S-25 유해 트래픽 차단 정책 설정 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 유해 트래픽 차단 정책을 설정하고 있는지 점검 ■ 점검목적 유해 트래픽을 차단하여 네트워크 운영 및 서비스의 장애 발생 가능성을 낮추고자 함 ■ 보안위협 유해 트래픽 차단 정책이 설정되지 않을 경우, 악성코드가 네트워크 및 타 PC로 전파되어 DDoS 공격, Worm, Virus 확산 등 네트워크 자원을 악의적인 목적으로 사용할 수 있음 ■ 참고 ※ 유해 트래픽: 정상적인 네트워크 운영 및 서비스에 지장을 주는 악의적인 공격성 패킷과 바이러스 패킷으로, 망 운영에 치명적인 장애를 유발하며 동시다발적이고 급속한 확산이 특징 점검대상 및 판단기준 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS..
N-14 사용하지 않는 인터페이스의 Shutdown 설정 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 사용하지 않는 인터페이스가 비활성화 상태인지 점검 ■ 점검목적 필요한 인터페이스만 활성화하여 비인가자가 사용하지 않는 인터페이스를 통하여 네트워크에 접근하는 것을 차단하기 위함 ■ 보안위협 사용하지 않는 포트에 연결된 인터페이스를 Shutdown 하지 않을 경우, 물리적인 내부 접근을 통해 비인가자의 불법적인 네트워크 접근이 가능하게되며 이로 인하여 네트워크 정보 유출 및 네트워크 손상이 발생할 수 있음 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 사용하지 않는 인터페이스를 비활성..
N-15 사용자·명령어별 권한 수준 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비 사용자의 업무에 따라 계정 별로 장비 관리 권한을 차등(관리자 권한은 최소한의 계정만 허용) 부여하고 있는지 점검 ■ 점검목적 업무에 따라 계정 별 권한이 차등 부여되어 있는지 점검하여 계정 별 권한에 따라 장비의 사용 및 설정 가능한 기능을 제한하는지 확인하기 위함 ■ 보안위협 계정 별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있어 일반 계정이 비인가자에 노출되었을 때 비인가자가 획득한 계정 정보를 통해 네트워크 장비에 접근하여 장비의 설정(ACL) 변경, 삭제 등의 행위를 하여 장비의 가용성(해당 장비를 통해 통신하는 정보시스템 간 데이터 전송..
N-12 Spoofing 방지 필터링 적용 또는 보안장비 사용 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 사설 네트워크, 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 IP 주소를 스푸핑 방지 필터링(Anti-Spoofing Filtering)을 적용하여 차단하는지 점검 ■ 점검목적 네트워크 경계에서 소스 IP 주소가 명백히 위조된 트래픽을 차단하여 IP 스푸핑 기반 DoS 공격으로부터 인프라를 보호 ■ 보안위협 IP 스푸핑 기반 DoS 공격 트래픽이 네트워크 장비의 한계용량을 초과하는 경우 정상적인 서비스 불가 ■ 참고 ※ IP Spoofing: 호스트의 원본 주소가 아닌 다른 소스 주소로 IP 데이터그램을 조작 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco,..
S-19 보안장비 로그 정기적 검토 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 로그 분석 도구(보안장비 로그 모니터링 기능, 로그 분석 프로그램 등)를 이용하여 보안장비 로그를 정기적으로 검토하는지 점검 ■ 점검목적 정기적으로 로그 검토를 이행하는지 점검하여 보안장비의 이상 유무와 비인가자의 공격 및 침입을 식별하고 있는지 확인하기 위함 ■ 보안위협 로그 검토를 이행하지 않을 경우 보안장비에 이상이 발생했을 경우와 보안장비 및 보안장비에 의해 보호받고 있는 정보시스템에 침해 사고가 발생했을 경우 원인 식별이 어려워지고 사전에 탐지할 수 없음 ■ 참고 ※ 정기적 검토: 정기적 검토 간격은 기관의 정책에 따라 달라질 수 있으나 매달 1번 이상 검토하는 것을 권고함 점검대상 및 판단기준 ■ ..
N-10 SNMP 커뮤니티 권한 설정 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP 커뮤니티에 반드시 필요하지 않은 쓰기 권한을 허용하는지 점검 ■ 점검목적 불필요한 SNMP 커뮤니티의 쓰기 권한을 제거함으로써 공격자의 SNMP를 통한 라우터 정보 수정을 막기 위함 ■ 보안위협 SNMP 커뮤니티 권한이 불필요하게 RW로 설정되어 있으면, 공격자가 Community String 추측 공격을 통해 Community String을 탈취했을 시 SNMP를 이용하여 네트워크 설정 정보를 변경하여 내부망 침투가 가능해 짐 ■ 참고 ※ SNMP Community String 권한에는 RO(Read Only)와 RW(Read Write) 모드가 있으며 RO 모드의 경우 네트워크 설정 값에 대한..
S-23 로그 전송 설정 관리 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 하 ■ 점검내용 로그 서버에 저장될 로그 설정이 기관의 정책에 맞게 설정되어 있는지 점검 ■ 점검목적 보안장비와 연결된 로그 서버가 기관의 정책에 맞게 로그를 저장할 수 있도록 설정되어 있는지 확인하기 위함 ■ 보안위협 로그 서버에 기관의 정책에 맞는 로그를 보관하도록 설정되어 있지 않을 경우 비인가자의 공격 및 침입 사고가 발생했을 시 로그 검토나 사고 원인 분석이 어려워질 수 있음 ■ 참고 - 점검대상 및 판단기준 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등 양호 로그 서버에 저장될 로그가 기관 정책에 맞게 설정되어 있을 경우 취약 로그 서버에 저장될 로그가 기관 정책에 맞게 설정되어 있지 ..
S-21 보안장비 정책 백업 설정 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 보안장비 설정 정보가 저장되어 있는 파일을 백업하는지 점검 ■ 점검목적 보안장비 설정 파일의 백업 유무를 점검하여 보안장비 또는 보안장비와 연결된 정보시스템에 문제(장비 이상으로 인해 장비를 교체할 경우, 보안장비 설정을 실수로 잘못 변경하여 문제가 생긴 경우, 비인가자의 공격 및 침입에 의한 설정 변경 및 삭제 등의 침해사고가 발생했을 경우 등) 발생 시 백업된 설정 파일을 통해 즉시 복구 가능하도록 대비하고 있는지 확인하기 위함 ■ 보안위협 설정 파일을 백업 해놓지 않을 경우 보안장비에 문제 발생 시 즉시 설정 복구가 되지 않아 보안장비에 연결된 정보시스템의 가용성(예: 웹서버 서비스 불가)에 영향을 미칠 ..
S-20 보안장비 로그 보관 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 로그 보관 정책에 따라 적절하게 로그를 보관하는지 점검 ■ 점검목적 로그 보관 설정을 점검하여 로그 검토나 보안장비 침해 사고 원인 분석에 필요한 (3개월 이상) 로그를 안전(삭제, 변경 불가)하게 보관하는지 확인하기 위함 ■ 보안위협 로그 보관 기간이 적용되어 있지 않은 경우 보안장비에서 로그를 자동으로 삭제하여 로그 검토나 보안장비 침해사고 원인 분석 시 필요한 로그가 남아 있지 않아 로그 검토나 사고 원인 분석이 어려워질 수 있음 ■ 참고 ※ 로그 보관 기간 - 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조 제2항에 따른 과학기술정보통신부 고시 「정보보호조치에 관한 지침 [별표1] 보호조치의 구체..
S-18 보안장비 로그 설정 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 보안장비에 로그 설정이 적용되어 있는지 확인하고 로그 정책이 기관 정책에 맞게 적용되어 있는지 점검 ■ 점검목적 로그 설정을 점검하여 보안장비의 이상 유무와 보안장비 및 보안장비에 의해 보호받고 있는 정보시스템에 대한 비인가자의 침입 및 공격을 식별하고 있는지 확인하기 위함 ■ 보안위협 로그 설정이 적용되어 있지 않을 경우 보안장비에 장애가 발생하거나 침해사고가 발생했을 경우 원인 분석이 어려움 ■ 참고 ※ 로그 정책 설정: 로그 정책 설정 시 보안장비에 대한 접근 이력(날짜, 시간, IP, ID, 명령어 이력 등), 보안 장비 성능 이상 유무(CPU, RAM 사용량 등), 보안장비를 통해 유입되거나 외부로 나가는 ..
W-65 Telnet 보안 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 Telnet 서비스 구동 비활성화 및 취약한 인증 사용 여부 점검 ■ 점검목적 취약 프로토콜인 Telnet 서비스의 사용을 원칙적으로 금지하고, 부득이 이용할 경우 네트워크상으로 패스워드를 전송하지 않는 NTLM 인증을 사용하도록 하여 인증 정보의 노출을 차단하기 위함 ■ 보안위협 Telnet 서비스는 평문으로 데이터를 송수신하기 때문에 Password 방식으로 인증을 수행할 경우 ID 및 Password가 외부로 노출될 위험성이 있음 ■ 참고 ※ Windows 서버의 Telnet 서비스의 두 가지 인증 방법 • NTLM 인증: 암호를 전송하지 않고 negotiate/challenge/response 절차로 ..
S-17 로그인 실패횟수 제한 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 보안장비에서 제공하고 있는 로그인 임계값 설정의 활성화 여부 점검 ■ 점검목적 보안장비에서 제공하는 로그인 실패횟수 제한 기능을 사용하여 공격자의 자동화 툴을 이용한 패스워드 대입 공격을 막기 위함 ■ 보안위협 로그인 실패횟수 제한 기능을 활성화 하여 사용하지 않을 경우, 공격자는 자동화된 방법을 통하여 무작위 대입 공격이나 사전 대입 공격 등을 시도하여 계정의 패스워드를 탈취할 수 있음 ■ 참고 ※ 기종에 따라 Limited/Lockout로 표시됨 ※ 보안장비에 계정 잠금시간 기능을 지원할 시 함께 설정하면 보안성이 향상됨 점검대상 및 판단기준 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, ..
W-63 DNS 서비스 구동 점검 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 DNS 서비스의 동적 업데이트 설정 여부 점검 ■ 점검목적 DNS 동적 업데이트를 비활성화 함으로 신뢰할 수 없는 원본으로부터 업데이트를 받아들이는 위험을 차단하기 위함 ■ 보안위협 DNS 서버에서 동적 업데이트를 사용할 경우 악의적인 사용자에 의해 신뢰할 수 없는 데이터가 받아들여질 위험이 존재함 ■ 참고 ※ 동적 업데이트: DNS 정보에 변경 사항이 있을 때마다 DNS 클라이언트 컴퓨터가 자신의 리소스 레코드(zone 파일)를 DNS 서버에 자동으로 업데이트하는 기능으로 영역 레코드 수동 관리 작업을 줄일 수 있음 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 200..
W-64 HTTP/FTP/SMTP 배너 차단 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 하 ■ 점검내용 HTTP/FTP/SMTP 서비스 배너 차단 적용 여부 점검 ■ 점검목적 HTTP/FTP/SMTP 서비스 접속 배너를 통한 불필요한 정보 노출을 방지하기위함 ■ 보안위협 서비스 접속 배너가 차단되지 않은 경우 임의의 사용자가 HTTP, FTP, SMTP 접속 시도 시 노출되는 접속 배너 정보를 수집하여 악의적인 공격에 이용할 수 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 HTTP, FTP, SMTP 접속 시 배너 정보가 보이지 않는 경우 취약 HTTP, FTP, SMTP 접..