네트워크 환경 및 네트워크 장비에 대한 보안성 검토 실시
∙ 네트워크 구성분석
∙ 운영 및 모니터링 관리
∙ 네트워크 구성, 접근제어, 가용성
∙ 패스워드/로그/원격관리, 보안설정
통합 검색
통합 검색
보안 취약점 진단
정보처리시스템 및 개발과정에서 발견된 취약점에 대한 보호대책을 수립
보안 취약점 진단 대상
인프라
취약점
진단
취약점
진단
웹
취약점
진단
취약점
진단
소스코드
약점진단
약점진단
인프라 취약점 진단
네트워크
→ 네트워크를 통한 보안 위협 최소화
서버/DB
서버의 OS, DB에 대한 계정관리, 서비스 보안 등 다각적인
취약점 진단
∙ 보안정책 및 접근통제 관리
∙ TCP/IP 구성, 운영체제 취약점
∙ 계정관리, 파일시스템, 불필요서비스
∙ 원격접속, 감사정책, 레지스트리
∙ 응용서비스, 보안설정, 패스워드
→ 가용성, 무결성, 기밀성 확보
보안장비
방화벽, IDS, VPN 등의 보안시스템에 대한 보안성 검토 실시
∙ 보안시스템의 설정 구조, 기능 및 운영관리상의 취약점 진단
→ 시스템 운영의 적절성 확보
웹 어플리케이션
웹 어플리케이션에 대한 고유 취약점 제거
∙ 인증/권한 우회
∙ 정보노출
∙ 정보변경
∙ 접근통제
→ 시스템 운영의 안전성 확보
웹 취약점 진단
1. 모의해킹 대상 및 점검 항목 선정
· 대상기업 클라우드 서비스 환경 분석 모의해킹 대상 선별
· 주요 침투 가능 경로 및 연동 시스템(웹, 앱, 클라우드 접속 환경 등)
· 웹 환경으로 구축 및 운영 중인 핵심 정보 시스템 대상
· 모의침투는 기업 외부 블라인드 테스트 수행 기준
2. 중점 점검 항목 결정
· 점검 대상별, 시스템 환경별 주요 취약점 점검 대상 분석
· 주요 대상 별 점검 항목 확인 및 최신 트렌드 수집
3. 시나리오 기반 모의해킹 수행
· 외부자 관점의 시나리오 수립
· 접근 가능한 다양한 시나리오 작성, 검증 수행
· 점검 수행 중 발견된 취약점 활용 신규 시나리오 개발
4. 도출 취약점에 대한 대응방안 및 개선지원
· 모의해킹 점검 도출 취약점에 대한 개선 조치 지원
· 개선 완료 후 이행 점검을 통한 취약점 제거 확인 지원
소스코드 약점진단
소스코드 진단 개요
· 소스코드 진단은 행정안전부 시큐어코딩 가이드 47개 보안 약점 검출
·소프트웨어 보안 약점 진단원 투입을 통한 소스코드 진단 수행
소스코드 보안 약점 분석 단계
1. 프로젝트 생성
2. 진단 대상 프로젝트 소스코드 디렉터리 지정 및 일괄 분석 배치 파일 생성
3.프로젝트 환경에 맞는 커맨드/GUI 분석 수행
4. 분석 결과 수행
정오탐 분석
· 개발자의 코딩 의도 및 해당 코드
사용빈도, 시스템 내 중요도 등을
고려
· WAS 설정 등 시스템 설정에
대하여 고려
· 개발 표준 정의서 등 설계 문서 고려
결과 분석
· 시스템 환경을 고려하여 분석 결과에 대한 대응 방안 수립
· 정탐코드와 제외 항목에 대한
의견 작성
소스코드 진단 방법론
