본문으로 바로가기

- 시스템 보안에 대한 6가지 보안 주제

계정과 패스워드 관리

적절한 권한을 가진 사용자를 식별하기 위한 가장 기본적인 인증 수단

시스템의 모든 자원은 사용자 계정으로 접근이 가능하다. 


세션 관리

사용자와 시스템, 시스템과 시스템 간의 접속에 대한 관리

일정 시간이 지나면 자동으로 세션을 종료하고 비인가자에 의한 세션 가로채기를 차단


접근 제어

시스템 또는 서비스가 공격자로 부터 적절히 보호될수 있도록 네트워크 관점에서 접근 통제


권한 관리

시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산을 접근할 수 있도록 통제


로그 관리

시스템 또는 네트워크를 통한 외부에서 시스템에 영향을 미칠 경우 해당 사항을 기록


취약점 관리

시스템 자체의 결함을 체계적으로 관리하는 것이 중요



- 계정과 패스워드 관리

사용자 계정과 패스워드 -> 가장 기본적인 인증 수단


패스워드 보안의 4가지 인증 방법

1. 알고 있는 것 (Something You Know)

알고 있는 정보를 이용하여 인증하는 방법 (EX: 패스워드, PIN 번호)

2. 가지고 있는 것 (Something You Have)

신분증이나 OTP(One Time Password) 장치를 통한 인증방법 (EX: 출입카드, 사원카드)

3. 스스로의 모습 (Something You Are)

생체 정보를 통해 인증하는 방법 (EX: 지문인식, 홍채인식)

4. 위치하는 곳 (Something You Are

현재 접속을 시도하는 위치의 적절성 (EX: 콜백) 



계정 관리

운영체제 계정 관리

데이터베이스 계정 관리

응용프로그램 계정 관리

네트워크/보안 장비의 계정 관리


패스워드 관리

약한 패스워드 사용 금지

길이가 너무 짧거나 NULL 패스워드 점검

사전에 나오는 단어나 이들의 조합

키보드 자판의 일련 나열

사용자 계정 정보로 유추 가능한 단어들

좋은 패스워드

기억하기 쉽고, 크래킹하기 어려운 패스워드

패스워드 관리 정책 설정

패스워드 설정 정책 ( EX: 패스워드 최소 길이와 복잡도 설정)

패스워드 변경 정책 ( EX: 60일 또는 90일에 한번씩 패스워드 변경)

잘못된 패스워드 입력시 계정 잠금 ( EX: 반복적인 잘못된 패스워드 입력에 대한 계정 잠금 기능 설정)


공격 방법

무작위 대입 공격

사전 파일 공격

기본 사용자/ 암호 공격



- 세션 관리

사용자와 컴퓨터 또는 두 컴퓨터 간의 활성화된 접속

세션에 대한 지속적인 인증 (Continuous Authentication)

지속적인 점검 세션 점검


공격 방법

세션 하이재킹 (Session Hijacking)

네트워크 패킷 스니핑 (Packet Sniffing)



- 접근 제어

적절한 권한을 가진 사용자만 특정 시스템이나 정보에 접근할 수 있도록 접근 통제

시스템이나 네트워크에 대한 접근 제어에 기본은 IP와 서비스 포트 제어

 -> 호스트 접근 제어, 사용자 접근 제어


호스트/ 네트워크 접근 제어

운영체제 접근 제어 (EX: OS Firewall, tcp_wrappers)

데이터베이스 접근 제어 (EX: Oracle(sqlnet.ora))

응용 프로그램 접근 제어 (EX: Firewall, 각 서비스 설정 파일)

네트워크 장비 접근 제어 (EX: ACL)


사용자 접근 제어 

각 서비스에 해당하는 설정파일에 존재



- 로그 관리

운영체제 로그 관리

데이터베이스 로그 관리

응용 프로그램 로그 관리

네트워크 장비 로그 관리

(EX: 통합 로그 관리 시스템(SIEM( Security Information and Event Management)))



- 취약점 관리

패치 관리

응용 프로그램별 위험 관리

응용 프로그램을 통한 정보 수집 제한



[참고 사이트]

한국 인터넷 진흥원 기술안내서 가이드

http://www.kisa.or.kr/public/laws/laws3.jsp


HP-UX 보안가이드라인

http://wikisecurity.net/guide:hpux


AIX 보안가이드라인

http://wikisecurity.net/guide:aix


무선랜보안가이드

http://wikisecurity.net/guide:무선랜보안가이드


Citrix XenServer 보안가이드라인

http://wikisecurity.net/guide:xenserver_5.6


Windows 2003 보안가이드라인

http://wikisecurity.net/guide:win2003