[정보처리기사 실기] 09. 소프트웨어 보안 구축

Secure SDLC(Software Development Life Cycle)

• 보안상 안전한 소프트웨어를 개발하기 위해 소프트웨어 개발 생명주기(SDLC)에 보안 강화를 위한 프로세스를 포함한 것
• 요구사항 분석, 설계, 구현, 테스트, 유지보수 등 전 단계에 걸쳐 구행되어야 할 보안 활동 게시
• 방법론
  • CLASP : SDLC의 초기 단계에서 보안을 강화하기 위해 개발된 방법론
  • SDL : 마이크로소프트 사에서 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 방법론
  • Seven Touchpoints : 소프트웨어 보안의 모범사례를 SDLC에 통합한 방법론
• 단계별 보안 활동
  1. 요구사항 분석 : 보안 항목에 해당하는 요구사항을 식별하는 작업 수행
  2. 설계 : 식별된 보안 요구사항들을 소프트웨어 설계서에 반영하고, 보안 설계서 작성
  3. 구현 : 표준 코딩 정의서 및 소프트웨어 개발 보안 가이드를 준수하며, 설계서에 따라 보안 요구사항 구현
  4. 테스트 : 설계 단계에서 작성한 보안 설계서를 바탕으로 보안 사항들이 정확히 반영되고 동작하는지 점검
  5. 유지보수 : 이전 과정을 모두 수행하였음에도 발생할 수 있는 보안 사고들을 식별

 

Secure Coding

• 구현 단계에서 발생할 수 있는 보안 취약점들을 최소화하기 위해 보안 요소들을 고려하여 코딩하는 것
• 보안 취약점을 사전 대응하여 안정성과 신뢰성 확보
• 보안 정책을 바탕으로 시큐어 코딩 가이드를 작성하고, 개발 참여자에게는 시큐어 코딩 교육 실기

 

 

소프트웨어 개발 보안 요소

• 기밀성(Confidentiality) : 정보가 전송 중에 노출되더라도 데이터를 읽을 수 없다.
• 무결성(Integrity) : 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있다.
• 가용성(Availability) : 인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있다.
• 인증(Authorization) : 시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지 확인하는 모든 행위
• 부인 방지(NonRepudiation) : 데이터를 송수신한 자가 송수신 사실을 부인할 수 없도록 송수신 증거 제공

 

 

세션 통제

• 세션의 연결과 연결로 인해 발생하는 정보를 관리하는 것
• 소프트웨어 개발 과정 중, 요구사항 분석 및 설계 단계에서 진단해야 하는 보안 점검 내용
• 보안 약점
  • 불충분한 세션 관리 : 일정한 규칙이 존재하는 세션ID가 발급되거나, 타임아웃이 너무 길게 설정되어 있는 경우 발생하는 약점
  • 잘못된 세션에 의한 정보 노출 : 다중 스레드 환경에서 멤버 변수에 정보를 저장할 때 발생하는 약점

 

세션 셜계 시 고려사항

• 시스템의 모든 페이지에서 로그아웃이 가능하도록 UI 구성
• 로그아웃 요청 시, 할당된 세션이 완전히 제거되도록 한다.
• 이전 세션이 종료되지 않으면 새 세션이 생성되지 못하도록 설계
• 중복 로그인을 허용하지 않은 경우, 클라이언트의 중복 접근에 대한 세션 관리 정책 수립

 

 

입력 데이터 검증 및 표현

• 입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현 단계에서 검증해야 하는 보안 점검 항목
• 보안 약점
  • SQL 삽입(Injection)
    • 웹 응용 프로그램에 SQL에 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고, 관리자 인증을 우회하는 보안 약점
    • 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수문자가 입력되지 않게 필터링 되도록 설정하여 방지 가능
  • 경로 조작 및 자원 삽입
    • 데이터 입출력 경로를 조작하여 서버 자원을 수정, 삭제할 수 있는 보안 약점
    • 사용자 입력값을 식별자로 사용하는 경우, 경로 순회 공격을 막는 필터를 사용하지 방지 가능
  • 크로스사이트 스크립팅(XSS)
    • 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나, 비정상적인 기능 수행을 유발하는 보안 약점
    • HTML 태그의 사용을 제한하거나 스크립트에 삽입되지 않도록 특수 문자를 다른 문자로 치환함으로써 방지 가능
  • 운영체제 명령어 삽입
    • 외부 입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한을 탈취하거나 시스템 장애를 유발하는 보안 약점
    • 웹 인터페이스를 통해 시스템 명령어가 전달되지 않도록 하고, 외부 입력값을 검증 없이 내부 명령어로 사용하지 않음으로써 방지 가능
  • 위험한 형식 파일 업로드
    • 악의적인 명령어가 포함된 스크립트 파일을 업로드함으로써 시스템에 손상을 주거나, 시스템을 제어할 수 있는 보안 약점
    • 업로드되는 파일의 확장자 제한, 파일명의 암호화, 웹사이트와 파일 서버의 경로 분리, 실행 속성을 제거하는 등의 방법으로 방지 가능
  • 신뢰되지 않는 URL 주소로 자동 접속 연결
    • 입력 값으로 사이트 주소를 받는 경우, 이를 조작하여 방문자를 피싱 사이트로 유도하는 보안 약점
    • 연결되는 외부 사이트의 주소를 화이트 리스트로 관리함으로써 방지 가능
  • 메모리 버퍼 오버플로
    • 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓰려고 할 때 발생하는 보안 약점
    • 메모리 버퍼를 사용할 경우 적절한 버퍼의 크기를 설정하고, 설정된 범위의 메모리 내에서 올바르게 읽거나 쓸 수 있도록 함으로써 방지 가능

 

 

보안 기능

• 소프트웨어 개발의 구현 단계에서 코딩하는 기능인 인증, 접근 제어, 기밀성, 암호화 등을 올바르게 구현하기 위한 보안 점검 항목
• 보안 약점
  • 적절한 인증 없이 중요 기능 허용
    • 보안 검사를 우회하여 인증 과정 없이 중요한 정보 또는 기능에 접근 및 변경 가능
    • 중요 정보나 기능을 수행하는 페이지에서는 재인증 기능을 수행하도록 하여 방지 가능
  • 부적절한 인가
    • 접근 제어 기능이 없는 실행 경로를 통해 정보 또는 권한을 탈취 할 수 있다.
    • 모든 실행 경로에 대해 접근 제어 검사를 수행하고, 사용자에게는 반드시 필요한 접근 권한을 부여하고 방지 가능
  • 중요한 자원에 대한 잘못된 권한 설정
    • 권한 설정이 잘못된 자원에 접근하여 해당 자원을 임의로 사용할 수 있다.
    • 소프트웨어 관리자만 자원들을 읽고 쓸 수 있도록 설정하고, 인가되지 않은 사용자의 중요 자원에 대한 접근 여부를 검사함으로써 방지 가능
  • 취약한 암호화 알고리즘 사용
    • 암호화된 환경 설정 파일을 해독하여 비밀번호 등의 중요 정보를 탈취할 수 있다.
    • 안전한 암호화 알고리즘을 사용하고, 안전성을 확인한 암호 모듈을 이용함으로써 방지 가능
  • 중요 정보 평문 저장 및 전송
    • 암호화되지 않은 평문 데이터를 탈취하여 중요한 정보를 획득할 수 있다.
    • 중요한 정보를 저장하거나 전송할 때는 반드시 암호화 과정을 거치도록하고, HTTPS 또는 SSL과 같은 보안 채널을 이용함으로써 방지 가능
  • 하드코드된 암호화 키
    • 암호화된 키도 하드코드된 경우, 유출 시 역계산 또는 무차별 대입 공격에 의해 탈취될 수 있다.
    • 상수 형태의 암호키를 사용하지 않고, 암호화 키 생성 모듈 또는 보안이 보장된 외부 공간을 이용함으로써 방지 가능

 

 

코드 오류

• 소프트웨어 구현 단계에서 개발자들이 코딩 중 실수하기 쉬운 형 변환, 자원 반환 등의 오류를 예방하기 위한 보안 점검 항목
• 보안 약점
  • 널 포인터(NULL Pointer) 역참조
    • 널 포인터가 가리키는 메모리의 위치에 값을 저장할 때 발생하는 보안 약점
    • 포인터를 이용하기 전에 NULL을 갖고 있는지 검사함으로써 방지 가능
  • 부적절한 자원 해제
    • 자원을 반환하는 코드를 누락하거나, 프로그램 오류로 할당된 자원을 반환하지 못했을 때 발생하는 보안 약점
    • 프로그램 내에 자원 반환 코드가 누락되었는지 확인하고, 오류로 인해 함수가 중간에 종료되었을 때 예외 처리에 관계 없이 자원이 반환되도록 코딩함으로써 방지 가능
  • 해제된 자원 사용
    • 이미 사용이 종료되어 반환된 메모리를 참조하는 경우 발생하는 보안 약점
    • 반환된 메모리에 접근할 수 없도록 주소로 저장하고, 있는 포인터를 초기화함으로써 방지 가능
  • 초기화되지 않은 변수 사능
    • 변수 선언 후 값이 부여되지 않은 변수를 사용할 때 발생하는 보안 약점
    • 변수 선언 시 할당된 메모리를 초기화함으로써 방지 가능

 

스택 가드(Stack Guard)

• 널 포인터 역참조와 같이 주소가 저장되는 스택에서 발생하는 보안 약점을 막는 기술 중 하나
• 메모리 상에서 프로그램의 복귀 주소와 변수 사이에 특정 값을 저장한 후 그 값이 변경되었을 경우, 오버플로우 상태에서 판단하여 프로그램 실행을 중단함으로써 잘못된 복귀 주소의 호출을 막는다.

 

 

암호 알고리즘

• 패스워드, 주민번호, 은행 계좌와 같은 중요 정보를 보호하기 위해 평문을 암호화된 문장으로 만드는 절차 또는 방법

 

개인키 암호화(Private Key Encryption) 기법

• 동일한 키로 데이터를 암호화하고 복호화하는 암호화 기법
• 대칭 암호 기법 또는 단일키 암호화 기법이라고도 한다.
• 종류
  • 스트림 암호화 기법
    • 평문과 동일한 길이의 스트림을 생성하여 비트 단위로 암호화 하는 방식
    • 종류 : LFSR, RC4
  • 블록 암호화 방식
    • 한 번에 하나의 데이터 블록을 암호화하는 방식
    • 종류 : DES, SEED, AES, ARIA

 

공개키 암호화(Public Key Encryption) 기법

• 데이터를 암호화할 때 사용하는 공개키는 사용자에게 공개하고, 복호화할 때의 비밀키는 관리자가 비밀리에 관리하는 암호화 기법
• 비대칭 암호 기법이라고도 한다.
• 종류 : RSA(Rivest Shamir Adleman) 기법

 

양방향 알고리즘 종류

• SEED : 1999년 한국인터넷진흥원(KISA)에서 개발한 블록 암호화 알고리즘
• ARIA(Academy, Research Institute, Agency) : 2004년 국가정보원과 산학연합회가 개발한 블록 암호화 알고리즘
• DES(Data Encryption Standard) : 1975년 미국 NBS에서 발표한 개인키 암호화 알고리즘
• AES(Advanced Encryption Standard) :  2001년 미국 표준 기술 연구소(NIST)에서 발표한 개인키 암호화 알고리즘
• RSA(Rivest Shamir Adleman) : 1978년 MIT의 Rivest, Shamir, Adleman에 의해 제안된 공개키 암호화 알고리즘

 

 

해시(Hash)

• 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환
• 해시 알고리즘을 해시 함수라고 부르며, 해시 함수로 변환된 값이나 키를 해시값 또는 해시키라고 부른다.
• 데이터의 암호화, 무결성 검증을 위해 사용될 뿐만 아니라 정보 보호의 다양한 분야에서 활용
• 종류
  • SHA : 1993년 미국 국가안보국(NSA)이 설계, 미국 국립표준기술연구소(NIST)에 의해 발표
  • MD5(Message Digest algorithm 5) : 1991년 R.Rivest가 MD4를 대체하기 위해 고안한 암호화 해시 함수
  • N-NASH : 1989년 일본의 전신전화주식회사(NTT)에서 발표한 암호화 해시 함수
  • SNEFRU : 1990년 R.C.Merkle가 발표한 해시 함수

 

 

서비스 공격 유형

 

DoS(Denial of Service)

• 표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 공격자 또는 시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 표적이 되는 서버의 정상적인 기능을 방해
• 유형
  • Ping of Death
    • Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격
  • SMURFING
    • IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격
  • SYN Flooding
    • TCP(Transmission Control Protocol)는 신뢰성 있는 전송을 위해 3-Way-Handshake를 거친 후에 데이터를 전송하게 되는데, SYN Flooding은 공격자가 가상의 클라이언트로 위장하여 3-Way-Handshake 과정을 의도적으로 중단시킴으로써 공격 대상자인 서버가 대기 상태에 놓여 정산적인 서비스를 수행하지 못하게 하는 공격
  • TearDrop
    • 데이터의 송수신 과정에서 패킷의 크기가 커 여러 개로 분할되어 전송 때 분할 순서를 알 수 있도록 Fragment Offset 값을 함께 전송하는데, TearDrop은 이 Offset 값을 변경시켜 수신 측에서 패킷을 재조립할 때 오류로 인한 과부화를 발생시킴으로써 시스템이 다운되도록 하는 공격 
  • LAND Attack(Local Area Network Denial Attack)
    • 패킷을 전송할 때 송신 IP주소와 수신 IP주소를 모두 공격 대상의 IP주소로 하여 공격 대상에게 전송하는 것으로, 이 패킷을 받은 공격 대상은 송신 IP주소가 자신이므로 자신에게 응답을 수행하게 되는데, 이러한 패킷이 계속해서 전송될 경우 자신에 대해 무한히 응답하게 하는 공격
  • DDoS(Distributed Denial of Service) 공격
    • 여러 곳에서 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행
    • 네트워크에서 취약점이 있는 호스트들을 탐색한 후, 이들 호스트들에 분산 서비스 공격용 툴을 설치하여 에이전트로 만든 후 공격에 이용

 

3-Way-Handshake

• 신뢰성 있는 연결을 위해 송신지와 수신지 간의 통신에 앞서 3단계에 걸친 확인 작업을 수행한 후, 통신 수행
• 단계
  1. 송신지에서 수신지로 'SYN' 패킷 전송
  2. 수신지에서 송신지로 'SYN + ACK' 패킷 전송
  3. 송신지에서 수신지로 'ACK' 패킷 전송

 

 

네트워크 침해 공격 관련 용어

• 스미싱(Smishing) : 문자 메시지(SMS)를 이용해 사용자의 개인 신용 정보를 빼내는 수법
• 스피어 피싱(Spear Phishing) : 사회 공학의 한 기법으로, 특정 대상을 선정한 후 그 대상에게 일반적인 이메일을 위장한 메일을 지속적으로 발송하여, 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인 정보 탈취
• 지능형 지속 위협(APT; Advanced Persistent Threats)  : 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격 
• 무작위 대입 공격(Brute Force Attack) : 암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 방식
• 큐싱(Qshing) : QR코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법의 하나
• SQL 삽입(Injection) : 전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되는 데이터베이스 등의 데이터를 조작하는 일련의 공격 방식
• 크로스 사이트 스크립팅(XSS; Cross Site Scripting) : 네트워크를 통한 컴퓨터 보안 공격의 하나로, 웹 페이지의 내용을 사용자 브라우저에 표현하기 위해 사용되는 스크립트의 취약점을 이용한 해킹 기법
• 스니핑(Sniffing) : 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당

 

정보 보안 침해 공격 관련 용어

• Zombie PC
  • 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터
  • C&C(Command & Control) 서버의 제어를 받아 주로 DDoS 공격 등에 이용
• C&C 서버
  • 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버
• 봇넷(Botnet)
  • 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
• 웜(Worm)
  • 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종
  • 분산 서비스 공격, 버퍼 오버플로 공격, 슬래머 등이 웜 공격의 한 형태
• 제로 데이 공격(Zero Day Attack)
  • 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기 전에 해당 취약점을 통하여 이루어지는 보안 공격
  • 공격의 신속성을 의미
• 랜섬웨어(Ransomware)
  • 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 암호화하여 사용자가 열지 못하게 하는 프로그램
  • 암호 해독용 프로그램의 전달을 조건으로 사용자에게 돈을 요구하기도 한다.
• 백도어(Back Door, Trap Door)
  • 시스템 설계자가 서비스 기술자나 유지 보수 프로그램 작성자(Programmer)의 엑세스 편의를 위해 시스템 보안을 제거하여 만들어 놓은 비밀 통로로 컴퓨터 범죄에 악용되기도 한다.
  • 백도어 탐지 방법 : 무결성 검사, 열린 포트 확인, 로그 분석, SetUID 파일 검사 등
• 트로이 목마(Trojan Horse)
  • 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 것
  • 자기 복제 능력은 없다.

 

 

보안 서버

• 인터넷을 통해 개인정보를 암호화하여 송수신할 수 있는 기능을 갖춘 서버
• 기능
  • 서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송 정보를 암호화하여 송수신하는 기능
  • 서버에 암호화 응용 프로그램을 설치하고 전송 정보를 암호화하여 송수신하는 기능

 

 

인증(Authentication)

• 다중 사용자 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 권한을 검증하는 보안 절차
• 네트워크를 통해 컴퓨터에 접속하는 사용자의 등록 여부를 확인하는 것과, 전송된 메시지의 위·변조 여부를 확인하는 것
• 주요 유형
  • 지식 기반 인증(Something You Know)
    • 사용자가 기억하고 있는 정보를 기반으로 인증 수행
    • 사용자의 기억을 기반으로 하므로 관리 비용이 저렴
    • 사용자가 인증 정보를 기억하지 못하면 본인이라도 인증 받지 못한다.
    • 유형
      • 고정된 패스워드(Password) : 사용자가 알고 있는 비밀번호를 접속할 때마다 반복해서 입력
      • 패스 프레이즈(Passphrase) : 일반 패스워드보다 길이가 길고 기억하기 쉬운 문장을 활용하여 비밀번호 구성
      • 아이핀(i-PIN) : 인터넷에서 주민등록번호 대신 쓸 수 있도록 만든 사이버 주민등록번호
  • 소유 기반 인증(Something You Have)
    • 사용자가 소유하고 있는 것을 기반으로 인증 수행
    • 소유물이 쉽게 도용될 수 있으므로, 지식 기반 인증이나 생체 기반 인증 방식과 함께 사용된다.
    • 유형
      • 신분증 : 사용자의 사진이 포함된 주민등록증, 운전면허증, 여권 등을 사용하여 사용자의 신분 확인
      • 메모리 카드(토큰) : 마그네틱 선에 보안 코드를 저장해서 사용, 카드 리더기를 통해서만 읽을 수 있다.
      • 스마트 카드 : 마이크로프로세서, 카드 운영체제, 메모리 등으로 구성되어 사용자의 정보뿐만 아니라 특정 업무를 처리할 수 있는 기능이 내장
      • OPT(One Time Password) : 사용자가 패스워드를 요청할 때마다 암호 알고리즘을 통해 새롭게 생성된 패스워드 사용, 한 번 사용된 패스워드는 폐기
  • 생체 기반 인증(Something You Are)
    • 사용자의 고유한 생체 정보를 기반으로 인증 수행
    • 사용이 쉽고, 도난의 위험도 적으며 위조가 어렵다.
    • 생체 인증 대상 : 지문, 홍채/망막, 얼굴, 음성, 정맥 등
  • 행위 기반 인증(Something You Do) : 사용자의 행동 정보를 이용해 인증 수행
  • 위치 기반 인증(Somwhere you Are) : 인증을 시도하는 위치의 적절성 확인

 

 

보안 프레임워크(Security Framework)

• 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상시키기 위한 체계
• ISO 27001
  • 정보 보안 관리를 위한 국제 표준
  • 영국의 BSI(British Standards Institute)가 제정한 BS 7799를 기반으로 구성
  • 조직에 대한 정보 보안 관리 규칙이 정의되어 있어 실제 검사/인증용으로 사용

 

 

보안 솔루션

• 접근 통제, 침입 차단 및 탐지 등을 수행하여 외부로부터 불법적인 침입을 막는 기술 및 시스템
• 주요 보안 솔루션
  • 방화벽(Firewall)
    • 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 침입 차단 시스템
    • 내부 네트워크에서 외부로 나타는 패킷은 그대로 통과시키고, 외부에서 내부로 들어오는 패킷은 내용을 체크하여 인증된 패킷만 통과
  • 침입 탐지 시스템(IDS; Intrusion Detection System)
    • 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
    • 오용 탐지(Misuse Detection) : 미리 입력해둔 공격 패턴이 감지되면 이를 알려준다.
    • 이상 탐지(Anomaly Detection) : 평균적인 시스템의 상태를 기준으로 비정상적인 행위나 자원의 사용이 감지되면 이를 알려준다.
  • 침입 방지 시스템(IPS; Intrusion Prevention System)
    • 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등의 방어 조치를 취하는 보안 솔루션
    • 방화벽과 침입 탐지 시스템을 결합
    • 침입 탐지 기능으로 패킷을 하나씩 검사 후, 비정상적인 패킷이 탐지되면 방화벽 기능으로 해당 패킷 차단
  • 데이터 유출 방지(DLP; Data Leakage/Loss Prevention) 
    • 내부 정보의 외부 유출을 방지하는 보안 솔루션
  • 웹 방화벽(Web Firewall)
    • 일반 방화벽이 탐지하지 못하는 SQL 삽입 공격, Cross-Site Scripting(XSS) 등의 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽
  • 가상 사설 통신망(VPN; Virtual Private Network)
    • 인터넷 등의 통신 사업자의 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션
    • 암호화된 규격을 통해 인터넷망을 전용선의 사설망을 구축한 것처럼 이용하므로 비용 부담을 줄일 수 있다.
  • NAC(Network Access Control)
    • 네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일괄된 관리 기능을 제공하는 보안 솔루션
    • 내부 PC의 소프트웨어 사용 현황을 관리하여 불법적인 소프트웨어 설치 방지
  • ESM(Enterprise Security Management)
    • 다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션

 

 

취약점 분석·평가

• 사이버 위협으로부터 정보 시스템의 취약점을 분석 및 평가한 후, 개선하는 일련의 과정
• 안정적인 정보 시스템의 운영을 방해하는 사이버 위협에 대한 항목별 세부 점검 항목을 파악하여 취약점 분석
• 범위 및 항목
  • 정보 시스템과 정보 시스템 자산에 직간접적으로 관여된 물리적, 관리적, 기술적 분야를 포함
  • 기본 항목은 상, 중, 하 3단계로 중요도 분리
  • 기본 항목의 중요도가 '상'인 항목은 필수적으로 점검, '중' 또는 '하'인 항목은 회사의 사정에 따라 선택적으로 점검
• 수행 절차 및 방법
  1. 계획 수립 : 소요 예상, 수행 절차 등 세부 계획 수립
  2. 대상 선별 : 정보 시스템의 자산 식별 후, 유형별로 그룹화하여 대상 목록 작성
  3. 취약점 분석 수행 : 관리적, 물리적, 기술적 세부 점검 항목표 작성
  4. 취약점 평가 수행 : 취약점 분석 세부 경과 작성, 파악된 취약점별로 위험 등급을 상, 중, 하 3단계로 표시