제가 지금 하고 있는 업무인 보안 컨설팅을 하기 전부터 소위 주통기라고 부르는 "주요정보통신기반시설 취약점 분석 평가 상세 가이드"에 대해 정리를 하고 싶었습니다. 이전 회사에서 개발 업무를 진행하면서 실제 서비스를 운영하는 리눅스와 같은 웹 서버의 취약점 점검이나 오라클, MySQL과 같은 DBMS 점검 그리고 대부분 중요하게 생각하지 않고 넘어갈 수 있는 개인 PC 점검까지 해당 가이드의 도움을 많이 받았었는데요. 이 취약점 점검 가이드가 2017년 이후 작년 2021년에 한 번 더 개정되고, OT 보안이나 클라우드에 대한 내용이 추가되어 더 자세해진 반면 여전히 점검 목적이나 조치 방법에 대해서 설명이 너무 간단한 경우도 있죠.
그래서 보안 업체에서 처음 취약점 점검 업무를 하거나 기술적 컨설팅 직무로 취업 준비를 하는 분들도 쉽게 이해할 수 있도록, 이 점검 가이드를 바탕으로 웹 서버나 보안 장비에서는 취약점 조치를 왜 이렇게 하는지, 실제 업무에서 스크립트로 점검을 할 때는 어떻게 구성을 해야 하는지 풀어서 써보고자 합니다. 물론 저도 이제 막 제대로 컨설팅 업무를 시작했기 때문에 그 깊이가 생각보다 얕을 수는 있지만, 처음 시작하는 분들에게 도움이 되셨으면 하는 바램으로 하나씩 정리를 해 나가겠습니다. 주통기 점검 가이드는 아래 링크에서 보실 수 있습니다.
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
이 주통기 점검 가이드의 경우 개정이 되면서 크게 유닉스 서버(리눅스), 윈도우 서버, 보안 장비, 네트워크 장비, 제어시스템, PC, DBMS, 웹, 이동통신, 클라우드로 분류가 되어 있고, 점검 항목을 보면 웹 취약점 점검을 제외하고 대부분 계정 관리, 서비스 관리, 패치 관리, 로그 관리를 공통으로 해서 각 영역에 특화된 항목들을 추가로 다루고 있습니다. 웹 취약점을 제외하고는 보안 설정이 제대로 되어 있는지를 확인하는 부분이라 일반적으로 스크립트를 통해 점검을 진행하고, 웹 취약점은 모바일 앱과 함께 모의해킹 영역으로 분류를 하게 됩니다.
잠깐 다른 사담을 하자면, 일반적으로 이 주요정보통신기반시설 취약점 점검 가이드를 찾아서 읽으시는 분들은 대부분 보안 컨설팅 업체에서 ISMS 인증 등의 업무를 위해 보시는 것으로 압니다. 주통기 점검 가이드에서는 리눅스/윈도우와 같은 웹 서버, 방화벽/VPN과 같은 보안 장비 등의 인프라 취약점과 웹 모의해킹을 위한 웹 취약점 점검 항목을 다루고 있는데요. 이 외에 모바일 모의해킹을 위해서는 행정안전부에서 발간한 "모바일 대민서비스 보안취약점 점검 가이드"를 참고해야 하고, 최근 금융권을 중심으로 대중화되고 있는 클라우드를 점검하기 위해서는 인포섹(현 SK쉴더스)에서 발간한 "2021 클라우드 보안 가이드"나 KISA의 "클라우드 취약점 점검 가이드"를 보셔야 합니다.
대부분 처음 기술적 컨설팅 업무를 맡게 되시면, 일반적으로 인프라 취약점 점검부터 시작해서 웹과 모바일 앱 모의해킹을 하게 됩니다. 물론 처음부터 모의해킹 업무를 맡으실 수도 있겠지만, 모의해킹을 주 업무로 하더라도 웹 서버나 인프라 취약점 점검에 대해서도 공부하신다면, 추후 더 좋은 곳으로 이직을 하거나 전반적인 커리어를 쌓는데 도움이 될 거라고 생각합니다. 또한 기술적 부분이 어느 정도 하셔서 익숙해지셨다면, 법이나 규제와 같은 관리적 부분으로 업무를 확장하셔서 추후 ISMS-P 심사원을 준비하시는 것도 좋을 것으로 생각됩니다.
사실 아직 저도 이 부분은 배우는 단계이고 티스토리에 전문적으로 글을 올리는 다른 분들에 비해서는 아마추어기 때문에 대단한 걸 알려드린다고 할 순 없습니다. 그래도 제가 대학원 때부터 웹이나 모바일 앱, 리눅스 서버 취약점을 공부를 하면서 초반에 알았다면 좀 더 빠르게 이해했으리라 생각했던 부분에 대해서 자세히 설명하고, 혹시나 잘못 쓴 부분이 있을 때 댓글로 알려주시면 바로 수정해서 좀 더 정확한 정보를 제공하고자 합니다. 회사를 다니면서 써야하기에 얼마나 자주 올릴 수 있을지는 모르겠지만, 최대한 시간을 내서 써보도록 하죠. 그럼 다음에는 리눅스 서버 취약점 점검으로 첫 글을 시작하도록 하겠습니다. 감사합니다.
댓글