위
아래

진단 및 평가를 통한 보안수준 향상

정보보안진단

    부서별 연락처
  • CC평가
  • 02-400-8221
  • 정보보호제품성능평가
  • 070-4946-4065
  • 단말기보안시험
  • 02-2054-3244
  • 정보보안진단
  • 070-4946-4061
  • 시험 서비스
  • 070-4946-4066
  •     홈   >    정보보안진단  >    시스템 취약점 진단
  • 시스템 취약점 진단

  • 정보시스템의 안정성 확보를 위해 시스템상의 설정 오류를 확인하고 분석하여 대응방안을 제시합니다.
  • 개요

    • 인공지능(AI), 클라우드 서비스(Cloud Service), 사물인터넷(IoT)을 비롯한 최신 IT 기술 발전에 따라 우리의 실생활에 많은 편리함을 가져다주고 있다. 하지만 이러한 발전은 보안분야의 새로운 위협을 증폭시키고 있습니다.
    • 클라우드 보안 연합(Cloud Security Alliance, CSA)이 발표한 ’클라우드 컴퓨팅에 대한 주요 위협:산업 인사이트 보고서’에 따른 클라우드 보안문제에 관련된 12가지 주요 문제를 심각도 순서대로 나열했하였습니다.

    • 클라우드 관련 주요 보안문제
      1. 데이터 유출 2. 불충분한ID, 인증 정보 및 접근 권한 관리
      3. 안전하지 않은 인터페이스 및 API 4. 시스템 취약점
      5. 계정 하이재킹 6. 악의적 내부자
      7. APT(Advanced Persistent Threats) 8. 데이터 손실
      9. 불충분한 실사 10. 클라우드 서비스 오용 및 악용
      11. 서비스 거부 공격(Denial of Service) 12. 공유 기술 취약성

    • 상위 2위와 4위를 차지하는 2가지 취약점(불충분한 ID, 인증 정보 및 접근 권한, 시스템 취약점)은 공격자가 컴퓨터 시스템 침투하여 데이터를 조작하거나 서비스를 중단하는 행위입니다.
    • 이러한 문제점을 해결하기 위해 ㈜한국아이티평가원에서는 고객사의 대·내외 서비스와 시스템에 대하여 자체 제작한 체크리스트 기반으로 진단을 진행하게 되며, 발견된 취약점이 시스템에 미치는 영향을 파악하여 보안대책을 제시함으로써, 침해사고 예방 및 서비스의 안전성을 확보하는데 목적을 가집니다.

    진단항목

    • 진단 항목은 행정안전부, 한국인터넷진흥원, 벤더사 권장 설정, SANS1), CCE2), CWE3) 등에서 권고하는 주요 항목으로 커스트 마이징되어 수립되었습니다.
    • 구분 진단 항목
      운영체제(OS) PC, Mac OS 계정관리, 서비스관리, 패치관리, 보안관리
      Windows Server 계정관리, 서비스관리, 패치관리, 로그관리, 보안관리
      Linux 계정관리, 파일 및 디렉터리관리, 서비스관리, 패치관리, 로그관리
      데이터베이스(DB) 서버 계정관리, 보안설정, 패치 및 로그관리
      정보보호 시스템 계정관리, 접근관리, 패치관리, 로그관리, 기능관리
      웹(Web) 서버 보안설정, 접근관리, 패치관리
      웹 애플리케이션 서버(WAS) 계정관리, 보안설정, 패치 및 로그관리
      네트워크 장비 계정관리, 접근관리, 패치관리, 로그관리, 기능관리
      가상화 솔루션 XenServer 계정 관리, 파일 시스템, 네트워크 서비스 및 주요 응용 설정, 하이퍼바이저 정책 설정, 패치 및 로그 관리
      ESXi 계정 관리, 보안 관리, 패치 및 로그 관리
      Docker Host 설정, 도커 데몬 설정, 도커 데몬 설정 파일, 컨테이너 이미지 및 빌드 파일, 컨테이너 런타임
      OpenStack 파일 권한 관리, 암호화, 보안 설정
      Hyper-V 파일 관리, 보안 설정, 패치 관리

    진단절차


    1) SANS(SysAdmin, Audit, Network, Security) : 네트워크 관리자, 최고 정보보안 책임자 등 다양한 IT 종사자 간 정보를 공유하고 문제 해결을 위한 해결책을 공동으로 찾는 공동 연구 교육 기관임
    2) CCE(Common Configuration Enumeration) : 시스템의 취약한 설정에 대한 점검으로 취약점 관리, 측정을 위해 NIST가 개발한 SCAP(Security Content Automation Protocol)에서 사용하는 개방형 표준 중 하나임
    3) CWE(Common Weakness Enumeration) : 개발자 및 보안 실무자를 대상으로 만들어진 공식 소프트웨어 취약점 목록으로 아키텍처, 설계 또는 코드의 소프트웨어 보안 취약점을 설명하기 위한 공통 언어 역할을 하며, 취약점 식별, 완화 및 예방에 대한 표준을 제공함
    • 미래창조과학부
    • 국가기술표준원
    • IT보안인증사무국
    • 여신금융협회
  • 부서별 연락처
    대표번호 · CC평가 : 02-400-8221단말기보안시험 : 02-2054-3244
    정보보안진단 : 070-4946-4061시험 서비스 : 070-4946-4066
    주식회사 한국아이티평가원
    대표이사 : 윤여웅 ㅣ 사업자등록번호 : 215-87-17439
    서울특별시 송파구 송파대로 167(문정동 651) 문정역테라타워 A동 513호
    Copyright © 한국아이티평가원 All Rights Reserved.