세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
누구나 쉽게 체크하는 보안 취약점 진단 길라잡이
  |  입력 : 2017-09-07 09:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
실질적인 취약점 진단 및 침해 사고 예방법

[보안뉴스 박미영 기자] 우리 회사에 존재하는 보안 취약점에는 어떤 것들이 있을까? 특히, 서버와 PC 등에 존재하는 보안 취약점을 쉽게 진단할 수 있는 방법은 없을까?

[이미지=iclickart]


5~6일 열린 ‘ISEC 2017’의 동시 개최행사로 열린 ‘지능정보보안아카데미’에서는 보다 쉽게 보안 취약점 존재 여부를 체크하는 팁이 제시되어 관심을 끌고 있다.

이글루시큐리티의 여동균 보안관제팀장은 “버그(bug) 중에 이를 악용해 정보를 유출하거나 데이터를 변경하는 등의 피해를 주는 것이 있다. 이렇게 악용 가능한 버그를 일컫어 취약점이라고 한다”며, “취약점 진단이란 취약점을 발견하기 위한 테스트 방법으로, 취약점 진단에서는 취약점 외에 보안 기능 미흡 사항도 발견된다”고 말했다.

여 팀장은 최근 발생한 대형 쇼핑몰의 개인정보 유출사고 사례를 들어 최대 접속 시간 제한, 개인정보 백업(암호화 미조치), 보안관제 소홀 등 현재 우리가 아직도 지키지 않고 있는 기본적인 기술적·관리적 보호조치를 소개했다.

이어서 주요 정보통신기반시설 취약점 점검 항목에 기반한 윈도우·유닉스·리눅스·웹 취약점 진단 기술 등 실무 담당자들이 알아두고 활용하면 좋을 누구나 손쉽게 보안 취약점을 진단하는 기술을 설명했다.

더불어 가정에서 활용할 수 있는 간단한 점검 툴로 한국랜섬웨어침해대응센터 사이트에서 제공하는 랜섬웨어 점검 솔루션인 ‘Ransim(Ransomware Simulator)’ 프로그램과 경남지방경찰청 사이트에서 제공하는 ‘파밍캅’ 프로그램 등을 예로 들었다.

여 팀장은 “결론적으로 지능화·고도화되고 있는 개인정보 침해 사고는 지속적·효율적·체계적으로 대응해야 된다”며, “최신 보안 이슈 및 동향을 파악해 지능화·고도화된 사이버 공격에 대응하고, 시스템 취약점 점검 및 개선을 통해 침해사고 대응체계를 강화하며, 합리적 의사결정을 지원해 정보보안 부문 중복 투자를 최소화해야 한다”고 강조했다.

[우리가 꼭 지켜야 할 중요 사항 ‘보안성 검토’]
- 중요 서버에서 불필요한 인터넷(포트 80) 사용 금지
- 웹 WAS, DB 서버는 절대 DMZ에 구축하지 말기
- 인가된 IP/MAC 주소에서만 시스템에 접근하도록 조치, 인터넷이 차단된 단말기에서만 접근
- DB 접근 및 조회에 대한 확인
- 개인정보 및 중요정보(DB) 암호화, 비밀번호 암호화(128비트 이상) [md5.sha1 금지]
- 중요정보 및 개인정보는 안전한 암호화 전송

이러한 조치방법이 소개되어 있는 주요 정보통신기반시설의 기술적 취약점 분석·평가 방법 상세가이드는 https://drive.google.com/file/d/0B9OrkyPxRATDVy1CZWRjSzN5Zmc/view에서 내려받을 수 있다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)