정보보안-이론
1. RMF에 대하여 -일반사항-
정보보안을 하고 CAP라는 RMF자격을 취득하고 여러가지 RMF에 관한 일들을 해왔는데, 정작 그 RMF가 무엇인지 어딘가 에 제대로 정리한 적이 없는거 같다. 공부하면서 알게된 지식을 여럭분들에게도 나누어 드릴까 하여 RMF에 관한 정보를 작성해보려고한다. 바로 시작하자 RMF란? RMF의 풀네임은 Risk Managment Framework이다. 우리말로하면 위험관리프레임워크이다. 우선 단어 해석을 해야되겠다. 나름대로 정리를 해서 단어를 풀어써보았다. '위험'은 위협원이 발생시키는 위협으로 취약점이 공격당했을때 나오는 영향의 종합적인 말이다. 흔히 위험을 계산한다고 할때 (가능성) X (영향)이라는 공식을 많이 사용한다. 요지는 이 '위험'을 '관리'하는 '프레임워크'라는 것이 RMF라는 것이다. ..
정보보안 통제에 대하여
통제(Control), 정보보안에서 빼놓을 수 없는말이다. 통제 그 자체를 의미하는 NIST 800-53문서에서 통제에 대한 정의는 다음과 같다. A measure that is modifying risk. (Note: controls include any process, policy, device, practice, or other actions that modify risk.) '위험을 변경하기 위한 조치. (참고 : 통제는 어떠한 절차, 정책, 장치, 노력, 혹은 다른 위험을 변경하는 활동을 의미합니다.' * 출처 : NIST 800-53 rev 5 위험을 관리하기 위한 조치라 함은 어떤것일까? 가령 전산실에 도난을 방지하기 위해서 자물쇠를 사용해서 문을 관건하였다면 이는 '통제'이다. 또한 회사원..
SOC에 대하여
SOC(Service Organization Controls) Report에 대해서 들어본 사람이 있을까? 이게 무엇이며 왜 필요한지 또한 모르는 사람들도 많을 것이다. 결론 부터 말하면 이것은 잠재적인 고객이 조직의 보안 통제 평가를 확인 할 수 있는 보고서이다. 서론 보안통제 항목의 평가나 감사활동의 결과, 침투테스트의 결과는 모두 비밀로 여겨지고는 한다. 조직의 취약성이 들어나는 곳이기도 할뿐더러, 어떠한 통제항목이 적용되어 평가되는지에 대한 내용은 조직입장에서는 지켜야할 자산이지만, 잠재적인 고객의 입장에서는 이를 모르는 상태로 나의 정보를 맡기거나 서비스를 위탁하는부담이 있을 것이다. 이에따라 정보누출 수준별로, 통제의 민감성에 따른 정보통제결과를 보고서화 할 수 있는 표준이 필요하였으니, 바로..
[KISA 주요정보통신기반시설] W-14 IIS 불필요한 파일 제거
일반사항 점검내용 : IIS 설치 시 기본적으로 제공되는 불필요한 파일 제거 여부 점검 점검목적 : IIS 서비스 설치 시 기본으로 설치되는 예제 스크립트, 설명서, 샘플 애플리 케이션, 디렉토리 등 서비스에 불필요한 IIS 모듈을 제거하여 불필요한 공격 대상으로 이용되는 것을 방지하기 위함 보안위협 : IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않 을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위 험이 존재함 점검대상 및 판단기준 대상 : Windows 2000, 2003 판단기준 양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우취약 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉..
[KISA 주요정보통신기반시설] W-13 IIS 상위 디렉토리 접근 금지
일반사항 점검내용 : IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검 점검목적 : “..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함 보안위협 : 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근 하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함 참고 : “..” 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것 을 권장함 점검대상 및 판단기준 대상 : Windows 2000, 2003, 2008, 2012, 2016, 2019 판단기준 양호 : 상위 디렉토리 접근 기능을 제거한 경우 취약 : 상위 디렉토리 접근 기능을 제거하지 않은 경우 ..
[KISA 주요정보통신기반시설] W-12 IIS CGI 실행 제한
일반사항 점검내용 : IIS CGI 실행 제한 설정 여부 점검 점검목적 : CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함 보안위협 : 게시판이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음. 참고 CGI(Common Gateway Interface): 사용자가 서버로 보낸 데이터를 서버에서 작동중인데이터처리프로그램에 전달하고, 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램 일반적으로 기본 CGI 디렉토리(C:\inetpub\scripts)는 사용하지 않음 점검대..