주요정보통신기반시설
기술적 취약점 분석ㆍ평가 방법 상세가이드 (2017.12)
기술적 취약점 분석ㆍ평가 방법 상세가이드 (2017.12)
1. 개요
주요정보통신기반시설 관리기관은 정보통신기반보호법 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월 이내, 그리고 매년 취약점 분석·평가를 실시하여야 한다.
취약점 분석·평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응위 위한 종합적 개선 과정이다.
한편, 취약점 분석·평가를 수행함에 있어 기술적 점검은 시스템에 대한 실제 보안 값 설정에 관한 것으로, 각 시스템에 대한 명령어 코드(Command), 메뉴 구성(UI)과 같은 기술적인 사항을 충분히 숙지하여야 가능하기에 주요정보통신기반시설 담당자들의 어려움이 따르게 된다.
이런한 기술적 점검에 대한 어려움을 해소하고, 주요정보통신기반시설 담당자들의 이해를 돕기 위해 과학기술정보통신부와 한국인터넷진흥원에서는 전체 313개 기술적 점검항목에 대한 가이드를 발간하게 되었다.
각각의 점검항목이 의미하는 위험내역 설명과 함께, 점검방법 및 조치방법을 실제 시스템 입력화면 등을 확용하여 상세 설명하였으며, 특정 벤더사의 제품으로 한정하지 않고 대표적인 벤더사 제품별로 구분하여 설명을 제시하였다.
특히, 이번 개정판 에서는 Windows 10 · 2012 server, TIBERO, ALTIBASE 등 영역별 신규시스템을 추가하여 담당자들의 활용성을 더욱 높였다.(뉴딜코리아)
2. 목적 및 구성
□ 목적 : 주요정보통신기반시설 담당자의 기반시설 보호 역량강화를 위한 기술적 안내 제공
□ 대상 : 주요정보통신기반시설 정보보호 담당자
□ 범위 : 주요정보통신기반시설 기술적 취약점 분석·평가 항목 313개
□ 구성 : 기술적 점검 기준(313개 항목)의 항목 설명, 점검(설정확인) 방법, 조치 방법(Unix, Windows, 보안장비, 네트워크장비, 제어시스템, PC, DBMS, Web)
□ 활용 : 주요정보통신기반시설 기술적 취약점 분석 및 보안조치 시 활용
<유의 사항>
○ 본 가이드는 기술적 취약점 분석·평가 항목별 점검 방법의 이해를 돕기 위해 발간된 것으로, 수록된 점검 방법은 취약점 분석·평가 수행 중 활용할 수 있는 참조의 대상일 뿐, 절대적이지 않습니다.
더욱이 점검 대상의 세부 버전, 패치 내용 등에 따라 점검 방법은 언제든지 변경 될 수 있습니다.
따라서 본 가이드에 수록된 내용 이외에도 다양한 점검 방법을 사용하여 취약점 분석평가를 수행하시기 바랍니다.
○ 본 가이드의 수록된 판단기준은 일반적으로 통용되는 권고사항으로, 양호 혹은 취약을 가르는 실제 판단기준은 각 주요정보통신기반시설 현업에 적용되고 있는 다양한 정책 및 운용 상황을 고려하여 취약점 분석·평가 수행자가 최종적으로 결정해야 합니다.
예를 들어 본 가이드에 수록된 판단기준에 의하여 취약판단을 받게 되어도 그 위험을 부담할 수 있는 합당한 보안조치와 근거를 수반하고 있다면 양호로 판단할 수 있습니다.
○ 본 가이드를 교육기관 등에서 교육 자료로 활용하는 것을 권장하지 않습니다.
○ 본 가이드에 수록된 점검 및 조치 사례는 시스템 유형별로 다음(표. 분야별 점검대상 테스트 세부 버전) 버전에서 실증 되었습니다.
○ 개선 사항(취약점 개요, 점검 방법, 조치 방법 등)에 대한 의견을 항상 소중히 듣겠습니다. (한국인터넷진흥원)
댓글 없음:
댓글 쓰기