D-03 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 기관 정책에 맞게 패스워드 사용기간 및 복잡도 설정이 적용되어 있는지 점검 ■ 점검목적 패스워드 사용기간 및 복잡도 설정 유무를 점검하여 비인가자의 패스워드 추측 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비가 되어있는지 확인하기 위함 ■ 보안위협 패스워드 사용기간 및 복잡도 설정이 되어있지 않을 경우 비인가자가 패스워드 추측 공격을 통해 획득한 계정의 패스워드를 이용하여 DB에 접근할 수 있는 위험이 존재함 ■ 참고 ※ 무작위 대입 공격(Brute Force Attack): 특정 암호를 해독하기 위해 가능한 모든 값을 대입하는 공격 방법 ※ 사전 대입 공격(Dict..
D-04 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하였는지 점검 ■ 점검목적 관리자 권한이 필요한 계정과 그룹에만 관리자 권한을 부여하였는지 점검하여 관리자 권한의 남용을 방지하여 계정 유출로 인한 비인가자의 DB접근 가능성을 최소화하고자 함 ■ 보안위협 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하지 않을 경우 관리자 권한이 부여된 계정이 비인가자에게 유출될 경우 DB에 접근할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, P..
PC-08 MS-Office, 한글, 어도비 아크로뱃 등의 응용 프로그램에 대한 최신 보안 패치 및 벤더 권고사항 적용 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 운영체제에 설치된 응용프로그램(MS-Office, 한글, 어도비, 아크로뱃 등)의 최신 보안패치가 되어 있는지 점검 ■ 점검목적 응용프로그램의 최신 보안 패치 여부를 점검하여 응용프로그램 취약점을 이용한 공격(익스플로잇)에 대한 대비를 하고 있는지 확인하기 위함 ■ 보안위협 응용프로그램의 최신 보안 패치가 이루어지지 않아 응용프로그램의 취약점이 존재할 경우 비인가자가 공격(익스플로잇)을 통해 시스템 접근 권한을 획득할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(PC(windows) 취약점 진단) ■ 대상 : Wi..
N-38 스위치, 허브 보안 강화 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 하 ■ 점검내용 스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검 ■ 점검목적 보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함 ■ 보안위협 포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음 ■ 참고 ※ SPAN: Switch Port Analyzer 로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술을 말함 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Pioli..
PC-11 OS에서 제공하는 침입차단 기능 활성화 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템의 방화벽 기능이 활성화되어 있는지 점검 ■ 점검목적 방화벽 기능 활성화 여부를 점검하여 시스템에서 외부망의 비인가 접근 및 외부망으로 통신을 시도하는 프로그램에 대해 통제하고 있는지 확인하기 위함 ■ 보안위협 방화벽 기능이 비활성화되어 있을 경우, 외부 및 내부의 접근통제가 되지 않아 유해 정보가 유입되거나 시스템 사용자의 파일이나 폴더가 외부로 유출될 위험이 존재함 ■ 참고 ※ 방화벽: 인터넷 또는 외부 네트워크에서 유입되는 트래픽을 통제하는 솔루션으로써 외부의 불법 침입으로부터 내부의 정보 자산을 보호하고 외부로부터 유해정보 유입을 차단하기 위한 정책과 이를 지원하는 하드웨어와 소프..
PC-16 파일 시스템을 NTFS 포맷으로 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 하드 디스크의 파일 시스템이 NTFS를 사용하고 있는 지를 점검 ■ 점검목적 보안성 기능이 없는 FAT32를 지양하고 사용 권한 및 암호화를 통해 특정파일에 대한 특정 사용자의 액세스를 제한 할 수 있는 NTFS를 사용하여 보안성을 강화하기 위함 ■ 보안위협 FAT32 파일 시스템을 사용하는 경우, 사용자의 컴퓨터에 액세스하는 사람은 누구나 컴퓨터 안에 있는 파일을 읽을 수 있으므로, 중요 파일에 접근할 수 없는 비인가자가 주요 정보를 유출할 수 있음 ■ 참고 기존에 FAT 파일 시스템을 사용하다가 NTFS로 변환하기 위해서는 convert.exe 명령을 사용할 수 있지만 FAT 파일 시스템으..
PC-09 바이러스 백신 프로그램 설치 및 주기적 업데이트 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템에 백신이 설치되어 있는지 점검 설치된 백신이 주기적으로 자동 업데이트되도록 설정되어 있는지 백신의 환경설정 점검 ■ 점검목적 시스템의 백신 설치 여부와 설치된 백신이 주기적으로 업데이트가 되는지 점검하여 악성코드(바이러스, 웜, 랜섬웨어, 스파이웨어 등) 감염에 대한 대비를 하고 있는지 확인하기 위함 ■ 보안위협 백신이 설치되지 않았거나, 백신이 설치되었어도 주기적으로 최신 업데이트가 이루어지지 않았을 경우 악성코드(바이러스, 웜, 랜섬웨어, 스파이웨어 등)의 감염이 발생하여 시스템의 중요한 파일이나 폴더의 유출 및 삭제가 발생할 위험이 존재함 ■ 참고 ※ 바이러스(Virus)..
PC-12 화면보호기 대기 시간을 5~10분으로 설정 및 재시작 시 암호로 보호하도록 설정 ■ 점검영역 : 보안관리 ■ 항목 중요도 : 상 ■ 점검내용 화면보호기 대기 시간 및 화면보호기 재시작 시 암호 설정 여부 점검 ■ 점검목적 사용자가 일정 시간 동안 아무런 작업을 수행하지 않을 경우, 자동으로 로그오프 되거나 워크스테이션이 잠기도록 함 ■ 보안위협 화면보호기가 작동하지 않거나 재시작 시 암호를 설정하지 않는다면, 사용자가 자리를 비운 사이 임의의 사용자가 해당 시스템에 접근하여 중요 정보를 유출하거나, 악의적인 행위를 통해 시스템 운영에 악영향을 미칠 수 있음 ■ 참고 ※ 악의적인 행위: 시스템 파일 또는 시스템 폴더 삭제, 응용프로그램 폴더 삭제 등 점검대상 및 판단기준(PC(windows) 취..
N-36 PAD 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 PAD 서비스를 차단하는지 점검 ■ 점검목적 X.25 프로토콜을 사용하지 않는 경우 PAD 서비스를 중지 ■ 보안위협 PAD와 같이 불필요한 서비스를 차단하지 않을 경우 잠재적인 취약점 및 공격에 노출될 수 있음 ■ 참고 ※ PAD(Packet Assembler/Disassembler): X.25 패킷교환망에 패킷 처리 기능이 없는 비동기형 단말기의 연결을 제공하는 서비스, 비동기형 단말기로부터 수신한 문자 스트림을 X.25 패킷으로 분해하고 반대로 X.25 패킷을 문자 스트림으로 재조합하여 상호 전송 ※ X.25: 패킷교환 데이터 전송 서비스를 위한 ITU-T 표준 프로토콜(1976년 개발), 패킷교환설비와 패킷형 단말기..
PC-06 HOT FIX 등 최신 보안패치 적용 ■ 점검영역 : 패치 관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템에 관련한 공개된 취약점에 대한 최신 보안패치를 적용하였는지 점검 ■ 점검목적 공개된 취약점을 통한 침해사고 발생을 방지하기 위함 ■ 보안위협 HOT Fix 및 최신 보안패치 적용을 시키지 않을 경우, 이미 공개된 취약점을 통하여 비인가자의 시스템 접근 및 관리자 권한 획득이 가능해짐 ■ 참고 ※ Hot Fix: 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련)을 패치하기 위해 배포되는 프로그램으로 서비스팩이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됨 ※ 업데이트(Update): 문제를 예방 또는 해결하거나 컴퓨터 작동 방식을 향상시키거나 컴퓨팅 경험을 향상시킬 수 있..
PC-05 Windows Messenger(MSN, .NET 메신저 등)와 같은 상용 메신저의 사용 금지 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 사용자 PC에서 상용 메신저를 사용하고 있는지를 점검 ■ 점검목적 상용 메신저 차단을 통하여 메신저를 이용한 개인정보 및 내부 주요 정보 유출을 막기 위함 ■ 보안위협 일반 사용자 PC에서 메신저 차단을 하지 않을 경우, 메신저를 통해 주요 정보가 유출되거나, 악성코드가 유입될 가능성이 있음 ■ 참고 ※ 메신저(Messenger): 인터넷을 통해 실시간으로 대화를 나눌 수 있는 서비스 ※ 악성코드: 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭 ※ 상용메신저: 네이트온, 카카오톡 PC 버전, skype 같은 메신저 프로그램 점검..
Windows 빠른실행 명령어 모음 (※ Windows 에디션에 따라 명령어 실행 여부에 차이가 있을 수 있음) 문자표 제어판 마우스 속성 전원 옵션 관리 도구 레지스트리 편집기 윈도우 버전 확인 작업 관리자 이벤트 뷰어 사용자 계정 시스템 정보 서비스 관리자 인터넷 속성 시스템 등록정보 포로그램 추가/제거 디스플레이 등록정보 사운드 및 오디오 장치 원격 데스크톱 연결 charmap control main.cpl powercfg.cpl control admintools regedit winver taskmgr eventvwr netplwiz msinfo32 services.msc inetcpl.cpl sysdm.cpl appwiz.cpl desk.cpl mmsys.cpl mstsc 네트워크 연결 컴퓨터 ..
N-34 identd 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 identd 서비스를 차단하는지 점검 ■ 점검목적 불필요한 identd 서비스를 차단하여 잠재적인 취약점 및 공격에 노출 방지 ■ 보안위협 identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음 ■ 참고 ※ identd 서비스: 특정 TCP 연결을 시작한 사용자의 신원을 확인하는 서비스(113/TCP) ※ 사용자가 서버로 TCP 연결을 시작한 경우 서버는 클라이언트의 identd 서비스에 TCP 세션의 포트번호를 보내 클라이언트 운영체제와 사용자 ID를 조회 가능 ※ 클라이언트의 정보에 의존하기 때문에 인증 또는 접근제어 용도로 사용할 수 없음 점검대상 및 판단기준..
N-35 Domain lookup 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Domain Lookup를 차단하는지 점검 ■ 점검목적 명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단 ■ 보안위협 불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생 ■ 참고 ※ Domain lookup: Cisco 장비는 Privileged Exec 모드에서 명령어가 아닌 문자열을 입력하면 호스트 이름으로 간주하고 Domain Lookup을 시도하며, DNS를 설정하지 않은 경우 DNS 브로드캐스트 쿼리를 수행하는 1분여간 사용자 입력을 받지 않음 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Pi..