주요 정보통신기반시설 취약점 분석 평가c1%b6%c5%c2%c8%f1.pdf · 보안부문에...

http://www.kisa.or.kr/cip/cip_trend.html

주요 정보통신기반시설

취약점 분석·평가 모델

조 태 희

한국정보보호진흥원, 기반보호팀

[email protected]


목 차

정보통신기반시설 취약점 분석·평가 모델

1. 취약점 분석·평가 개요

2. IPAK (Information Protection Assessment Kit)

3. IAM (INFOSEC Assessment Methodology)

4. VAF (Vulnerability Assessment Framework)

5. OCTAVE (Operationally Critical Threat, Asset,

and Vulnerability Evaluation)

6. Risk Management Guide for IT Systems

7. 취약점 분석 ·평가 방법론

8. 결론


1. 취약점 분석·평가 개념

가. 용어 정리

1) 자산(Asset)

• 조직내의 가치를 갖고 있는 모든 것.

2) 위협(Threat)

• 시스템이나 조직에 피해를 끼칠 수 있는 원치 않은 사고의 잠재적 원인

3) 취약성(Vulnerability)

• 위협이 가해질 수 있는 자산 또는 자산 집합의 약점을 포함.

4) 위험(Risk) • 자산 또는 자산 집합의 취약한 부분에 위협 요소가 발생하여 자산의 손실, 손상을 유발할 잠재성.

5) 영향(Impact) • 원하지 않은 사건의 결과.

6) 보호대책(Safeguard) • 위험을 줄이기 위한 실천, 절차 또는 메커니즘.

7) 잔여위험(Residual Risk) • 대책을 구현한 후 남아 있는 위험.

정보통신기반시설 취약점 분석·평가 모델 개념

1/58




취약성

위협

자산

위험

위험 = 자산 * 위협 * 취약성

개념

2/58

취약성

위협

자산

잔여

위험

보호 대책

보호 대책

보호 대책

위험


나. 연관성


위협 취약성

위험

가치 보호 요구사항

자산 대책

이용

증가 증가

증가 필요

감소

노출

소유

보호

충족


개념

3/58


다. 위험 분석과 취약성 분석 정의 및 차이점

• 위험분석 : 자산의 취약성을 식별하고 존재하는 위협을 분석하여 이들의 발생 가능성 및

위협이 미칠 수 있는 영향을 파악해서 보안위험의 내용과 정도를 결정하는 과정이다.

• 취약성 분석 : 일반적으로 네트워크 또는 서버 기반의 스캐닝 툴을 활용하여 네트워크나

서버 등이 노출된 정보시스템의 취약성을 찾아내는 방법과 모의 해킹을 통해서 현재 보안상태를 점검하는 방법이다.

• 차이점 : 취약성 분석은 네트워크나 시스템의 결점을 기술적, 위험에 대한 대응만을 고려하지만 위험 분석은 취약성 분석의 내용에 추가하여 조직의 사업의 목표와 임무를 수행하기 위한 자산의 가치를 고려하는 점이 차이점이다.



개념

4/58


라. 취약점 분석의 현황

1) 현황


평가 계획 수립

네트워크 취약성분석 서버 취약성 분석

모의 해킹

취약성 평가

취약성 보호대책

정보시스템 보안정책

자산분석

취약성 분석 대응책 분석 위협 분석

위험 산출 보안정책

반 영

규제/제약

사항 적용

대응책

잔여

위험평가

Y

N

취약성 분석

위험 분석 1. 취약점 분석·평가 개념

개념

5/58



마. 취약점 분석의 현황

2) 문제점

위험분석에 대한 기술 및 인력 부족

IT 보안관리의 체계 부재

정보 시스템 보안 전담부서의 인력 구성 문제

정보자산 가치 산정의 어려움

위협에 대한 과거의 자료 부족

정성분석 등을 위한 객관적 기준 부재

위험분석 모델 및 기법 부재

기술 및 인력 문제

표준 부재

위험분석에 대한 인식 부족

표준 문제

인식 문제

위험분석


개념

6/58


IPAK

2. IPAK(Information Protection Assessment Kit)

가. 정의 • 조직의 정보 보호 프로그램을 자가 테스트 하는 방법

빠르고 손쉽게 사용 가능

점차적으로 보안 취약점을 개선

IPAK의 목록을 준수함으로써, 위험을 감소

11 분류, 20개 항목, 총 220 문항

나. 11가지 기본 분류 • 정보보호 프로그램 및 관리(Information Protection Program and Administration)

• 직원 정책 및 시행 (Personal Policy and Practices)

• 물리적 보안 (Physical Security)

• 사업 진행 제어 (Business Process Controls)

• 백업 및 복구 (Backup and Recovery Measures)

• 사용자 제어 (End-User Controls)

• 네트워크 보안 제어 (Network Security Controls)

• 인터넷 보안 제어 (Internet Security Controls)

• 웹 보안 제어 (Web Security Controls)

• 통신 및 원거리 접속 보안제어 (Telecommunication & Remote Access Security Controls)

• 인터넷 상거래 제어((Internet Commerce Controls)


7/58


IPAK


직원 정책 및 시행 (Personal Policy and Practices)

4. 보안정책 및 절차에 대한 유지가 직원 검토상의 평가 항목인가? 7. 정보보안을 위한 사내의 주요 초점에 개인이 포함되었는가? 12. 민감하고 중요한 기밀정보를 다루는 직원들의 신분이 확실한가? . . .

물리적 보안 (Physical Security)

2. 서버들은 쉽게 접근되지 않은 보호 지역에 항상 있는가? 13. 화재 탐지기 및 경보기가 천장에 설치가 되어 있는가? . .

사용자 제어 (End-User Controls)

8. 표준적인 기능 환경이 구축되고, H/W 및 S/W의 목록이 제시되었는가? 19. 사용자들이 패스워드 혹은 다른 인증 방식을 사용하도록 준비되었는가? . .

인터넷 보안 제어 (Internet Security Controls)

3. 사용자들에 대한 인터넷 서비스를 제공하는 정책이 시행되었는가? 11. 인터넷 접근 권한에 대한 직원 사용을 관리하는 정책이 시행되는가? 14. 인터넷 거래에 대한 정책을 승인하는가? 18. 사건 조정 절차에 대한 실제적인 테스트를 실시하였는가? . .

다. 기본 분류의 예


8/58


IPAK


라. 계산법

• 단계 1 : 관련성 (Relevance)

평가 항목들이 대상 기관에 적용되는가를 판단

특정 평가 항목이 제외라면 비고란에 이유를 기술

• 단계 2 : 영향 (Impact)

대상 기관에 대해 각 평가 항목의 중요도를 평가

등급 영향 (Impact)

Low 다소 중요한 항목, 위험도가 그리 높지 않음

Moderate 중요한 항목, 위험도가 조금 있음

High 매우 중요한 항목, 위험도가 굉장히 높음


9/58


IPAK


• 단계 3 : 준수 (Compliance) 대상 기관에 대해 각 평가 항목의 평가등급

등급 평가 (Compliance)

Excellent 평가등급 90- 100%, 결점 및 취약점이 거의 없슴

Good 평가등급 80- 89%, 다소의 결점 및 취약점 내포

Adequate 평가등급 70- 79%, 많은 결점 및 취약점 내포

Marginal 평가등급 50- 69%, 잠재적으로 심각한 취약점 혹은 결점을 내포

Poor 평가등급 50이하


10/58


IPAK


• 단계 4 : 문서화 (Documentation) 보안부문에 대해 지속적인 평가문서 작성

유용한 문서는 보안에 대해 영향

아래 표의 각 문서부문에 대해 문서화가 되었는지 조사

표준 매뉴얼 (Standard manual)

정책문서 (Policy statement)

상세문서 (Specification)

사용자 매뉴얼 (User manual)

시행 가이드 (Practice Guideline)

운영절차 (Operating Procedure)

복구 계획 (Recovery Plan)

접근 (Intranet accessible protected file)

• 단계 5 : 비고란 (Comments) 특기사항을 기입

평가 항목이 적용 대상이 아닐 경우 이유를 기입


11/58


IPAK


• 단계 6 : 점수화 (Scoring) 각 평가 항목에 대해 준수 여부를 등급화

중요하게 고려하는 사항에 대해서 등급을 제시

문서화는 준수의 등급을 올릴 수 있다

최대 가능 등급 = I x 6

실제 등급 = I x ( C + D )

( I : 영향, C : 준수, D : 문서)

영향 : 3(High), 2(Moderate), 1(Low)

준수 : 5(Excellent), 4 (Good), 3(Adequate), 2(Marginal), 1(Poor)

문서 : 1(적절한 문서화 될 경우 1추가)

예제) 영향 : Moderate

준수 : 85% (good)

문서 : 적절한 문서 (1) 의 경우,

최대 가능한 한 등급은 2 x 6 = 12 이고 실제 등급은 2 x (4 +1) = 10


12/58


IAM

3. IAM(INFOSEC Assessment Methodology)

가. 정의 • 한 기관의 잠재적인 취약점을 분석하는 방법론

• 취약점 발견시 그에 대한 적절한 대응 제시

• INFOSE 평가를 통한 장점

중요한 정보가 무엇인가?

중요 정보를 관리하는 시스템 점검

잠재적 취약점을 파악

취약점 제거를 위한 대책 제시

나. 필요성 • 주요 정보 시스템의 적절한 보호 체계의 필요

• 적절한 보안 기술과 관리 제공

• 유사 기관과의 비교 자료로 활용

다. 개발 배경 • NSA의 15년 간의 경험으로 국방부 교육용 자료로 개발

• 미정부 정보시스템에 관련된 자에게만 교육

평가 이전 단계

현장 방문 단계

평가 후 단계


13/58


IAM


가. 평가 이전 단계

1) 목적 • 고객의 요구 분석

• 고객 정보 중요도를 파악

• 평가계획을 설계

• 중요 정보를 보유하고 있는 시스템을 확인

• 평가팀과 고객 사이의 협의

• 현장 방문 평가에 대한 사전준비

2) 진행 일정 • 정보의 중요성 파악

• 시스템 구성 확인

• 평가 범위 결정

• 시스템 문서 요구 및 검토

• 전문가 인원 확충

• 문서 재검토

• 사전 분석

• 현장 방문에 대한 논의



평가 후 단계

평가 이전단계 현장 방문단계 평가 후 단계

평가 이전

방문 (1-2일)

팀 구성 및

협력 (2-4주)

현장방문

(1-2주) 분석 및 보고서 작성

(1-2주)


14/58


IAM


1) 진행과정



평가 후 단계 고객 요구사항 결정 및 조정

고객 기관의 정보 중요도 파악

고객의 INFOSEC 목적 파악

시스템 범위를 검토

문서 요구 및 고객과의 협력유지

고려사항

1. 고객의 요구 및 목적을 이해

2. 어떤 정보가 사업/업무 중요 판단

3. 정보의 잠재적 가치를 파악

4. 고객과의 논의 사항

- 수행 업무 기능들

- 업무수행에 필요한 중요 정보 파악

평가 범위

평가 진행

결과 보고서 논의


15/58


IAM


나. 현장 방문 단계

1) 목적 • 사전 평가 단계에서 만들어진 정보 및 결론에 대한 분석

• 데이터 수집 및 평가

• 분석결과 도출

2) 진행 일정 • 기조모임

• 시스템 정보의 수집 및 평가

- 면담

- 시스템 시연

- 문서 재검토

• 평가 정보 분석

NSA의 평가 18항목

CSI의 평가 10항목

• 초기 권고안 작성

• 브리핑



평가 후 단계


평가 이전

방문 (1-2일)

팀 구성 및

협력 (2-4주)

현장방문


(1-2주)


16/58


IAM


3) 진행과정



평가 후 단계 기조모임(Opening meeting)

현장 정보 수집

평가 정보 분석

초기 권고안 작성

평가목표 및 범위 결정

평가과정 재검토

평가에 대한 중요성 강조

정보수집

- 사전 평가단계 정보의 확인

- 추가적인 정보 수집

정보 수집에 필요사항

- 면담

- 시스템 시연

- 문서 재검토

고객 기관의 취약점 확인

확인된 시스템 취약점에 대해 기술적인 보안 평가서 목록 작성

면담 = 기능들이 실제 어떻게 동작하는지 파악 - 시간 : 30분 ~ 2시간 - 대상 인원 : 2명 이상

시스템 시연 = 충분한 정보 수집을 위한 유용한 툴 사용

문서검토 = 면담동안 수집한 정보

브리핑 평가 계획 재검토/취약점 분석

발견 : 취약점 발견 논의 : 취약점 기술 및 결론 권고안 : 취약점 제거 및 감소에 대한 평가


17/58


IAM


다. 평가 후 단계

1) 목적 • 평가 분석 종결

• 결과보고에 대한 준비 및 조정

2) 진행 일정 • 문서에 대한 추가적인 검토

• 전문가 의견 고려

• 최종 보고서



평가 후 단계


평가 이전

방문 (1-2일)

팀 구성 및

협력 (2-4주)

현장방문


(1-2주)


18/58


IAM

3. IAM(INFOSEC Assessment Methodology) 평가 이전 단계


평가 후 단계

1. INFOSEC documentation

2. INFOSEC Roles and Responsibilities

3. Identification & Authentication

4. Account Management

5. Session Controls

6. External Connectivity

7. Telecommunications

8. Auditing

9. Virus Protection

10. Contingency Planning

11. Maintenance

12. Configuration Management

13. Back-up

14. Labeling

15. Media Sanitization /Disposal

16. Physical Environment

17. Personal Security

18. Training and Awareness

1. Information Protection Program & Administration 2. Personnel Policies and Practices 3. Physical Security 4. Business Process Controls 5. Backup and Recovery Planning 6. End-User Controls 7. Network Security Controls 8. Internet Security Controls 9. Web Security Controls 10. Telecommunications and Remote Access Security Controls 11. Internet Commerce Controls

NSA 평가항목 CSI 평가항목


19/58


VAF

4. VAF(Vulnerability Assessment Framework)

가. 특징

단계 1

MEI

(Minimum Essential

Infrastructure),

최소필수기반구조 선별

단계 2

MEI 취약점을 식별하기

위한 자료 수집

단계 3

취약점 분석 & 우선

순위 결정


20/58


VAF


가. 단계 1 : 조직의 핵심 임무(mission) 수행을 지원하는 요소 검색

1

1.1 조직의 핵심 임무를 식별

1.2 위협 환경을 식별

1.3 핵심수행절차 식별

1.4 핵심임무의 가치를 분석하고 우선순위

1.5 조직의 구조와 고객의 역할 책임 정의

1.6 핵심임무를 지원하는 설비 정의

1.7 구조와 시스템의 맵핑

1.8 핵심 물리적, 조직적, 구조적 요소 연결

1.9 내외부의 상호 의존성


21/58


VAF


2

나. 단계 2 : 단계 1에 의해 정의된 MEI와 관련된 취약점 식별

Area of Control : 업무목적에 부합되도록 있도록 해야 하며, 임의의 사고에 대처할 수 있도록 적절한 보증을 제공하기 위한 정책, 절차 및 조직 구성을

포함한다.

MEI Resource Elements : 자원에 대한 넓은 범주로 부서 혹은 조직이 그

들의 핵심적인 업무를 추진하는 데 필요한 최소필수기반구조를 구성하고 있다.

Areas of Potential Compromise : 손실이 일어날 경우 기관의 MEI와 핵심 업무수행 능력에 영향을 줄 수 있는 분류


22/58


VAF


다. 단계 3 : 단계 2에서 정의된 취약점을 분석하고 정의하며, 취약점 결과에

의한 우선 순위를 정하여 보충계획 및 대책을 마련 3


23/58


VAF


다. 단계 3 3


24/58


VAF


다. 단계3 3


25/58


VAF


3 다. 단계3


26/58


VAF


3 다. 단계3


27/58


OCTAVE

5. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

가. 특징

Self-Direction

의사 결정 방식을 이용

분석 팀을 결성

외주시, 반드시 의사 결정에 내부 직원이 참여

Analysis Team

조직의 사업분야와 IT분야에 대한 폭 넓은 지식이

있는 인력으로 구성

평가와 분석 업무

구성원 (3 - 5명)

자료 수집

위협과 위험 분석

보호 전략 개발

보호 계획 개발

Workshop-Based

정보 수집과 의사결정시

워크샵 기반의 접근

다양한 계층의 임직원과

면담을 통한 정보 수집

Catalogs of Info

실무 목록

위협 프로파일

취약점 목록


28/58


OCTAVE

5. OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)

Process 1 : Identify Senior Management Knowledge

Process 2 : Identify Operational Area Knowledge

Process 3 : Identify Staff Knowledge

Process 4 : Create Threat Profiles

Process 5 : Identify Key Components

Process 6 : Evaluate Selected Components

Process 7 : Conduct Risk Analysis

Process 8 : Develop Protection Strategy

Phase 1

Build Asset-Based

Threat Profiles

Phase 2

Identify Infrastructure

Vulnerabilities

Phase 3

Develop Security

Strategy and Plans

나. 평가 절차


29/58


OCTAVE


다. 계획

1) 고려 사항 • 상위 관리자의 지원 : 정보 보안 위험 측정에 가장 중요한 요소

• 분석팀 구성 : 분석팀원은 평가를 위한 충분한 지식 보유

• 평가 범위 설정 : 중요 사업부문을 고려하여 적절한 범위 설정

• 참가자 협조 : 다 계층의 참가자의 지식을 공유하여 평가

2) 평가 계획 수립 • 상위 관리자의 지원

• 분석팀 교육 및 훈련

• 참가자 선택

• 부대시설 확보

• 워크샵


30/58


OCTAVE


라. Phase 1, Build Asset-Based Threat Profiles

상위 관리자

관리자

실무자

중요자산/

가치

자산 위협

보안

요구사항

현재

보호대책

조직

취약점

워크샵

모든 정보를 통합, 중요 자산 식별, 각 중요 자산에 대한 위협을 식별

정보 자산 식별 및 우선 순위

고려 대상 식별

중요 자산에 대한 보안 요구

(기밀성, 무결성, 가용성)

현재 보호전략과 취약점 확인

프로세스 1 : 상위 관리자 지식을 식별

프로세스 2 : 사업부문 지식을 식별

프로세스 3: 실무자 지식을 식별

프로세스 4 : 위협 프로파일 작성

자산, 보안요구, 고려되는 부문 설정

주요 자산 설정

보안 요구 설정

위협 식별

분석팀은 조직의 다양한 직급의 임직원에 대해 워크샵을 개최하고 중요 자산을 식별


31/58


조직의 내부

조직의 외부

개인 시스템

OCTAVE


마. Phase 2, Identify Infrastructure Vulnerability

설계 취약점

구현 취약점 설정 취약점

프로세스 5 : 중요 요소 식별

프로세스 6 : 선택된 요소 평가

* 취약점 목록 (CVE)

요소에 대한 중요 부문을 식별

측정을 위한 기반구조 요소 식별

취약점 평가 도구를 이용

기술 취약점 재검토와 결과 종합

취약점은 정보 시스템, 보안 체계와 절차, 관리적 제어, 내부 제어, 기술 구현 혹은 물리적 설계상에서

발견되는 약한 부분을 의미


32/58


OCTAVE


바. Phase 3, Develop Security Strategy Plans 중요 자산에 대해 위험을 식별하고 보호전략을 개발하고 중요 자산의 위협에 대한 상쇄 계획을 개발

프로세스 7 : 위험분석 프로세스 8 : 보호 전략 개발

주요 자산에 대한 위협 영향 식별

위협 프로파일 작성

노출

변경

손실|파괴

방해

위험 평가 범주

중요 자산 위협의 영향 측정

보호 전략 정보를 종합

보호 전략을 설정

상쇄 계획을 설정

행동 목록을 작성

위험 정보를 재검토

보호 전략 재검토/설정

상쇄 계획 재검토/설정

행동 목록 재검토/설정

다음 단계 설정


33/58




가. 개요

• 사업 목표와 전략을 달성하기 위해 필요한 정보시스템과 관련된 정보

자원에 대한 위험 요소를 식별하고 평가하여 잠재적 위험을 통제하기

위함이다.

• 목적: 조직과 정보자산의 위험을 측정하고 측정된 위험의 허용여부를

판단 근거를 제공하며, 이를 통해 비용 효과적 대응책 수립

나. 장점

• 조직에 적절한 정보보호 관리체계 구축 가능

• 조직의 정보자산 및 운영상황 식별 가능

• 정보보호 관련 주요 사항에 관한 의사결정 시, 근거 및 정당성 제공

• 조직 환경에 적합한 실질적 정보보호 정책수립 지원

•시스템 감사 시 정보보호 관련 자료 활용이 가능

NIST

34/58



다. 위험평가 방법론 절차


1 단계: 시스템 정의

2 단계: 위협 정의

3 단계: 취약성 정의

4 단계: 통제 분석

5 단계: 가능성 결정

6 단계: 영향 분석

7 단계: 위험 결정

8 단계: 통제 권고

9 단계: 결과 문서화

H/W, S/W, 시스템역할,

데이터와 정보, 사람,

시스템 인터페이스

시스템 경계/기능

데이터 중요성

시스템 정보의 과거자료

정보기관의 자료

사전 위험평가/감사 보고서

보안 요구사항/점검결과

위협 정의문

잠재적인 취약성 목록

통제 현황 및 계획

위협-자원동기, 영향력

자연재해, 통제 현황

임무 영향력 분석

자산/데이터 중요성 분석

주변의 위협 노출/영향 정도

통제현황/계획의 적절성

통제현황/계획 목록

가능성 등급화

영향의 등급화

위험과 위험 수준

권고된 통제

위험 평가 보고서

위험평가 단계 입력 결과

NIST

35/58



1 단계: 시스템 정의 IT 시스템의 위험을 식별하기 위해서는 시스템의 프로세스 환경을 요구하는 것이

필요함

종류

하드웨어

소프트웨어

시스템 인터페이스(내외부 연결)

데이터와 정보

IT 시스템을 사용하고 지원하는 직원

IT 시스템에 의해 수행된 프로세스

시스템과 데이터의 핵심성 및 민감도

정보 수집 기술

질문서

면담

문서 검토

자동화된 도구 사용

6. Risk Management Guide for IT Systems 1

NIST

2

3

4

5

6

7

8

9

36/58



2 단계: 위협 정의 위협: 명확환 취약성을 실행하기 위한 위협-자원의 잠재성

위협자원: 취약성을 이용하는 의도, 기술, 상황 등

일반적인 위협의 자원

자연재해: 홍수, 지진, 태풍, 번개 등

사람에 의한 위협(의도적, 비 의도적)

환경적 요인 위협(전력, 공해 등)

동기와 위협

6. Risk Management Guide for IT Systems 1

2

3

4

5

6

7

8

9

NIST

위협-자원 동기 위협 행위

해커,

크래커

도전/자아 의식, 반란 해킹, 사회공학적 엔지니어링, 시스템 침해, 파괴, 비인가된 시스템 접근

컴퓨터 범죄 재정적 이익, 정보파괴, 노출, 변경

컴퓨터 범죄, 사기 행위, 스푸핑, 시스템 침해

내부자 호기심, 지식테스트,

보복, 실수 또는 태만

피고용인의 공격, 블랙메일, 컴퓨터 악용, 사기 및 절도,

정보 가로채기, 악성코드, 개인정보의 판매, 시스템 버그,

침해 사보타지, 비인가된 접근 등

37/58




취약성: 시스템 보안 절차, 설계, 구현 또는 실행하기 위한 내부 통제내의 약점과

시스템의 보안 정책의 위반이나 불이행으로 인한 결과

취약성 자원

IT시스템 평가에서의 사전 위험평가 문서

IT시스템의 감사/시스템/보안/시스템 점검 및 평가 보고서

NIST 1-CAT 취약성 데이터베이스 등의 취약성 목록(http://icat.nist.gov)

FedCIRC, DoE CIAC

업체 권고문

정보보호 업체 등의 컴퓨터 사고대응 팀

시스템 소프트웨어 보안 분석

시스템 보안 점검

자동화된 취약성 진단 도구

보안점검 및 평가

모의해킹


NIST

1

2

3

4

5

6

7

8

9

38/58

http://icat.nist.gov/



3단계: 취약성 정의 취약성과 위협 관계


NIST

1

2

3

4

5

6

7

8

9

취약성 위협-자원 위협 행위

퇴사한 피고용인의 시스템 ID가 시스템에서 삭제되지 않았다.

퇴사한 피고용인 회사의 네트워크로 접근하여

회사의 정보를 접근한다.

회사 침입차단시스템은 XYZ서버상의

inbound telnet, guest ID사용이 허용되어

있다.

비인가된 사용자들

XYZ 서버에는 telnet을 이용하고 guest ID로 시스템 파일을 열람한다.

업체는 시스템의 보안설계를 잘 이행하였다. 그러나 새로운 패치를 시스템에 적용하지 않았다.

비인간 된 사용자들

알려진 취약성을 이용하여 중요한 시스템 파일에 비인가된

접근을 한다.

데이터 센터는 화재를 진압하기 위해 스프링클러를 사용한다. 물 피해로부터 장비나 하드웨어를 보호하기 위한 방수천이 준비되지 않았다.

화재, 부주의한 직원 스프링클러가 데이터 센터에서 작동된다.

39/58



3단계: 취약성 정의 보안 요구사항 목록 개발


NIST

1

2

3

4

5

6

7

8

9

관리

운영 기술

• 책임, 의무 분장

• 비상연속성 및 사고 대응 능력

• 보안통제의 주기적 점검

• 위험 분석 및 평가

• 보안과 기술적인 훈련 및 교육

• 시스템 또는 어플리케이션의 보안 계획

• 통신(전화, 시스템 상호연결, 라우터) 등

• 암호학

• 접근제어, 인증

• 침해 탐지

• 시스템 감사

• 책임, 의무 분장

• 비상연속성 및 사고 대응 능력

• 보안통제의 주기적 점검

• 위험 분석 및 평가

• 보안과 기술적인 훈련 및 교육

• 시스템/어플케이션 보안 계획

40/58



4단계: 시스템 정의 통제 기술

시스템 취약성을 이용한 위협의 가능성을 제거하거나 최소화하기 위해

계획/구현된 통제 분석을 목적으로 한다.

기술적 통제

암호화 기술, 식별 및 인증기술, 접근통제 메커니즘 등과 같은 펌웨어

비 기술적 통제

보안 정책, 운영 절차, 인적/물리적/ 환경적 보안

통제 분류

보호 통제: 접근통제, 암호화, 인증의 통제와 보안 정책 등을 위반하는 시도를

금지하는 통제

감지 통제: 감사추적, 침입 탐지 방법과 체크섬 등의 통제와 보안 정책 등을

위반하는 시도를 감지하고 경고를 주는 통제


NIST

1

2

3

4

5

6

7

8

9

41/58



5 단계: 가능성 결정 가능성 결정 요소

위협-자원의 동기와 능력

취약성의 성질

현재 통제의 존재의 존재 및 유효성

가능성 정의


NIST

1

2

3

4

5

6

7

8

9

가능성 수준 가능성 정의

높음 위협-자원은 충분히 실현 가능하고 높은 동기가 존재하고, 취약성이 실행되는 것을 예방하기 위한 통제가 비효율이다.

중간 위협-자원은 실현 가능하고 동기가 존재하고, 통제는 취약성의 발생 가능성을 방해한다.

낮음 위협-자원은 실현 가능이나 동기가 거의 희박하고, 통제는 취약성의 발생 가능성을 충분히 방해하거나 예방이 가능하다.

42/58



6 단계: 영향 분석 영향분석: 위협과 취약성의 실행으로 일어나는 파급효과

영향분석 시 주요 고려사항

시스템 임무(IT 시스템에 수행된 프로세스)

시스템과 데이터의 핵심성(시스템 가치 또는 조직의 중요성)

시스템과 데이터의 민감성

영향분석 판단의 기준

기밀성, 무결성, 가용성의 손실


NIST

1

2

3

4

5

6

7

8

9

영향의 정도 영향의 정의

높음

• 취약성의 실행으로 인해 주요한 유형의 자산 또는 자원의 많은 비용의 손실이 발생

• 조직의 임무, 이익에 충분히 저해를 가하는 경우

• 인명피해(죽음, 부상)를 줄 수 있는 경우

중간

• 취약성의 실행으로 인한 유형의 자산이나 자원의 비용손실이 발생

• 조직의 임무, 이익에 저해를 가하는 경우

• 인명(부상)를 줄 수 있는 경우

낮음 • 취약성의 실행으로 인한 약간의 유형의 자산이나 자원의 손실

• 조직의 임무, 이익에 악영향을 주는 경우

43/58



7 단계: 위험 결정 위험결정은 IT 시스템의 위험도를 측정하기 위한 단계

위험도

위험의 크기: 높음(50보다 크고 100까지); 중간(10보다 크고 50까지); 낮음(1에서 10까지)

위험도와 필요한 행동


NIST

1

2

3

4

5

6

7

8

9

위험 수준 위험 정의와 필요한 행동

높음 즉시 조치가 필요하며, 시스템을 운영하면서 가능한 빨리 조치가 필요하다.

중간 적절한 주기 안에 조치를 취하기 위한 계획을 수립한다.

낮음 수용 가능한 위험에 대한 결정과 조치 행동이 필요한지를 결정한다.

영향

위협 가능성

낮음

(10)

중간

(50)

높음

(100)

높음(1.0) 낮음(10 * 1.0 = 10) 중간(50 * 1.0 = 50) 높음(100 * 1.0 = 100)

중간(0.5) 낮음(10 * 0.5 = 5) 중간(50 * 0.5 = 25) 높음(100 * 0.5 = 50)

낮음(0.1) 낮음(10 * 0.1 = 1) 중간(50 * 0.1 = 5) 높음(100 * 0.1 = 10)

44/58



8 단계: 통제 권고 고려사항

효과적인 권고 선택(시스템의 적합성)

법률과 규정

조직적인 정책

운영적인 정책

안전성과 신뢰도


NIST

1

2

3

4

5

6

7

8

9

9 단계: 결과 문서화 문서화

위험 평가 완료 후 식별된 위협-자원, 취약성, 측정된 위험, 권고된

통제에 대한 보고서 작성

위험보고서는 관리 보고서의 성격으로 상위 관리자와 사업 책임자들이

정책과, 절차, 예산, 시스템 운영과 관리의 변화를 할 수 있도록 의사결정을

할 수 있도록 작성

45/58



라. 위험 감소 위험평가로부터 권고된 적절한 위험 감소 통제들을 구현, 평가, 우선순위화

모든 위험을 제거는 불가능하므로 최소비용, 최적의 통제, 최소 영향을 고려

위험 감소를 위한 선택 요소(위험가정, 회피, 제한, 계획, 조사, 전이 등)

위험 감소 전략


NIST

위협-

자원

시스템

설계 취약한가? Exploit?

공격 가능한

취약성 존재 &

공격자의

비용<이익

예상되는

손실>한계점

위험 없음

위험 허용

예 예 예

아니오 아니오

예

아니오 아니오

허용 불가능한

위험

위험

존재

예

46/58



통제 구현을 위한 접근


1 단계: 행동의 우선순위를 결정

2 단계: 권고된 통제 선택의 평가


4 단계: 통제의 선택

5 단계: 의무의 할당

6 단계: 보호대책 구현

7 단계: 선택된 통제의 구현

위험평가보고서를 통한 위험수준

높음에서 낮음으로

행동 순위화

가능한 통제 항목

비용 효과적인 분석

선택된 통제

의무가 할당된 사람 목록

보호대책 구현 계획

잔여 위험

위험 감소 행동 입력 결과

NIST

수행 가능성, 유효성

구현(구현되지 않을 때)의 영향, 관련 비용

위험과 관련 위험수준, 순위화된 행동,

권고된 통제, 선택/계획된 통제,

개시/목표완료 날짜, 유지보수 요구사항

위험평가보고서

47/58



잔여 위험과 구현된 통제 새로운 통제와 추가된 구현

시스템의 취약성을 제거, 가능한 위협-취약성 쌍을 감소

위협-자원의 동기를 감소시키기 위한 대상이 되는 통제를 추가

파급 영향의 등급을 감소


NIST

결함이나 오류의

수를 감소

대상이 되는 통제를

추가

영향의 규모를 감소

새로운/증진된

통제 잔여 위험

마. 성공을 위한 요소 고급관리자의 수행

IT팀의 자발적 지원과 참여

위험 분석팀의 능력

직원들의 인식 및 협력

IT 관련된 임무에 대한 지속적인 분석 평가

48/58


7. 취약점 분석·평가 방법론


가. 개요

취약점 분석

평가 절차

전담반 구성,

분석/평가 계획 수립

취약점 분석

평가 대상 선별

현 보호대책 및

위협. 취약점 분석

취약점 분석평가

전담반 구성

IT 부서원

사업영역별 직원

기타(내외부 전문가)


취약점 분석 평가 수행방법

점검항목

절차

기간

소요예산

위협요인 분석

발생원인 및 빈도와 파급효과 분석

시설의 특수성 고려, 점검항목 마련

취약점 확인/분석

취약점 탐지도구 이용 취약점 탐지

취약점에 대한 구조적 분석

현 보호대책의 관계성 분석

위협요인과 취약점과 상관관계 분석

침해사고 발생 가능성 및 발생시 영향력 분석

위협 요인 평가

자산기반의 위협 평가

취약점 평가

위협과 취약점 관계성 평가

도구를 이용한 평가

현 보호대책 및 종합평가

현 보호대책 평가

최종보고서

평가범위 결정

시설 구성 및 기술 구성 식별

사업업무 식별

중요 사업업무별 자산 식별

중요 자산에 대한 위협 식별

위협으로 인한 취약점 식별

평가 요구사항

면담, 실사, 문서검토

세부자산 목록 및 구성도 작성

사업업무별 중요도 부여

49/58




자산분석

자산조사

자산가치 산정

자산범위 설정

자산목록 작성

Business Process 설정

가치산정기준

정량산정

정성산정

범위설정기준

범위설정

자산항목별 분류 및 조사

Process별 분류 및 조사

위치(조직)별 분류 및 조사

나. 자산 분석

50/58




다. 위협 분석

위협 분석

위협 식별

위협 순위

위협 유형

위협 파악

위협 목록

위협 속성 분석

식별된 위협

위협 시나리오

위협 속성

위협/자산 Mapping

위협/취약점 Mapping

51/58




위협의 유형

물리적 접근

네크워크

의도적 위협

외부인에

의한 위협

내부인에

의한 위협

물리적

위협

기술적

위협

절도

테러

. .

유해 프로그램

해킹

. .

물리적

위협

기술적

위협

절도

테러

. .

유해 프로그램

해킹

. .

비의도적

위협

사람에

의한 위협

조작실수/미숙

데이터 유출

자연재해

화재

수해

지진

시스템

결함

조작실수/미숙

데이터 유출

접근경로 동기 행위자 결과

52/58




라. 취약점 분석

취약점 분석

취약점 속성

취약점 산출

자산과의 Mapping

취약점 중요도

취약점과 위협 Mapping

취약점 분석

취약점 등급 기준

취약점 분류

53/58




마. 자산, 위협, 취약점, 보호대책의 관계

행위자 1

행위자 2

행위자 3

위협 1

위협 1

내부자

외부자

계약자

고장/오류

자연재해

기타

취약점 1

취약점 2

취약점 3

자산 2

자산 1

자산 3

피해 1

피해 2

피해 3

피해 4

대책 1

대책 2

대책 3

대책 4

근원자 위협 DB 위협 유형 취약점 DB 자산 영향 대책 DB

54/58




바. 주요 정보통신기반시설 취약점 분석 평가 방법론(CI2RA M1)

현황 분석 취약점 분석 위험평가 대책권고

110

210

요구사항분석

자산 분석

111

자료 요청

112

면담

113

요구명세 작성

120 범위 선정

121

업무현황 파악

122

핵심업무 선정

123


211

자산 분류

230 취약성 분석

231

취약성 식별

232

취약성 평가

410 보호대책 권고안

411

대책 권고안 작성

55/58





현황 분석 취약점 분석 위험평가 대책권고

110

210

220

요구사항분석

자산 분석

위협 분석

111

자료 요청

112

면담

113

요구명세 작성

120 범위 선정

121

업무현황 파악

123


211

자산 분류

212

자산 평가

221

위협 식별

222

위협 평가


231

취약성 식별

232

취약성 평가

310 위험 평가

311

위험 산정

312

위험 평가


411


56/58





110

210

220

요구사항분석

자산 분석

위협 분석

현황 분석 취약점 분석 위험평가

111

자료 요청

112

면담

113

요구명세 작성

120 범위 선정

121

업무현황 파악

122

핵심업무 선정

123


211

자산 분류

212

자산 평가

221

위협 식별

222

위협 평가


231

취약성 식별

232

취약성 평가

310 위험 평가

311

위험 산정

312

위험 평가


411


대책권고

57/58


8. 결론


가. 향후 계획

취약점 분석·평가 가이드라인

모의해킹 방법 가이드라인

교육 프로그램

취약성/보호대책 DB 구축 및 업데이트

각 종 지침서 작성 및 배포

정보보호 점검항목 작성 및 업데이트

위험분석 자동화 도구

정보통신기반보호법 지원

취약점 스캐닝 자동화 도구

취약점

분석/평가

전담반 구성,


취약점 분석

평가 대상 식별

기반구조의

취약성 식별

보안위험관리

전략수립

58/58

주요 정보통신기반시설 취약점 분석 평가c1%b6%c5%c2%c8%f1.pdf · 보안부문에...

Documents