주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드 filetype xls

주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법 상세가이드가 드디어 업데이트 되어 수정되었습니다.

2021년 03월 한국인터넷 진흥원에 올라온 가이드입니다.

- 목차 -

UXIX 서버
1. 계정 관리
2. 파일 및 디렉터리 관리
3. 서비스 관리
4. 패치 관리
5. 로그 관리

윈도우즈 서버
1. 계정 관리
2. 서비스 관리
3. 패치 관리
4. 로그 관리
5. 보안 관리
6. DB 관리

보안장비
1. 계정 관리
2. 접근 관리
3. 패치 관리
4. 로그 관리
5. 기능 관리

네트워크장비
1. 계정 관리
2. 접근 관리
3. 패치 관리
4. 로그 관리
5. 기능 관리

제어시스템
1. 계정 관리
2. 서비스 관리
3. 패치 관리
4. 네트워크 접근통제
5. 물리적 접근통제
6. 보안위협 탐지
7. 복구대응
8. 보안 관리
9. 교육훈련

PC
1. 계정 관리
2. 서비스 관리
3. 패치 관리
4. 보안 관리

DBMS
1. 계정 관리
2. 접근 관리
3. 옵션 관리
4. 패치 관리
5. 로그 관리

Web(웹)
1. 버퍼 오버플로우
2. 포맷스트링
3. LDAP 인젝션
4. 운영체제 명령 실행
5. SQL 인젝션
6. SSI 인젝션
7. XPath 인젝션
8. 디렉터리 인덱싱
9. 정보 누출
10. 악성 콘텐츠
11. 크로스사이트 스크립팅
12. 약한 문자열 강도
13. 불충분한 인증
14. 취약한 패스워드 복구
15. 크로스사이트 리퀘스트 변조(CSRF)
16. 세션 예측
17. 불충분한 인가
18. 불충분한 세션 만료
19. 세션 고정
20. 자동화 공격
21. 프로세스 검증 누락
22. 파일 업로드
23. 파일 다운로드
24. 관리자 페이지 노출
25. 경로 추적
26. 위치 공개
27. 데이터 평문 전송
28. 쿠키 변조

이동통신
운영 관리

클라우드
1. 접근통제
2. 보안 관리

* 변경점

오늘 가이드가 올라온 상황이라 상세하게 분석을 해보지는 않았지만

1. 이동통신(이동통신 관련 설비), 클라우드(VMware, KVM 등 가상화 장비) 항목 신설

2. DBMS에서 "Postgre SQL" 주요 대상으로 추가

상세한 내용 분석 시 추가로 수정사항 업데이트하도록 하겠습니다.

www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988&queryString=YnVsbGV0aW5fd3JpdGluZ19zZXF1ZW5jZT0zNTk4OA==

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

초록
▼

IT가 발전하면서 다양한 산업과 업무에 시스템 자동화, 언제 어디서든 연결이 가능한 인터넷과 같은 편리함으로 우리 생활 및 산업에 적용되어 있다. 하지만 IT가 발전할수록 사이버 침해 사고 또한 지속적으로 발생하여 기관(회사)의 주요정보 유출, 시스템 파괴, 서비스 장애 등과 같은 피해가 속출하고 있다. 이에 정보통신 기반시설을 대상으로 행정자치부와 KISA에서 정한 주요 정보통신 기반시설 기술적 취약점 분석·평가 방법 상세 가이드를 따라서 취약점 점검을 매년 실시하고 있다. 매년 취약점 점검을 실시하고 취약점에 대한 조치를 취해도 지속적으로 사이버 침해 사고가 발생하고 있다. 현 주요 정보통신 기반시설 기술적 분야 취약점 점검 항목은 기관(회사)의 보안을 위해 기본적으로 모두 조치되어야 하는 부분이다. 그러나 현 취약점 점검 항목은 시스템 또는 장비의 설정 값 또는 서비스, 포트의 관리 실태와 같은 점검 항목이 주를 이루어 해킹 메일이나 특정 OS 취약점, 프로그램의 취약점, 피싱·파밍과 같은 사회공학 기법 등에 대해 기관(회사)의 대응이나 대응 상태를 파악하기에는 현 주요 정보통신 기반시설 기술적 분야 취약점 점검 항목으로는 부족하다. 본 연구에서는 주요 사이버 침해사고 사례 및 공격 유형의 동향을 조사하고 설문을 통하여 현 주요 정보통신 기반시설 기술적 분야 취약점 점검의 만족도 및 사이버 공격 유형 별 점검 항목을 추가한 취약점 점검 개선방안의 만족도를 조사하였으며 매년 실시하는 주요 정보통신 기반시설 기술적 취약점 점검 항목에 다양해지고 있는 사이버 공격 유형별로 점검 항목을 추가하여 사이버 침해 대응에 대한 기관(회사)내의 전반적인 보안 수준 파악 및 향상에 도움이 될 수 있도록 취약점 점검 개선방안을 제시하였다.

Abstract
▼

As IT evolves, convenience such as system automation in various industries and business tasks and Internet that can be provided anywhere in the world is applied to our lives and industries. However, such a development of IT causes continuous cyber breach which is responsible for organization(corporation)’s critical information leakage, system destruction and service malfunction. In order to prevent this incident, government conducts vulnerability assessment for Info-Communications infrastructure every year using “The major Info-Communications Infrastructure Technical Field Vulnerability Assessment” guideline made by MSPA(Ministry of Security and Public Administration) and KISA(Korea Internet & Security Agency). Even though vulnerability assessment is performed every year and follow-up measures are taken place, cyber breach occurs continuously. The current vulnerability assessment items must be examined throughly and follow-up measures are imperative as a matter of security issue for any organization(corporation). However, the current vulnerability assessment items are mainly composed of checking system(device)’s predetermined values or managing actual condition of services or ports, which is insufficient for organization(corporation) to correspond against hacking through mail, certain OS vulnerability, program vulnerability and phishing or pharming. This research looks into major cyber breach examples and corresponding attack types. Using survey, satisfactions of current major info-communication technical field vulnerability assessment and vulnerability assessment improvements by adding evaluation items related to cyber attack types were investigated. This research also provides vulnerability assessment improvements, which organization(corporation) can use it to defend against various cyber threats and eventually lead to advancement of overall security level.

주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드 filetype xls 방법