 없는 점검항목에 대해 점검자가 직접적으로 점검대상인 시스템에 접근하여 현황을 파악하고 결과를 분석하여 진단함

  • 자동화 진단 툴 및 수동진단을 할 수 없는 경우 담당자 인터뷰를 통해 시스템 현황을 파악하고 이를 토대로 분석하여 진단함

4) 문제점

취약점 점검 프로젝트를 수행하면서 매번 느끼는 점은 10년 전이나 지금이나 똑같은 기준과 항목을 이용하여 시스템 취약점 점검을 실시하고 있으며, 적용하고 있는 항목에서 불필요한 점검항목이 존재하여 현재 이슈가 되는 APT공격, 악성코드, 위험도가 높은 시스템 취약점에 대해서는 소홀히 점검되고 있다.

고객사에서도 시스템 취약점 점검은 크게 신경 쓰지 않고 있는 듯한 인상을 받고 있으며, 법적으로 1년에 1번 이상만 하면 되는 형식적인 점검으로만 생각되고 있는 것이 현실이다.

기술적 점검은 시스템 취약점 점검보다 모의해킹을 통한 시스템보호에 비중을 높게 두고 있는 것이 현실이다. 이는 근본적으로 취약점 점검에 대한 접근방법이 잘못되었거나 필요성을 느끼지 못하기 때문이라고 판단된다.

몇 년 전에 친분이 있는 어느 보안 담당자와 개인적인 만남에서 취약점 점검에 대해 이야기를 나눈적 있다. 그와 만나 나눈 이야기는 시스템 취약점 점검은 형식적으로 하고, 자기가 하고 싶은 실제 위험을 제거하기 위한 점검은 따로 기획해서 전문업체에게 발주를 주고 있다고 한 적이 있다. 현재의 시스템 취약점 점검 방법으로 해킹이나 취약점을 통한 공격에 대비하기 힘들기 때문에 지금의 점검방법과 점검항목으로는 대응을 하기 힘들다고 했다.

[보안동향] 시스템 취약점 점검 고도화 필요 보안 동향 / 보안 Story
2016.01.18. 06:00
복사http://blog.skinfosec.com/220598154369
번역하기

전용뷰어 보기
보안동향

‘시스템 취약점 점검’ 고도화 필요

이번호에서는 시스템의 취약점을 점검함에 있어 불필요한 점검 방법을 제거하고 최신 트렌드를 방영하지 않은 점검항목으로 인하여 시스템의 위험에서 벗어 날수 없어 이에 대한 고도화의 필요성에 대해 살펴 보고자 한다.

1) 현재 시스템 취약점 점검의 정의

시스템 설정 또는 서비스를 통해 공격자에 의해 공격 당하지 않도록 보안점검 항목을 정의하여 점검을 실시하여 취약점을 제거하는 행위를 말한다.
​시스템 취약점 점검 항목에 의해 현황을 파악하고 보안 기준에 부합하도록 설정을 유지하여 안정적인 서비스와 보안 위험으로부터 보호하기 위함이다.

​2) 현재 시스템 취약점 점검의 범위

계정 설정영역: 시스템에 등록되어 있는 관리자 및 사용자 계정의 권한 오남용 여부, 패스워드의 안전한 설정 적용
파일시스템 영역: 시스템 파일의 권한 오남용 여부 점검, 중요파일에 대한 권한 오남용 여부 점검
​네트워크 서비스 영역: 네트워크를 이용하는 전체 서비스 중 불필요한 서비스 활성화 부분 및 설정 점검(DNS, SMTP, SNMP, FTP, SSH 등)
​로그관리: 시스템 로그 접근 권한 점검, 로그수집
​응용설정 영역: 주요 응용 프로그램의 사용여부 및 설정 영역 점검
​보안 패치: 시스템 OS의 보안 패치 여부 점검

3) 현재 취약점 점검 방법

자동화된 진단 툴을 사용하여 게정권한, 파일권한, 설정현황 등을 자동으로 텍스트형태의 파일로 만들어 점검자에게 제공하여 결과를 분석하여 결과보고서를 작성함
​수동진단은 자동화된 툴을 사용하지 못하거나 자동화할 수 없는 점검항목에 대해 점검자가 직접적으로 점검대상인 시스템에 접근하여 현황을 파악하고 결과를 분석하여 진단함
자동화 진단 툴 및 수동진단을 할 수 없는 경우 담당자 인터뷰를 통해 시스템 현황을 파악하고 이를 토대로 분석하여 진단함

4) 문제점

취약점 점검 프로젝트를 수행하면서 매번 느끼는 점은 10년 전이나 지금이나 똑같은 기준과 항목을 이용하여 시스템 취약점 점검을 실시하고 있으며, 적용하고 있는 항목에서 불필요한 점검항목이 존재하여 현재 이슈가 되는 APT공격, 악성코드, 위험도가 높은 시스템 취약점에 대해서는 소홀히 점검되고 있다.

고객사에서도 시스템 취약점 점검은 크게 신경 쓰지 않고 있는 듯한 인상을 받고 있으며, 법적으로 1년에 1번 이상만 하면 되는 형식적인 점검으로만 생각되고 있는 것이 현실이다.

기술적 점검은 시스템 취약점 점검보다 모의해킹을 통한 시스템보호에 비중을 높게 두고 있는 것이 현실이다. 이는 근본적으로 취약점 점검에 대한 접근방법이 잘못되었거나 필요성을 느끼지 못하기 때문이라고 판단된다.

몇 년 전에 친분이 있는 어느 보안 담당자와 개인적인 만남에서 취약점 점검에 대해 이야기를 나눈적 있다. 그와 만나 나눈 이야기는 시스템 취약점 점검은 형식적으로 하고, 자기가 하고 싶은 실제 위험을 제거하기 위한 점검은 따로 기획해서 전문업체에게 발주를 주고 있다고 한 적이 있다. 현재의 시스템 취약점 점검 방법으로 해킹이나 취약점을 통한 공격에 대비하기 힘들기 때문에 지금의 점검방법과 점검항목으로는 대응을 하기 힘들다고 했다.

이는 다음과 같은 문제점으로 정리할 수 있을 것 같다.

  • 불필요한 점검 항목으로 인한 불필요한 인력 투입 기간이 늘어남
    ​- 최근 트렌드를 방영하지 못한 점검 항목으로 최신 침입기법에 대한 대응이 늦음
    ​- 해킹 및 긴급한 취약점 사항에 대한 점검이 이루어지지 않음
    ​- 해킹 당했을 가능성에 대한 점검은 실시하지 않음

​5) 향후 방향과 고려사항

● 불필요한 점검항목 제거
현재 시스템의 취약점 점검방법에서 한 단계 더 깊이 있는 취약점 점검 방법과 항목이 신설되어야 할 것이다. 기존에 가지고 있는 점검방법과 항목에서 불필요한 항목은 과감하게 정리되어야 한다.

● 새로운 점검항목 반영
사라지는 항목대신 추가되어야 할 점검 포인트도 존재한다. 최근 발표된 취약점 중 위험도가 높은 취약점이 점검항목에 반영되어야 하며, OWASP TOP 10과 같이 시스템 취약점에 대한 TOP 10~20으로 기준을 선정하고 점검항목에 반영하여 점검을 실시해야 실질적인 위험으로부터 보호될 수 있다. 결국, OS와 서비스에 대한 보안 패치에 대한 점검이 정밀하게 이루어져야 할 것으로 보인다. OS에는 다양한 서비스가 존재하는데 최근에는 서비스와 취약점을 이용한 공격이 많아지고 있는 추세이다.

취약점 점검 항목과 방법이 변경됨으로 인하여 취약점 점검에 대한 방법론이 부분적으로 변경되어야 할 것이다. 현재의 점검 방법은 설정 값을 확인하기 위한 스크립트를 활용하고 수동으로 설정된 값을 확인하여 기준에 맞게 설정되어 있는지 확인하는 점검방법이지만 시스템의 해킹유무, 악성코드 유무, 최근 발표된 최신 취약점 TOP10~20을 정의하여 추가적으로 점검을 실시하여야 할 것이다.

이를 위해서는 시스템 취약점 점검을 하는 컨설턴츠는 전문적인 지식을 가지고 있어야 하며, 매번 새로운 취약점에 대한 정보를 취득하고 이에 대한 점검 방법과 보호대책을 수립하는 등의 노력과 관심이 필요하다.

● 해킹 사고 유무 점검
고객사의 시스템 보안담당자가 존재하는 경우도 있고 존재하지 않을 수 있는데 시스템에 대한 점검 시 해킹에 대한 유무는 점검을 실시하지 않고 있다. 시스템의 OS에 대한 취약점만 점검을 실시하면서 악성코드 존재의 유무도 같이 점검해야 더욱 안전한 시스템이 될 수 있을 것으로 판단되며, 고객의 입장에서도 시스템 점검에 대한 중요성도 함께 인식하게 될 것으로 보인다.

● 점검 방법론의 변경
현재의 방법론은 취약점 항목에 대해 스크립트 및 수동으로 점검을 실시하여 취약점에 대한 분석을 실시 후 보고서를 작성하고 있다. 그러나 더욱 상세하게 점검과 분석이 이루어져야 하므로 이에 대한 점검 방법론은 취약점 분석 단계에서 더욱 자세한 분석 기법과 이를 통해 위험도가 높은 취약점에 대한 대응방법을 같이 제시해야 할 것이다.

enter image description here

http://blog.skinfosec.com/



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요