주요정보통신기반시설 가이드 - 취약점 진단

주요정보통신기반시설 가이드

https://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

 

스크립트 결과물 파일을 이용하여 취약점 진단을 하였다. (스크립트 결과물 파일 공유는 하지 않음.)

 

뉴스 관련 웹 서비스업을 하는 기업을 대상으로 기준을 두었으며, 그에 따라 웹서비스의 가용성 > 무결성 > 기밀성 순서로 중심을 두고 수행.

 

3가지 평가 항목(취약성 평가-V, 자산 평가-A, 위협 평가-T)을 도출하여 위험 평가를 실시한 후, DoA 선정 하였으며

이것을 바탕으로 위험관리를 도출.

 

첫 번째, 자산 평가

• 가용성 (1,2,3)
  • 1순위는 업무에 차질이 생겨 1시간 이하로의 조치가 이루어져야 함,
  • 2순위는 하루내 조치가 이루어져야 함,
  • 3순위는 하루이상 나둬도 피해가 미약하거나 미미함을 기준을 두었습니다.

 

• 무결성 (1,2,3)
  • 1순위는 뉴스기사나 관리 DB에 내용 변조를 통하여 금전적인 피해를 입음.
  • 2순위는 내용 변조로 인한 서비스 불편함을 야기.
  • 3순위는 내용 변조로 인한 서비스 영향이 미미함.

 

• 기밀성 (1,2,3)
  • 1순위는 관리자 권한 탈취나 이로 인한 2차적인 기밀성 피해가 발생이 되었을 때
  • 2순위는 권한 탈취로 전체적인 피해가 발생이 되었을 때,
  • 3순위는 권한 탈취로 인한 피해가 미미함을 나타냄.

 

두 번째, 위협 평가

• 관리 운영, 네트워크 문제, 서비스 실패나 거부, 서버의 영향으로 가용성에 문제를 두었을 때, 3점
• 정보처리 프로세스 변조, 웹 서비스 공격으로 인한 무결성에 문제를 두었을 때, 2점
• 기타 재해나 운영 미분리, 인적 자원 등에 1점을 부여

 

세 번째, 취약성 평가

• 주요정보통신기반시설 취약점 점검의 평가 항목의 중요도를 포함하여 상, 중, 하로 가치를 두었고, 해당 점검 항목과 위협 평가에서 선정된 항목을 매핑.

 

네 번째, 위험 평가

• 자산 평가 + 취약성 평가 + 위협 평가 = 위험을 도출하여 상, 중, 하로 순위를 측정하고 DoA값을 선정하여 마스터 플랜 계획 수립.

 

위험 관리

• 총 15대의 장비에서 점검 항목 900개 중에서 200개가 선정이 됨.
• 200개의 항목에서 우선 순위를 두어 다시 분류하여 단기, 중기, 장기 정책들을 선정이 가능해지며 위험을 식별하고 관리할 수 있게 함.

 

마스터 플랜

위험 관리에 진단된 항목들 중에서 긴급성과 영향도를 두어

핵심과제를 지정하여 도출한다.

 

핵심과제를 단계별 과제로 만들어 이행수립 절차를 수립하여 추진 계획을 만든다.

 

우선순위를 선정하여 단기, 중기, 장기 정책을 만들어 보안 정책 및 개선을 실시한다.