본문 바로가기
카테고리 없음

시스템 취약점 진단 인프라 취약점 진단 정보보안 전문가

by Dr.Frank 2024. 1. 30.
반응형

정보보안 전문가 10개 분류 중 2번째로 시스템 취약점 진단 전문가에서 대해서 알아보도록 하겠습니다.
 
시스템 취약점 진단은 기술적 보안에 대해 위험평가를 하기 위해 보통 정보보호 컨설팅 수행 시 진행하는 경우가 많습니다. 그러나, ISMS 인증 의무 대상인 기업이나 대학교 등에서 정보보안 인력, 예산 등이 부족하여 정보보호 컨설팅을 받지 않고 시스템 취약점 진단만 별도로 진행하는 경우도 있습니다. 따라서, 최근에는 모의해킹이나 시스템 취약점 진단만을 전문적으로 하는 프리랜서도 있습니다.

시스템취약점진단전문가

 

1. 시스템 취약점 진단 전문가의 정의

시스템 취약점 진단 전문가는 IT 자산(서버, 네트워크장비, 정보보호시스템(보안장비), DBMS) 등 IT 인프라에서 발생할 수 있는 취약점을 점검하고 위험을 평가하여 이를 통해 보안 가이드(보완 조치)를 제안하여 IT 인프라 자산의 보안 강화하는 역할을 수행하는 전문가를 말합니다.
 

2. 시스템 취약점 진단의 목적

  • 취약점 식별 및 해결: IT 자산에서 발생할 수 있는 보안 취약점을 찾아내고 이를 해결하여 시스템 보안을 강화합니다.
  • 컴플라이언스(법률 및 규제) 준수 확인: 관련 법률, 규제, 산업 표준에 따라 시스템이나 조직이 준수해야 하는 보안 요구사항을 확인하여 규정을 준수합니다.
  • 위험 관리: 기업이나 조직이 직면한 보안 위험을 식별하고 평가하여 적절한 대응책을 마련합니다.

3. 시스템 취약점 진단 대상 시스템

  • 서버: 운영 체제, 서비스, 포트 등을 통해 서버의 취약점을 확인합니다.
  • 네트워크 장비: 라우터, 스위치 등의 장비에서 발생할 수 있는 취약점을 확인하고 보호 수준을 평가합니다.
  • 정보보호시스템(보안장비): 방화벽, 침입 탐지 시스템(IDS), 안티바이러스 Solution 등 정보보호시스템의 설정과 동작을 점검합니다.
  • DBMS: 데이터베이스 시스템의 권한 설정, 접근 제어, 취약성을 평가하여 데이터베이스 보안을 확인합니다.
  • PC: 계정 관리, 암호 설정, 화면보호기, 기본 공유폴더 관리, Windows Update, 백신 업데이트 및 검사 설정 등의 보안 사항을 점검합니다.

4. 시스템 취약점 진단 기준

  • 공공기관의 경우 주요 정보통신기반시설 취약점 분석평가 기준으로 진단합니다.
  • 금융기관: 전자금융기반시설, 주요 정보통신기반시설 분석평가 기준으로 진단합니다.
  • 이외 기업, 대학교 등: 시스템, 네트워크, 보안장비, DB, 웹 서비스 등 사업수행 주체의 컨설팅 범위에 따라 자체의 점검 기준을 적용하여 진행합니다.

5. 시스템 취약점 진단 절차

시스템 취약점 진단 방법론

6. 시스템 취약점 진단 절차별 업무

기술적 취약점 진단(시스템, 네트워크, 보안장비, DB, 웹 서비스 등)은 전수조사 방식으로 자동/수동 진단을 수행하여
취약점을 도출하고 분석을 통해 대응방안을 제시합니다.

시스템 취약점 진단 절차

 
시스템 취약점 진단 절차의 세부 내용은 다음과 같습니다.

6.1 시스템 현황 파악

  • 시스템 구성 현황 및 운영 현황을 파악합니다.
  • 네트워크 구성 현황을 파악합니다.
  • 주요 애플리케이션 현황을 파악합니다.

6.2 시스템 취약점 진단 대상 선정

  • 중요도가 높거나 위협 가능성이 큰 정보 시스템에 우선순위 부여 유사한 플랫폼은 그룹화하여 대표 시스템을 선정합니다.

6.3 시스템 취약점 진단

  • 진단도구(스크립트, 자동화 Solution)를 이용하여 취약점을 진단합니다.
  • 수동 취약점 점검(인터뷰, 실사) : 네트워크장비, 정보보호시스템(보안장비), DBMS 등을 진단합니다.
  • 스크립트 배포 및 결과를 회수합니다.
  • 공유폴더, 취약계정 사용 여부 등을 점검합니다.

6.4 시스템 취약점 진단 결과 분석

  • 진단도구에서 제시된 보고서를 분석합니다.
  • 취약점 항목 분석 및 취약점 목록 작성 수동 점검에 의한 결과를 분석합니다.

6.5 시스템 취약점 진단 결과 보고 및 대책 수립

  • 보안 진단 평가 등급을 제시합니다.
  • 개선 대책을 제시합니다.
  • 발견된 취약점 제거 방안을 제시합니다.

이러한 진단 절차는 전문가를 통하든 내부 인력이든 주기적으로 수행되어야 합니다. 취약점 진단 수행 중이라도 실제 발견된 Hot-Fix 취약점에 대해서는 즉각적인 이행 조치가 될 수 있도록 정보보호 담당자, 운영 담당자에게 가이드를 제시하고 교육을 실시합니다.  또한, 진단 과정에서 발견된 취약점에 대해 위험평가 및 조치계획 수립을 통해 DoA에 따라 우선순위를 결정하고, 단기/중기/장기 별로 적절한 이행 개선 조치를 취하도록 하는 것이 중요합니다. 이렇게 시스템 취약점 진단 전문가의 점검을 통해 기업이나 조직은 정보 자산에 대해 보안에 취약한 부분을 파악하고 취약점에 대한 적절한 대응책을 마련하여 조치를 취함으로써 정보 자산을 효과적으로 보호할 수 있습니다.
 
시스템 취약점 진단 전문가의 직업에 대해서 관심 있으신 분들께 이 글이 도움 되셨길 바랍니다.
지속적인 관심 부탁드립니다.

티스토리툴바