실질적인 취약점 진단 및 침해 사고 예방법
[보안뉴스 박미영 기자] 우리 회사에 존재하는 보안 취약점에는 어떤 것들이 있을까? 특히, 서버와 PC 등에 존재하는 보안 취약점을 쉽게 진단할 수 있는 방법은 없을까?
[이미지=iclickart]
5~6일 열린 ‘ISEC 2017’의 동시 개최행사로 열린 ‘지능정보보안아카데미’에서는 보다 쉽게 보안 취약점 존재 여부를 체크하는 팁이 제시되어 관심을 끌고 있다.
이글루시큐리티의 여동균 보안관제팀장은 “버그(bug) 중에 이를 악용해 정보를 유출하거나 데이터를 변경하는 등의 피해를 주는 것이 있다. 이렇게 악용 가능한 버그를 일컫어 취약점이라고 한다”며, “취약점 진단이란 취약점을 발견하기 위한 테스트 방법으로, 취약점 진단에서는 취약점 외에 보안 기능 미흡 사항도 발견된다”고 말했다.
여 팀장은 최근 발생한 대형 쇼핑몰의 개인정보 유출사고 사례를 들어 최대 접속 시간 제한, 개인정보 백업(암호화 미조치), 보안관제 소홀 등 현재 우리가 아직도 지키지 않고 있는 기본적인 기술적·관리적 보호조치를 소개했다.
이어서 주요 정보통신기반시설 취약점 점검 항목에 기반한 윈도우·유닉스·리눅스·웹 취약점 진단 기술 등 실무 담당자들이 알아두고 활용하면 좋을 누구나 손쉽게 보안 취약점을 진단하는 기술을 설명했다.
더불어 가정에서 활용할 수 있는 간단한 점검 툴로 한국랜섬웨어침해대응센터 사이트에서 제공하는 랜섬웨어 점검 솔루션인 ‘Ransim(Ransomware Simulator)’ 프로그램과 경남지방경찰청 사이트에서 제공하는 ‘파밍캅’ 프로그램 등을 예로 들었다.
여 팀장은 “결론적으로 지능화·고도화되고 있는 개인정보 침해 사고는 지속적·효율적·체계적으로 대응해야 된다”며, “최신 보안 이슈 및 동향을 파악해 지능화·고도화된 사이버 공격에 대응하고, 시스템 취약점 점검 및 개선을 통해 침해사고 대응체계를 강화하며, 합리적 의사결정을 지원해 정보보안 부문 중복 투자를 최소화해야 한다”고 강조했다.
[우리가 꼭 지켜야 할 중요 사항 ‘보안성 검토’]
- 중요 서버에서 불필요한 인터넷(포트 80) 사용 금지
- 웹 WAS, DB 서버는 절대 DMZ에 구축하지 말기
- 인가된 IP/MAC 주소에서만 시스템에 접근하도록 조치, 인터넷이 차단된 단말기에서만 접근
- DB 접근 및 조회에 대한 확인
- 개인정보 및 중요정보(DB) 암호화, 비밀번호 암호화(128비트 이상) [md5.sha1 금지]
- 중요정보 및 개인정보는 안전한 암호화 전송
이러한 조치방법이 소개되어 있는 주요 정보통신기반시설의 기술적 취약점 분석·평가 방법 상세가이드는 https://drive.google.com/file/d/0B9OrkyPxRATDVy1CZWRjSzN5Zmc/view에서 내려받을 수 있다.
[박미영 기자(mypark@boannews.com)]
[보안뉴스 박미영 기자] 우리 회사에 존재하는 보안 취약점에는 어떤 것들이 있을까? 특히, 서버와 PC 등에 존재하는 보안 취약점을 쉽게 진단할 수 있는 방법은 없을까?
[이미지=iclickart]
5~6일 열린 ‘ISEC 2017’의 동시 개최행사로 열린 ‘지능정보보안아카데미’에서는 보다 쉽게 보안 취약점 존재 여부를 체크하는 팁이 제시되어 관심을 끌고 있다.
이글루시큐리티의 여동균 보안관제팀장은 “버그(bug) 중에 이를 악용해 정보를 유출하거나 데이터를 변경하는 등의 피해를 주는 것이 있다. 이렇게 악용 가능한 버그를 일컫어 취약점이라고 한다”며, “취약점 진단이란 취약점을 발견하기 위한 테스트 방법으로, 취약점 진단에서는 취약점 외에 보안 기능 미흡 사항도 발견된다”고 말했다.
여 팀장은 최근 발생한 대형 쇼핑몰의 개인정보 유출사고 사례를 들어 최대 접속 시간 제한, 개인정보 백업(암호화 미조치), 보안관제 소홀 등 현재 우리가 아직도 지키지 않고 있는 기본적인 기술적·관리적 보호조치를 소개했다.
이어서 주요 정보통신기반시설 취약점 점검 항목에 기반한 윈도우·유닉스·리눅스·웹 취약점 진단 기술 등 실무 담당자들이 알아두고 활용하면 좋을 누구나 손쉽게 보안 취약점을 진단하는 기술을 설명했다.
더불어 가정에서 활용할 수 있는 간단한 점검 툴로 한국랜섬웨어침해대응센터 사이트에서 제공하는 랜섬웨어 점검 솔루션인 ‘Ransim(Ransomware Simulator)’ 프로그램과 경남지방경찰청 사이트에서 제공하는 ‘파밍캅’ 프로그램 등을 예로 들었다.
여 팀장은 “결론적으로 지능화·고도화되고 있는 개인정보 침해 사고는 지속적·효율적·체계적으로 대응해야 된다”며, “최신 보안 이슈 및 동향을 파악해 지능화·고도화된 사이버 공격에 대응하고, 시스템 취약점 점검 및 개선을 통해 침해사고 대응체계를 강화하며, 합리적 의사결정을 지원해 정보보안 부문 중복 투자를 최소화해야 한다”고 강조했다.
[우리가 꼭 지켜야 할 중요 사항 ‘보안성 검토’]
- 중요 서버에서 불필요한 인터넷(포트 80) 사용 금지
- 웹 WAS, DB 서버는 절대 DMZ에 구축하지 말기
- 인가된 IP/MAC 주소에서만 시스템에 접근하도록 조치, 인터넷이 차단된 단말기에서만 접근
- DB 접근 및 조회에 대한 확인
- 개인정보 및 중요정보(DB) 암호화, 비밀번호 암호화(128비트 이상) [md5.sha1 금지]
- 중요정보 및 개인정보는 안전한 암호화 전송
이러한 조치방법이 소개되어 있는 주요 정보통신기반시설의 기술적 취약점 분석·평가 방법 상세가이드는 https://drive.google.com/file/d/0B9OrkyPxRATDVy1CZWRjSzN5Zmc/view에서 내려받을 수 있다.
[박미영 기자(mypark@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
