N-04 VTY 접근(ACL) 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 원격 터미널(VTY) 통해 네트워크 장비 접근 시 지정된 IP에서만 접근이 가능하도록 설정되어 있는지 점검 ■ 점검목적 지정된 IP 만 네트워크 장비에 접근하도록 설정되어 있는지 점검하여 비인가자의 터미널 접근을 원천적으로 차단하는지 확인하기 위함 ■ 보안위협 지정된 IP 만 네트워크 장비에 접근하도록 설정되어 있지 않을 경우, 비인가자가 터미널 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)을 시도하여 관리자 계정 패스워드 획득 후 네트워크 장비에 접근하여 장비 설정 (기능, ACL정책) 변경 및 삭제 등의 행위를 통해 네트워크 장비를 경유하는 데이터의 유출 및 가용성 저하 등을 발생 시킬 수 있는..
N-05 Session Timeout 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 기관 정책에 맞게 Session Timeout 설정이 적용되어 있는지 점검 ■ 점검목적 Session Timeout 설정 유무를 점검하여 터미널 접속 후 일정 시간(Session Timeout 지정 시간)이 지난 뒤 터미널 세션이 자동으로 종료되어 관리자의 부재(터미널 작업 중 자리 비움, 작업 완료 후 터미널 접속을 종료하지 않음) 시 발생 가능한 비인가자의 터미널 접근 통제가 되는지 확인하기 위함 ■ 보안위협 Session Timeout 정책이 적용되지 않았을 경우, 관리자 부재 시 비인가자가 네트워크 장비 터미널에 접속된 컴퓨터를 통해 네트워크 장비의 정책 변경 및 삭제 등의 행위를 할 수 있는 ..
N-03 암호화 된 패스워드 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 계정 패스워드 암호화 설정이 적용되어 있는지 점검 ■ 점검목적 계정 패스워드 암호화 설정 유무를 점검하여 비인가자의 네트워크 장비 터미널 접근으로 인해 발생할 수 있는 장비 내 계정 패스워드 유출에 대비가 되어 있는지 확인하기 위함 ■ 보안위협 계정 패스워드 암호화 기능이 설정되어 있지 않을 경우, 비인가자가 네트워크 터미널에 접근하여 장비 내에 존재하는 모든 계정의 패스워드를 획득할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 패스워드 암호화 설정을 적용한 경우 취약 패스워드 암..
W-59 IIS 웹서비스 정보 숨김 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 IIS 웹서비스 정보 숨김 설정 여부 점검 ■ 점검목적 IIS 웹서비스 운용 시 에러 페이지, 웹 서버 종류, 사용 OS, 사용자 계정이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함 ■ 보안위협 IIS 웹서비스 정보 숨김 설정이 적용되지 않은 경우 악의적인 사용자에게 불필요한 정보가 노출되어 외부 공격을 위한 기초 자료로 이용될 수 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우 취약 웹 서비스 에러 페이지가 별도..
W-60 SNMP 서비스 구동 점검 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 서비스 구동 여부 점검 ■ 점검목적 취약한 SNMP 서비스를 비활성화 하여 시스템의 주요정보 유출 및 불법수정을 방지하기 위함 ■ 보안위협 취약한 SNMP 서비스를 사용하는 경우 서비스거부공격(DoS, DDoS), 버퍼오버플로우, 비인가 접속 등의 공격의 위험이 있음 ■ 참고 ※ SNMP: SNMP(Simple Network Management Protocol)는 MIB(Management Information Base)에 기반한 네트워크 망을 관리하기 위한 목적으로 만들어진 프로토콜로, 간단한 명령으로 원격 시스템의 CPU정보에서부터, 인터페이스 트래픽량 등 여러 가지 정보를 확인 가능 점검대상..
W-62 SNMP Access control 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 패킷 접근 제어 설정 여부 점검 ■ 점검목적 SNMP 트래픽에 대한 접근 제어 설정을 하여 내부 네트워크로부터의 악의적인 공격을 차단하기 위함 ■ 보안위협 SNMP Access control 설정을 적용하지 않아 인증되지 않은 내부 서버로부터의 SNMP 트래픽을 차단하지 않을 경우, 장치 구성 변경, 라우팅 테이블 조작, 악의적인 TFTP 서버 구동 등의 SNMP 공격에 노출될 수 있음 ■ 참고 ※ SNMP(v1, v2c)에서 클라이언트와 데몬간의 get_request(요청)와 get_response(응답) 과정은 암호화가 아닌 평문으로 전송되므로 스니핑(sniffing)이 가능함 ..
N-02 패스워드 복잡성 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 네트워크 장비에 기관 정책에 맞는 계정 패스워드 복잡성 정책이 적용되어 있는지 점검 패스워드 복잡성 정책 설정 기능이 장비에 존재하지 않을 경우 기관 정책에 맞게 계정 패스워드를 설정하여 사용하는지 점검 ■ 점검목적 패스워드 복잡성 정책이 장비 정책에 적용되어 있는지 점검하여 비인가자의 네트워크 장비 터미널(콘솔, SSH, https 등) 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비 여부를 확인하기 위함 ■ 보안위협 패스워드 복잡성 정책이 적용되어 있지 않을 경우 계정 생성 후 초기 패스워드 설정 및 기존 패스워드 변경 시 패스워드 복잡성 제약 규칙을 적용받지 않아 취약한 패스워드(예 qw..
W-61 SNMP 서비스 커뮤니티스트링의 복잡성 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 서비스 커뮤니티 스트링(Community String) 적절성 점검 ■ 점검목적 SNMP에서 일종의 패스워드로 사용하는 Community String을 유추할 수 없는 복잡한 값으로 변경하여 불필요한 시스템 정보 노출을 차단하기 위함 ■ 보안위협 Community String 설정을 변경하지 않고 public, private 등 Default 설정 값으로 사용하는 경우, 기본 String 값을 통한 시스템의 주요 정보 및 설정 상태의 비인가자 노출 위험이 존재 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2..
D-05 원격에서 DB 서버로의 접속 제한 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검 ■ 점검목적 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검하여 비인가자의 DB 서버 접근을 원천적으로 차단하고자 함 ■ 보안위협 DB 서버 접속 시 IP주소 제한이 적용되지 않은 경우 비인가자가 내·외부망 위치에 상관없이 DB 서버에 접근할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : OS, Oracle, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호 DB서버에 지정된 IP주소에서만 접근 가능하도록 제한한 경우 취약 DB서버에 ..
PC-19 원격 지원을 금지하도록 정책 설정 ■ 점검영역 : 보안관리 ■ 항목 중요도 : 중 ■ 점검내용 원격 지원을 사용하지 않도록 설정하고 있는지 점검 ■ 점검목적 원격 지원 기능을 비활성화 함 ■ 보안위협 원격 지원 기능이 활성화 되어 비인가자에게 원격에서의 접근이 허용될 경우, 시스템 제어 권한이 악용될 수 있음 ■ 참고 - 점검대상 및 판단기준(PC(windows) 취약점 진단) ■ 대상 : Windows XP, Windows 7, Windows 8.1, Windows 10 양호 원격 지원이 “사용 안 함”으로 설정 되어 있는 경우 취약 원격 지원이 “사용”으로 설정 되어 있는 경우 ■ 조치방법 원격 지원 서비스 비활성화 점검 및 조치 방법(윈도우, window) ■ Windows XP, Win..
D-03 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 기관 정책에 맞게 패스워드 사용기간 및 복잡도 설정이 적용되어 있는지 점검 ■ 점검목적 패스워드 사용기간 및 복잡도 설정 유무를 점검하여 비인가자의 패스워드 추측 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비가 되어있는지 확인하기 위함 ■ 보안위협 패스워드 사용기간 및 복잡도 설정이 되어있지 않을 경우 비인가자가 패스워드 추측 공격을 통해 획득한 계정의 패스워드를 이용하여 DB에 접근할 수 있는 위험이 존재함 ■ 참고 ※ 무작위 대입 공격(Brute Force Attack): 특정 암호를 해독하기 위해 가능한 모든 값을 대입하는 공격 방법 ※ 사전 대입 공격(Dict..
D-04 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하였는지 점검 ■ 점검목적 관리자 권한이 필요한 계정과 그룹에만 관리자 권한을 부여하였는지 점검하여 관리자 권한의 남용을 방지하여 계정 유출로 인한 비인가자의 DB접근 가능성을 최소화하고자 함 ■ 보안위협 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하지 않을 경우 관리자 권한이 부여된 계정이 비인가자에게 유출될 경우 DB에 접근할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, P..
PC-08 MS-Office, 한글, 어도비 아크로뱃 등의 응용 프로그램에 대한 최신 보안 패치 및 벤더 권고사항 적용 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 운영체제에 설치된 응용프로그램(MS-Office, 한글, 어도비, 아크로뱃 등)의 최신 보안패치가 되어 있는지 점검 ■ 점검목적 응용프로그램의 최신 보안 패치 여부를 점검하여 응용프로그램 취약점을 이용한 공격(익스플로잇)에 대한 대비를 하고 있는지 확인하기 위함 ■ 보안위협 응용프로그램의 최신 보안 패치가 이루어지지 않아 응용프로그램의 취약점이 존재할 경우 비인가자가 공격(익스플로잇)을 통해 시스템 접근 권한을 획득할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(PC(windows) 취약점 진단) ■ 대상 : Wi..
N-38 스위치, 허브 보안 강화 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 하 ■ 점검내용 스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검 ■ 점검목적 보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함 ■ 보안위협 포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음 ■ 참고 ※ SPAN: Switch Port Analyzer 로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술을 말함 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Pioli..