서버 취약점 점검이 필요한 이유

주요정보통신 기반시설 기술적 취약점 분석, 평가 상세가이드에서는 다음과 같이 취약점 점검에 관해 설명하고 있습니다.

“「정보통신기반 보호법」 제 9조에 따라, 주요정보통신기반시설 관리기관은 매년 취약점 분석 평가를 실시하여야 한다 취약점 분석,평가는 개인의 관리적, 물리적, 기술적 점검항목에 대한 취약여부를 점검하고 모의해킹 침투테스트 등을 수행하는 종합적인 위험진단에 해당한다.

한편 취약점 분석, 평가를 수행함에 있어 기술적 점검은 시스템에 대한 실제 보안값 설정에 관한 것으로 각 시스템에 대한 명령어 코드(Command), 메뉴 구성(UI)과 같은 기술적인 사항을 알아야만 가능하기에 주요정보통신기반시설 담당자들의 어려움이 따르게 된다.

이러한 기술적 점검에 대한 어려움을 해소하고 주요정보통신기반시설 담당자들의 이해를 돕기 위해 안전행정부는 전체 개 기술적 점검항목에 대한 점검방법 및 조치방법 상세 매뉴얼을 개발하게 되었다.

각각의 점검항목이 의미하는 위험내역 설명과 함께 점검방법 및 조치방법을 실제 시스템 입력화면 등을 활용하여 상세 설명하였으며 특정 벤더사의 제품으로 한정하지 않고 대표적인 벤더사 제품별로 구분하여 설명을 제시하였다. “

 

취약점 점검은 사소해 보이는 취약점을 찾아서 위협 요소에 대한 조치 방안과 보호 대책을 제시하기 때문에 예방을 할 수 있습니다. 시스템 설정 또는 서비스를 통해 공격자에 의해 공격 당하지 않도록 보안점검 항목을 점검하여 취약점을 예방할 수 있습니다.
현재는 자동화된 진단 툴을 사용하여 보고서 형태로 점검자에게 제공하여 분석된 결과를 보여주고있습니다.
자동화 진단으로 취약점을 판단 할 수 없는 항목들은 담당자의 확인 필요를 요청하고 있습니다.

PLURA는 1차 취약점 점검으로 한국인터넷진흥원에서 제공하는 가이드항목 기준으로 만들었고, 2차 취약점 점검에서는 새로운 항목을 추가하여 업데이트 할 예정입니다.
현재 취약점 점검이 가능한 서버 대상은 Linux (Centos / ubuntu) 입니다.

 

plura_bottom

reference:
(1) 주요 정보통신기반시설 취약점 분석,평가기준
(2) 정보통신기반보호법(http://www.law.go.kr/lsInfoP.do?lsiSeq=192305&efYd=20170314#0000)

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]
By | 2017-08-28T15:35:54+00:00 6월 14th, 2017|Categories: Column|0 Comments