네트워크 기초 용어 설명 ■ 네트워크란? 단말기 등을 접속하기 위해 사용되는 단말기기, 선로 및 교환기 등으로 구성 ■ 네트워킹이란? 서로 연결된 장비들끼리 대화를 주고 받을 수 있게, 서로 자원을 공유할 수 있게 끔 연결하는 것 ■ 인터넷(internet)이란? 웹(WEB)상에 여러 개의 네트워크를 묶어놓은 것 - 잘만 이용한다면 수 많은 정보를 찾아낼 수 있다 인터넷은 하나의 프로토콜만을 사용 - TCP/IP 웹 브라우저를 이용하여 서핑 가능 ex)구글 크롬, 익스플로러, 엣지, 넷스케이프, 사파리 ■ 프로토콜이란? 대화의 규칙이며 통신의 규약 ■ 인트라넷(intranet)이란? 인터넷이 외부의 네트워크라면, 인트라넷은 내부의 네트워크 보통 회사 내 업무망에서 인터넷과 마찬가지로 웹 브라우저를 사용하..
N-05 Session Timeout 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 기관 정책에 맞게 Session Timeout 설정이 적용되어 있는지 점검 ■ 점검목적 Session Timeout 설정 유무를 점검하여 터미널 접속 후 일정 시간(Session Timeout 지정 시간)이 지난 뒤 터미널 세션이 자동으로 종료되어 관리자의 부재(터미널 작업 중 자리 비움, 작업 완료 후 터미널 접속을 종료하지 않음) 시 발생 가능한 비인가자의 터미널 접근 통제가 되는지 확인하기 위함 ■ 보안위협 Session Timeout 정책이 적용되지 않았을 경우, 관리자 부재 시 비인가자가 네트워크 장비 터미널에 접속된 컴퓨터를 통해 네트워크 장비의 정책 변경 및 삭제 등의 행위를 할 수 있는 ..
N-03 암호화 된 패스워드 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 계정 패스워드 암호화 설정이 적용되어 있는지 점검 ■ 점검목적 계정 패스워드 암호화 설정 유무를 점검하여 비인가자의 네트워크 장비 터미널 접근으로 인해 발생할 수 있는 장비 내 계정 패스워드 유출에 대비가 되어 있는지 확인하기 위함 ■ 보안위협 계정 패스워드 암호화 기능이 설정되어 있지 않을 경우, 비인가자가 네트워크 터미널에 접근하여 장비 내에 존재하는 모든 계정의 패스워드를 획득할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 패스워드 암호화 설정을 적용한 경우 취약 패스워드 암..
W-59 IIS 웹서비스 정보 숨김 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 IIS 웹서비스 정보 숨김 설정 여부 점검 ■ 점검목적 IIS 웹서비스 운용 시 에러 페이지, 웹 서버 종류, 사용 OS, 사용자 계정이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함 ■ 보안위협 IIS 웹서비스 정보 숨김 설정이 적용되지 않은 경우 악의적인 사용자에게 불필요한 정보가 노출되어 외부 공격을 위한 기초 자료로 이용될 수 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우 취약 웹 서비스 에러 페이지가 별도..
W-60 SNMP 서비스 구동 점검 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 서비스 구동 여부 점검 ■ 점검목적 취약한 SNMP 서비스를 비활성화 하여 시스템의 주요정보 유출 및 불법수정을 방지하기 위함 ■ 보안위협 취약한 SNMP 서비스를 사용하는 경우 서비스거부공격(DoS, DDoS), 버퍼오버플로우, 비인가 접속 등의 공격의 위험이 있음 ■ 참고 ※ SNMP: SNMP(Simple Network Management Protocol)는 MIB(Management Information Base)에 기반한 네트워크 망을 관리하기 위한 목적으로 만들어진 프로토콜로, 간단한 명령으로 원격 시스템의 CPU정보에서부터, 인터페이스 트래픽량 등 여러 가지 정보를 확인 가능 점검대상..
W-62 SNMP Access control 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 패킷 접근 제어 설정 여부 점검 ■ 점검목적 SNMP 트래픽에 대한 접근 제어 설정을 하여 내부 네트워크로부터의 악의적인 공격을 차단하기 위함 ■ 보안위협 SNMP Access control 설정을 적용하지 않아 인증되지 않은 내부 서버로부터의 SNMP 트래픽을 차단하지 않을 경우, 장치 구성 변경, 라우팅 테이블 조작, 악의적인 TFTP 서버 구동 등의 SNMP 공격에 노출될 수 있음 ■ 참고 ※ SNMP(v1, v2c)에서 클라이언트와 데몬간의 get_request(요청)와 get_response(응답) 과정은 암호화가 아닌 평문으로 전송되므로 스니핑(sniffing)이 가능함 ..
N-02 패스워드 복잡성 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 네트워크 장비에 기관 정책에 맞는 계정 패스워드 복잡성 정책이 적용되어 있는지 점검 패스워드 복잡성 정책 설정 기능이 장비에 존재하지 않을 경우 기관 정책에 맞게 계정 패스워드를 설정하여 사용하는지 점검 ■ 점검목적 패스워드 복잡성 정책이 장비 정책에 적용되어 있는지 점검하여 비인가자의 네트워크 장비 터미널(콘솔, SSH, https 등) 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비 여부를 확인하기 위함 ■ 보안위협 패스워드 복잡성 정책이 적용되어 있지 않을 경우 계정 생성 후 초기 패스워드 설정 및 기존 패스워드 변경 시 패스워드 복잡성 제약 규칙을 적용받지 않아 취약한 패스워드(예 qw..
W-61 SNMP 서비스 커뮤니티스트링의 복잡성 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 서비스 커뮤니티 스트링(Community String) 적절성 점검 ■ 점검목적 SNMP에서 일종의 패스워드로 사용하는 Community String을 유추할 수 없는 복잡한 값으로 변경하여 불필요한 시스템 정보 노출을 차단하기 위함 ■ 보안위협 Community String 설정을 변경하지 않고 public, private 등 Default 설정 값으로 사용하는 경우, 기본 String 값을 통한 시스템의 주요 정보 및 설정 상태의 비인가자 노출 위험이 존재 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2..
D-05 원격에서 DB 서버로의 접속 제한 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검 ■ 점검목적 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검하여 비인가자의 DB 서버 접근을 원천적으로 차단하고자 함 ■ 보안위협 DB 서버 접속 시 IP주소 제한이 적용되지 않은 경우 비인가자가 내·외부망 위치에 상관없이 DB 서버에 접근할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : OS, Oracle, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호 DB서버에 지정된 IP주소에서만 접근 가능하도록 제한한 경우 취약 DB서버에 ..
PC-19 원격 지원을 금지하도록 정책 설정 ■ 점검영역 : 보안관리 ■ 항목 중요도 : 중 ■ 점검내용 원격 지원을 사용하지 않도록 설정하고 있는지 점검 ■ 점검목적 원격 지원 기능을 비활성화 함 ■ 보안위협 원격 지원 기능이 활성화 되어 비인가자에게 원격에서의 접근이 허용될 경우, 시스템 제어 권한이 악용될 수 있음 ■ 참고 - 점검대상 및 판단기준(PC(windows) 취약점 진단) ■ 대상 : Windows XP, Windows 7, Windows 8.1, Windows 10 양호 원격 지원이 “사용 안 함”으로 설정 되어 있는 경우 취약 원격 지원이 “사용”으로 설정 되어 있는 경우 ■ 조치방법 원격 지원 서비스 비활성화 점검 및 조치 방법(윈도우, window) ■ Windows XP, Win..
D-03 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 기관 정책에 맞게 패스워드 사용기간 및 복잡도 설정이 적용되어 있는지 점검 ■ 점검목적 패스워드 사용기간 및 복잡도 설정 유무를 점검하여 비인가자의 패스워드 추측 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비가 되어있는지 확인하기 위함 ■ 보안위협 패스워드 사용기간 및 복잡도 설정이 되어있지 않을 경우 비인가자가 패스워드 추측 공격을 통해 획득한 계정의 패스워드를 이용하여 DB에 접근할 수 있는 위험이 존재함 ■ 참고 ※ 무작위 대입 공격(Brute Force Attack): 특정 암호를 해독하기 위해 가능한 모든 값을 대입하는 공격 방법 ※ 사전 대입 공격(Dict..
D-04 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하였는지 점검 ■ 점검목적 관리자 권한이 필요한 계정과 그룹에만 관리자 권한을 부여하였는지 점검하여 관리자 권한의 남용을 방지하여 계정 유출로 인한 비인가자의 DB접근 가능성을 최소화하고자 함 ■ 보안위협 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하지 않을 경우 관리자 권한이 부여된 계정이 비인가자에게 유출될 경우 DB에 접근할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, P..
U-57 홈디렉토리 소유자 및 권한 설정 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 중 ■ 점검내용 홈 디렉터리의 소유자 외 타사용자가 해당 홈 디렉터리를 수정할 수 없도록 제한하는지 점검 ■ 점검목적 사용자 홈 디렉터리 내 설정파일이 비인가자에 의한 변조를 방지함 ■ 보안위협 홈 디렉터리 내 설정파일 변조 시 정상적인 서비스 이용이 제한될 우려가 존재함 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 홈 디렉터리 소유자가 해당 계정이고, 타 사용자 쓰기 권한이 제거된 경우 취약 홈 디렉터리 소유자가 해당 계정이 아니고, 타 사용자 쓰기 권한이 부여된 경우 ■ 조치방법 사용자별 홈 디렉터리 소유주를 해당 계정으로 변경하고, 타사..
W-09 불필요한 서비스 제거 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 불필요한 서비스 가동 여부 점검 ■ 점검목적 사용자 환경에 필요하지 않은 서비스 및 실행 파일을 제거하거나 비활성화 처리하여 이를 통한 악의적인 공격을 차단하기 위함 ■ 보안위협 시스템에 기본적으로 설치되는 불필요한 취약 서비스들이 제거되지 않은 경우, 해당 서비스의 취약점으로 인한 공격이 가능하며, 네트워크 서비스의 경우 열린 포트를 통한 외부 침입의 가능성이 존재함 ■ 참고 ※ OS 버전에 따라 ‘일반적으로 불필요한 서비스’ 목록에 나열된 서비스가 제공되지 않을 수 있음 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, ..
D-01 기본 계정의 패스워드, 정책 등을 변경하여 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 DBMS 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여 사용하는지 점검 ■ 점검목적 DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무를 점검하여 비인가자의 디폴트 패스워드 대입 공격을 차단하고 있는지 확인하기 위함 ■ 보안위협 DBMS 기본 계정 디폴트 패스워드 및 권한 정책을 변경하지 않을 경우 비인가자가 인터넷 통해 DBMS 기본 계정의 디폴트 패스워드를 획득하여 디폴트 패스워드를 그대로 사용하고 있는 DB에 접근하여 기본 계정에 부여된 권한의 취약점을 이용하여 DB 정보를 유출할 수 있는 위험이 존재함 ■ 참고 ※ 기본 계정: DB 설치 후 초기에 기본으로 ..
W-07 공유 권한 및 사용자 그룹 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 공유 디렉토리 내 Everyone 권한 존재 여부 점검 ■ 점검목적 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유 폴더에 Everyone 그룹으로 공유되는 것을 금지하여 익명 사용자의 접근을 차단하기 위함 ■ 보안위협 Everyone이 공유계정에 포함되어 있으면 익명 사용자의 접근이 가능하여 내부 정보 유출 및 악성코드의 감염 우려가 있음 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 일반 공유 디렉토리가 없거나 공유 디렉토리 접근 권한에 Everyone 권한이 없는 경우 ..
W-34 로그의 정기적 검토 및 보고 ■ 점검영역 : 로그 관리 ■ 항목 중요도 : 상 ■ 점검내용 로그의 정기적 검토 및 보고 여부 점검 ■ 점검목적 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함 ■ 보안위협 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움 ■ 참고 ※ 시스템 접속 기록, 계정 관리 로그 등 점검 항목에서 설정한 보안 로그를 포함하여 응용 프로그램, 시스템 로그 기록에 대하여 주기적인 검토 및 보고가 필요함 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, ..
W-17 IIS 파일 업로드 및 다운로드 제한 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 IIS 파일 업로드 및 다운로드 제한 설정 여부 점검 ■ 점검목적 기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나, 부득이 파일의 업로드 및 다운로드 기능을 활용해야 하는 경우, 파일의 용량 제한을 설정하여 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함 ■ 보안위협 대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애가 발생할 수 있음 ■ 참고 ※ IIS에서는 파일의 업로드 및 다운로드 기능을 직접적으로 차단하는 기능이 없어, 웹사이트 내 파일의 업로드 및 다운로드 기능의 구현 여부의 병행 점검이 필요 점검대상 및 판단기준(..
W-25 FTP 서비스 구동 점검 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템 내 FTP 서비스 구동 여부 점검 ■ 점검목적 인증 정보가 기본적으로 평문전송 되는 취약한 프로토콜인 FTP의 사용을 제한하여 네트워크 보안성을 높이고자 함 ■ 보안위협 OS에서 제공하는 기본적인 FTP 서비스를 사용할 경우 계정과 패스워드가 암호화되지 않은 채로 전송 되어 Sniffer에 의한 계정 정보의 노출 위험 존재 ■ 참고 ※ Sniffer: 네트워크 트래픽을 감시하고 분석하는 프로그램 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 FTP 서비스를 사용하지 않는 경우 또는 secure F..
U-03 계정 잠금 임계값 설정 ■ 항목 중요도 : 상 ■ 점검내용 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검 ■ 점검목적 계정탈취 목적의 무작위 대입 공격 시 해당 계정을 잠금하여 인증 요청에 응답하는 리소스 낭비를 차단하고 대입 공격으로 인한 비밀번호 노출 공격 을 무력화하기 위함 ■ 보안위협 패스워드 탈취 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)의 인 증 요청에 대해 설정된 패스워드와 일치 할 때까지 지속적으로 응답하여 해 당 계정의 패스워드가 유출 될 수 있음 ■ 참고 ※ 사용자 로그인 실패 임계 값 : 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차 단할 것인지 결정하는 값 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, ..