주요정보통신기반시설 보안장비 취약점 분석/평가 항목

오늘은 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드의 보안장비 취약점 분석/평가 항목에 대해 이야기드리겠습니다. 보통 정보통신기반보호법으로 지정된 공공기관이나 민간기관들은 필수적으로 이 주요정보통신기반시설 취약점 점검을 실시해야하는데요.

 

KISA에서 발간한 이 가이드를 기반으로 많은 컨설팅 업체에서 주요정보통신기반시설 컨설팅이나 ISMS 인증 컨설팅을 진행하고 있죠. 앞선 글들에서는 리눅스 서버의 취약점 점검 항목에 대해서 말씀드렸는데, 이번 글에서는 보안장비 취약점 점검에 대한 전반적인 인트로를 말씀드리고 이후부터 세부 항목에 대한 설명을 드리도록 하겠습니다.

​

보통 우리가 흔히 알고 있는 VPN, IPS, 방화벽, DLP와 같이 정보보호시스템으로 분류되는 보안장비 또한 리눅스나 윈도우 서버처럼 많은 취약점을 가지고 있습니다. 이 보안장비들은 대부분 정보보안 기업에서 하드웨어 일체형으로 만들기도 하고 에이전트가 있는 설치형 프로그램으로 개발하기도 하죠. 보안장비를 만드는 기업들이 많다보니 장비 자체에서도 다양한 취약점을 가지고 있지만, 여기서는 보안장비들을 운영하면서 공통적으로 발생하는 취약점들을 점검한다고 생각하시면 될 듯 합니다.

​

우선 먼저 알아두셔야 할 것은 보안장비 취약점 점검은 앞서 포스팅했던 리눅스 서버 취약점과는 다르게 별도의 진단 스크립트를 사용하지 않고, 방화벽이나, VPN, 서버접근통제, DB 암호화 솔루션 등 보안장비를 운영하는 담당자에게 질의서로 점검을 대체한다는 겁니다.

 

정보보호시스템을 운영하면서, 기본 디폴트 계정이나 패스워드를 변경해서 사용하고 있는지, 원격 접근은 IP로 접근 통제가 되어 있는지, 보안 장비에서 발생하는 정책이나 보안 로그 등은 제대로 관리되고 있지를 확인하고 있죠. 아래의 취약점 분석 평가 항목을 보시면, 대강 어떤 부분들을 점검하는지 감이 오실거라 생각합니다.

 

보안장비 취약점 분석/평가 항목(주요정보통신기반시설 기술적 취약점 분석/평가 방법 상세가이드, KISA)

 

결국 보안 장비들은 기업에서 실제 서비스를 운영을 하면서 사용하는 장비들이 많기 때문에, 컨설팅의 기술 인력들이 직접 접속하여 확인하기 보다는 담당자가 질의서를 작성하여 전달해준다고 보시면 됩니다. 물론 실사가 필요한 부분들은 보안장비 담당자와 직접 인터뷰를 한다던지, 관련 부분들을 이미지로 캡쳐하여 증적으로 남기기도 하는데요.

 

리눅스 서버 취약점 점검과 마찬가지로 초기 점검과 이행 점검을 통해 취약한 부분들을 조치하고, 조치가 불가능한 부분에 대해서는 위험 평가에서 위험수용으로 처리한다던지, 보호대책 적용시기를 장기로 선정하기도 합니다. 사실 기업들 입장에서는 정보보호 수준을 올리는 것도 중요하지만, ISMS나 주요정보통신기반시설 인증을 무사히 받아 과징금 부과를 피하는 것도 중요하기 때문이죠.

여기까지 간단하게 주요정보통신기반시설에서 나오는 보안장비 취약점 점검 항목 개요에 대해서 간단히 말씀드렸습니다. 사실 보안장비의 취약점을 점검하실 때는 위와 같은 점검 항목의 내용들을 알고 계시는 것도 중요하지만, 워낙 보안 기업들이 너무 많다보니 해당 업체에서 나오는 보안 장비들의 구조나 특징들을 아는 것도 중요하다고 봅니다.

 

다음 글부터 보안장비 취약점 항목 하나씩 설명드릴텐데, 제가 경험했던 부분들을 녹여서 최대한 이해하기 쉽게 전달드리도록 해보겠습니다. 그럼 이번글은 여기서 마치도록 하죠. 읽어주셔서 감사합니다.