'보안 취약점 진단'이란?

보안 취약점 진단 업무는 취약성 점검, 취약점 점검 등 여러 이름으로 통칭된다.

 

일반적으로 보안 취약점 진단 업무는 다음과 같이 정의된다.

보안 취약점 진단은 대상 정보시스템에 대해 취약점 평가 항목을 점검하여 내재된 보안 취약점을 도출하고, 발생 원인을 분석하여 보안 수준을 강화하여 서비스의 안전한 운영을 목적으로 한다.

 

취약점 진단은 서버, 네트워크,  DBMS, 정보보호시스템, 웹 어플리케이션 등 대상 정보시스템에 따라 방법과 기준이 상이하다. 하지만 최근 들어 주요정보통신기반시설 취약점 분석 평가 기준을 진단의 표준으로 삼고 있다.

https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EC%A3%BC%EC%9A%94%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EA%B8%B0%EB%B0%98%EC%8B%9C%EC%84%A4%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EB%B6%84%EC%84%9D%C2%B7%ED%8F%89%EA%B0%80%20%EA%B8%B0%EC%A4%80

주요정보통신기반시설 취약점 분석·평가 기준

 

취약점 진단 절차는 아래와 같다

 

1. 사전분석 단계
   • 요구사항 분석 및 평가 범위 산정
   • 평과 결과물 정의 / 평가 시작회의
2. 취약점 분석 단계
   • 자산 분석 및 평가
   • 취약점 점검
3. 취약점 평가 단계
   • 점검 결과 분석
   • 위협 분석
   • 취약점 평가
4. 대책수립 단계
   • 대책 수립 및 평가 결과 전달
   • 결과 설명회
5. 사후관리 단계
   • HOT fix 보안조치 및 확인
   • 확인점검
   • 결과 관리

출처: https://www.fsec.or.kr/bbs/103

금융보안원

 

 

정보보안기사를 준비할 때 배웠던 취약점 점검 도구들도 아래 덧붙이겠다.

 

취약점 점검 도구:

• SATAN/SARA: 네트워크 기반 컴퓨터, 서버, 라우터 IDS 에 대해 취약점 분석, HTML 보고서 기능 있음
• SAINT: 원격으로 취약점점검, HTML 보고서 기능 있음
• COPS: 시스템 내부 취약성점검
• Nessus: 클라이언트-서버 구조로 취약점 점검
• nmap: 포트스캐닝 도구,  TCP connect와 stealth모드로 동작 가능