[CISA 요약정리] Domain 5. 정보자산의 보호 | 5장. 네트워크 보안 & 6장. 인터넷 보안 대책

5. 네트워크 보안
(1) LAN 보안: 네트워크 다이어그램검토 -> 노드 목록/인증 -> 인수 테스트 보고서 검토 -> 사용자 목록 검토
1) LAN 보안통제
- LAN 자원(프로그램, 파일, 저장 장치 등)에 소유자를 지정하고 보호 책임을 명시
- 동시성 통제(Concurrency control): 동시 갱신을 예방하기 위해 잠금(Locking)을 설정(무결성 유지) 및 타임스탬프 기능
- 접근 권한을 제한하고 데이터 수정이 불필요 한 경우 읽기 전용으로만 권한 부여
- 사용자 ID 와 패스워드를 사용한 로그온 절차를 포함하여 강력한 인증 절차 구현
2) 다이얼 업 접근 통제: 모뎀 접속에 대한 다이얼 백 절차를 사용하고 스마트 토큰이나 생체 인식 등을 병행 ** 모뎀을 사용하여 서버에 접속할 경우 방화벽을 우회하기 때문에 보안 위험이 증가
3) 가상화(Virtualization)된 호스트: 변경 관리, 바이러스 통제, 패치 관리, 로그 작성 ** 고장 단일 지점 가능성 -> 접근 노출의 영향이 큼

  (2) 클라이언트-서버 보안: 디스크 없는 워크스테이션, 자동 부팅 및 시작 배치 파일 보호, 인증 및 접근통제 SW 등 ** 클라이언트-서버 환경에서 사용자는 메인 프레임에서의 자원 통제 없이 데이터 취급 가능 -> 논리적 위협 큼

  (3) 무선 및 모바일 기기: 추적관리, 강력한 인증 절차, 동기적 백업 등
** 가용성과 업무생산성을 향상시키나, 분실, 도난 위험 및 도청 위협 증가로 인해 논리적 위협이 큼

  (4) 인터넷 보안
1) 소극적 공격과 적극적 공격
- 소극적 공격(Passive Attack): 공격 대상에 대한 광범위한 정보를 수집하고 적극적 공격을 준비
① 사례: 도청, 트래픽 분석, 네트워크 분석 (워 다이얼링, 워 드라이빙 등 포함)
② 대책: 암호화, NAT, 서버에서 불필요한 서비스 제거, 웹에서 불필요한 정보 제거 등
- 적극적 공격(Active Attack): 충분한 정보와 접근 권한을 획득한 후 시스템의 무결성과 가용성을 훼손
① 사례: DOS/DDOS/PDOS, 이메일 폭격, 피싱, 재전송, 메시지 변조 등
② 대책: 방화벽, IDS/IPS, VPN, 스팸 필터, 바이러스 월, 안티 바이러스 등
2) CGI(Common Gateway Interface): 악용 가능성 높음 -> CGI wrapper 사용으로 위험 관리
3) 자바 애플릿(Java Applet)과 액티브(Active) X 컨트롤
- 자바 애플릿에 대한 보안 대책 -> 인터넷 사용자 입장에서 가장 큰 위험:
① Sandbox: 애플릿의 자원 및 파일 권한 제한
② 코드 서명(Code signing): 공신력 있는 기관에 의한 코드 인증으로 배포원천이 확실함을 확인(이후에는 변경 X 보증)
- 액티브 X 컨트롤에 대한 보안 대책:
① Authenticode: 공신력 있는 기관에 의한 코드 인증
② 사용자가 액티브X 컨트롤 실행 여부를 결정할 수 있게 하는 것
4) 쿠키(Cookie): 쿠키를 암호화하거나 위치를 숨기는 등의 대책이 필요
5) P2P(Peer-to-peer) 컴퓨팅 -> 스파이웨어 주요 전파 수단 < 중요 데이터 노출 위험
6) 인스턴트 메시징(IM: Instant Messaging): 폐쇄형 IM 솔루션을 사용 or 메시지 암호화 or 안티바이러스 통제 대책
7) 소셜 미디어(Social Media)
- 적절한 정책을 수립
① 직원이 자기 소셜 미디어를 사용할 경우 업무 관련 정보나 사진을 올리는 것을 제한
② 업무 중에 또는 업무용 기기로 접근하는 것에 대한 정책 - 바이러스 대책
- 소셜 미디어 업무를 전담하는 직원 배정 - 게시하는 정보에 대한 법률적 검토
8) VOIP(Voice Over Internet Protocol, 인터넷 전화)
- 기본 개념: 인터넷을 통해 음성 통화를 가능하게 하는 서비스
- 대책: 단일 실패지점 가능성 -> 충분한 대역 확보
- 도청 및 DOS 위협: 암호화를 적용하고 방화벽과 유사한 기능을 수행하는 SBC(Session Border Controller)를 사용
9) 클라우드 컴퓨팅(클라우드 거버넌스의 운영 모델: 공개 클라우드: Public Cloud)
- 기본 개념: 사용자들이 인터넷을 통해 응용과 하드웨어를 사용, 데이터 저장 및 사용
- 대책
① 상이한 법규 체계로 인하여 외국 정부 기관 또는 벤더에 의한 접근이 허용가능성 -> 서비스 약관명시
② 물리적 보안 및 데이터 기밀성을 보호하기 위한 대책이 충분한지 확인
③ 합병되거나 서비스의 연속성이 중단될 경우에 대한 대비책이 마련

6. 인터넷 보안 대책
  (1) 인터넷 방화벽(Internet firewall): 기업망과 인터넷 사이 가장 큰 영향 지점 ** 침입예방시스템(IPS: Intrusion Prevention System)임
1) 기본 개념: 통신망을 신뢰할 수 있는 영역과 신뢰할 수 없는 영역으로 분리하는 요소들(정책, 하드웨어, 소프트웨어)
2) 가능한 일
- 보안정책강화/노출제한
- 인터넷 및 시스템 자원 사용 감시
- 침입/서비스거부(DOS 공격)/정보도난위험 절감 - 미 승인 트렌스잭션 차단
3) 불가능한 일
- 내부 사용자의 악의적 공격: DMZ 구축으로 대응
- 바이러스(악성코드)의 침투와 유포
- 모뎀과 같이 방화벽을 우회하는 통신 위험
- 보안 정책을 우회한 접근: 최소권한 원칙으로 대응
4) 방화벽 접근 규칙
- 기본적으로 금지하는 방식 Deny all + Accept some (더 바람직)
- 기본적으로 허용하는 방식 Accept all + Deny some
5) 방화벽의 종류
- 패킷 필터링(Packet Filtering) 방화벽 = 정적(Static) 패킷 필터링, 상태 무관(Stateless) 검사
① 라우터가 송수신 패킷의 헤더(IP 주소, 포트 번호: 서비스 유형)를 검사 -> 접근 규칙에 어긋나는 패킷들을 차단
② 하드웨어 기반: 속도가 빠르지만 제공 보안 수준이 낮음
③ 가장 단순한 형태의 방화벽으로서 로그를 관리하지 않음
- 프록시(Proxy):
① 베스천 호스트에 위치하며 사용자와 서버 사이를 중개 -> 접근 규칙에 따라 서버 접근을 결정
② 소프트웨어(응용)기반: 속도는 느리지만, 제공 보안 수준이 높음
③ 캐싱, 로그 작성, NAT(네트워크 주소 변환) 등의 기능을 제공
- 상태 기반 검사(Stateful Inspection) 방화벽= 동적(Dynamic) 또는 상태 기반 패킷 필터링
① 검사 엔진이 통신 세션을 감시하고 상태 정보 테이블에 기록 -> 송수신 상태에 비추어 순서가 어긋난 패킷들을 차단
② 속도와 보안 간 균형을 맞추며 사실상의 표준으로 정착
③ 평소에는 포트를 닫아 두기 때문에 포트 스캐닝을 예방
- 방화벽 세대 비교

6) 베스천 호스트(Bastion Host): 내부 망과 외부 망 사이 존재하는 컴퓨터 시스템으로서 게이트웨이 역할 - 그 자체로 방화벽은 아니며 프록시 설치, 인증, 로그 작성 등의 기능을 수행
- 하드닝(Hardening, 불필요한 기능 배제)되어 있으며 자체 방어 능력이 강력해야 함 -> 서버 OS 무결성 보증
7) 방화벽 관련 문제점
- 접근 규칙이 잘못 설정될 경우 위험한 서비스를 통과가능
- 로그 기능을 잘못 설정할 경우 추적에 필요한 정보가 적절히 기록되지 않음
- 로그 기록이 적절히 생성되더라도 이를 정기적인 검토하는 것은 사람의 몫임
8) 방화벽에 구현할 수 있는 추가 기능
- VPN(가상 사설망)을 통해 엑스트라넷(Extranet)을 구현가능 (엑스트라넷: 외부인에게 개방한 인트라넷의 일정한 부분)
- NAT(네트워크 주소 변환) 프로토콜을 사용, 사설 IP 주소와 공공 IP 주소 매핑/사설 IP 주소를 숨김 -> 스푸핑 방지
9) 방화벽 아키텍처
- 스크린드 호스트: 패킷 필터링(=스크리닝) 라우터 + 베스천 호스트(프록시)
- 듀얼 홈드: 베스천 호스트 2개 -> 스크린드 호스트보다 더 강력한 보안
- 스크린드 서브넷: 인터넷과 내부 네트워크 사이에 서브 네트워크= DMZ(De-Militarized Zone)가 위치 **DMZ는 VPN과 IDS 설치의 최적 위치임
① 서브 네트워크 앞뒤에는 스크리닝 라우터가 위치
② 서브 네트워크에는 외부 DNS 서버, 웹 서버, 이메일 서버, FTP 서버, 전자 상거래 서버 등이 위치

(2) 침입 탐지 시스템(IDS: Intrusion Detection System)
1) 의의: 침입 예방이 목적인 방화벽의 기능을 보완
2) 구분
- 네트워크 기반 IDS(N-IDS): 네트워크 세그먼트에 설치, 특정 네트워크에 대한 공격 감시 예) DOS, 스캐닝 공격 ** 가장 큰 제약: 호스트 터미널로부터의 공격을 탐지하지 못함
- 호스트 기반 IDS(H-IDS): 특정 호스트에 설치, 내부 사용자들의 활동을 감시 예) 파일 삭제/변조, 백도어, 트로이 목마
3) 바이러스 월(Virus Wall): 수신 트래픽을 스캐닝하여 바이러스(악성코드) 등 다양한 악성 코드를 차단하는 시스템 ** 안티 바이러스 소프트웨어: 특정 컴퓨터만을 보호(호스트)/바이러스 월: 다양한 악성 코드로부터 네트워크를 보호
4) 스팸 필터링(Spam Filtering): 휴리스틱(Heuristic) 기법 사용
5) 가상 사설망(VPN: Virtual Private Network) = 터널링(Tunneling) 기술 = 캡슐화 기능 :
- 암호 기술을 복합적으로 응용하여 공중망(Public network)에서 이루어지는 통신에 보안서비스 제공
- 사용자 인증, 데이터 암호화, 무결성 검증, 부인 방지
- 종점 간 암호화를 통한 기밀성 확보 -> 스니핑(도청) 위험 제거 (중간자 공격 방어: 스니핑/스푸핑/재전송)
6) 허니팟(Honey pot)과 허니넷(Honey net): 중요한 데이터가 포함되지 않도록 주의 -> 능동적 보안설정 강화
7) 해킹사고 발생 시 가장 의미 있는 정보: 패킷 페이로드(해킹을 구분하는 원본 데이터)

-끝-

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

Codes and Things

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록