문서의 이전 판입니다!


보안 감사 관리

(출처 : CERT구축 운영(2010, KISA)

보안 감사는 회사에서 이뤄지는 보안활동이 적절히 이뤄지고 있는지 확인하는 활동으로 각 회사의 업무와 정해진 정책 그리고 수행되고 있는 보안 활동에 따라 감사활동은 다르게 수행되어야 한다.

보안감사의 분류

보안감사는 감사 주체에 따라 내부감사와 외부감사로 나눌 수 있으며, 감사시기에 따라 정기 보안감사와 수시 보안점검으로 나눌 수 있다. <표 4-3-1-1> 보안감사 분류

보안감사 주체 내부 보안감사 • 보안팀 또는 감사팀에 의해 수행
외부 보안감사 • 감리회사, 회계법인, 보안 컨설팅 전문회사
• 정보보호안전진단 등
• 금융감독원 등 정부기관
보안감사 시기 정기 보안감사 • 연간 감사계획에 따라 보안영역 전반에 대하여 정기적으로 실시하는 보안감사
• 매월 또는 분기, 반기 등 일정한 기간마다 시행되는 보안 감사
수시 보안감사 • 보안사고 발생직후 또는 보안사고 징후가 있다고 판단될 경우 실시되는 특별한 보안 감사
• 감사 대상의 평시 보안 상태를 점검하기 위해 공지 하지 않은 상태에서 실시하는 보안 감사

내부감사는 기업 조직 및 각 팀의 업무 정의에 따라 보안팀 또는 감사팀에서 수행되며, 외부감사는 회사의 업종 및 해당 법규 등 규제에 따라 달라지며, 감사 주체도 다르다. 감사시기에 따른 분류로는 정기 보안감사와 수시 보안감사로 나눌 수 있으며, 정기 보안감사는 연간 계획에 의해 진행되며 보안 영역 전반을 대상으로 하는 감사와 매월, 분기 또는 반기 등 회사의 정책에 따라 수행되는 정기 보안감사로 나눌 수 있다. 매월, 분기 또는 반기 등 시행되는 정기 보안감사는 전체 보안영역이 아닌 일부 보안영역 가령, VPN 사용현황, 데이터베이스 접근 현황 감사 등에 국한되어 진행되어 진다. 반면, 수시 보안감사는 보안사고 발생 직후 또는 보안사고 징후가 있을 경우 전체 또는 일부분에 대해 시행되는 보안 감사로, 예를 들어 한 대의 웹 서버의 쓰기 권한 허용으로 인해 홈페이지 변조사고가 발생하였을 경우, 신속한 조치 후 전체 웹 서버의 쓰기 권한을 점검하는 활동이나, 일부 서버가 꼭 적용해야 할 패치를 적용하지 않았음을 발견한 직후 모든 서버에 대해 패치 적용여부를 점검하는 활동 등이 있다. 또한 감사대상에 대한 일상적인 보안활동을 점검하기 위해 수시로 시행되는 보안 점검을 수행할 수 있는데 이 역시 수시 보안 감사의 한 예다. 예를 들어 임직원이 PC 보안 상태를 확인하기 위해 퇴근한 직후 끄지 않은 컴퓨터를 점검하는 활동이나, 임직원 PC의 패스워드 정책 및 바이러스 백신 정책적용 등을 점검하는 활동 역시, 수시 보안감사라고 하겠다.

보안 감사 정책 수립

정보보호 관련 부서는 회사의 비즈니스에 대한 보안 위협 및 위험(Risk)을 감소시키기 위해 감사 정책을 수립하여 관련 부서에 공지하고 이를 추진하여야 한다. 불필요한 보안감사는 업무 프로세스에 부담을 줄 수 있으며, 인원 및 시간 등 업무 자원의 낭비를 초래하고 임직원 간의 불필요한 오해를 야기할 수 있으므로 보안감사 기준에 대한 정책수립이 우선되어야 한다.

비즈니스에 대한 위협 및 위험 분석 ▶ 보안정책 및 지침 수립 ▶ 보안감사 정책 설정 ▶ 보안감사 점검 리스트 작성 및 배포

보안감사 정책을 수립하기 위해서는 비즈니스에 대한 위험과 위협을 분석하여 이에 맞는 보안감사 정책을 수립하여야 하며 보안감사 정책수립 시 결정하여야 하는 사항은 아래와 같다.

  • 감사대상 보안 영역
  • 감사목적 (감소시키고자 하는 보안 위험)
  • 감사범위 및 중점감사항목
  • 감사일정 및 기간
  • 감사대상 부서
  • 참여 감사자
  • 감사기법 및 감사기준
  • 기타 필요사항 등

보안감사 영역

보안감사의 영역은 보안감사 정책 설정 시 결정되며, 일반적으로 아래와 같은 영역으로 구분할 수 있다. <표 4-3-3-1> 보안감사 영역

인적 보안감사 • 입사자, 퇴사자에 대한 보안 활동에 대한 감사
• 계약직, 임시직에 대한 보안 활동에 대한 감사
• 외부 인원에 대한 보안 활동에 대한 감사
• 보안 교육에 대한 감사
물리적 보안감사 • 전산실 출입 통제 및 로깅에 대한 감사
• 전산실 전원 설비 및 공조에 대한 감사
• 전산실 환경 및 비상 사태 대비에 대한 감사
업무용 프로그램 감사 • 업무용으로 사용하는 프로그램의 계정 생성 및 폐기에 대한 감사
• 업무용 프로그램의 중요 권한에 대한 권한 부여자 감사
정보 시스템
보안감사
시스템 • 사용자 관리 및 접근통제 감사
• 로깅 및 감사에 대한 감사
• 백업 및 복구
네트워크/
보안장비
• 사용자 관리 및 접근통제 감사
• 로깅 및 감사에 대한 감사
• 백업 및 복구
DB • 사용자 관리 및 접근통제 감사
• 로깅 및 감사에 대한 감사
• 백업 및 복구
• 데이터 추가/삭제/변경에 대한 활동 감사
PC 보안감사 • PC 보안 설정 감사
• 바이러스 백신 등 보안 프로그램 설치 여부 및 설정 감사
• 패스워드 관리 감사
내부 접속
프로그램 감사
(VPN 등)
• 사용자 관리 및 접근통제 감사
• VPN을 통한 내부 시스템 접속 내역 및 수행 업무 내역 감사

앞선 표에서 표시된 보안감사 영역은 각 기업이 필수적으로 따라야 하는 영역은 아니며, 각 영역 중 각 회사의 업무상 필요에 따라 대상영역을 설정하면 된다. 다만 보안감사를 기술적인 취약점 위주보다는 보안 프로세스를 점검하는 방향으로 하는 것이 바람직하다.

정기 보안 감사

정기 보안감사는 보안감사 전 영역에 걸쳐 1년에 1회 또는 2회 실시하는 하는 감사와 매월, 분기별 또는 반기별로 일정 영역에 따라 진행하는 보안감사가 있다. 예를 들어, 장애 발생 시 신속한 조치를 위해 VPN을 통해 시스템, 네트워크 장비 또는 데이터베이스에 직접 접속할 수 있다면 VPN에 대한 보안감사는 매월 수행되어야 하며, 그 결과는 최고 보안 책임자에게 보고되어야 한다. 보안감사 전 영역에 걸쳐 수행되는 정기 보안감사는 매년 작성되는 ‘연간 보안 활동계획’에 포함되어야 한다. 정기 보안감사를 수행하는 프로세스는 일반적으로 다음의 그림과 같다.
<그림 4-3-4-1> 보안감사 프로세스

다음은 감사 시 사용되는 체크리스트 예시로 보안 감사 영역별로 체크리스트를 작성하여 배포하여야 한다.

<표 4-3-4-1> 보안감사 체크리스트 예시

정보보호
시스템관리
유지관리 IT보안실무자 정보보호 시스템 변경 시 변경계획서를 작성하고 있는가?
IT보안실무자 정보보호 시스템에 대한 원격관리가 필요한 경우에는 세부절차를 수립하여 이행하고 있는가?

IT보안실무자 정보보호 시스템에 대한 업그레이드(패치 등)를 주기적으로 실 시하고 있는가? 계정관리 IT보안실무자 정보보호 시스템에는 IT 보안실무자 및 관리자 이외의 계정은 생성하지 않고 있는가? 변경관리 IT보안실무자 침입차단시스템 룰(보안정책) 등록, 변경 및 삭제 요청 시 침입 차단시스템 룰 변경신청서를 작성하도록 하고 있으며, IT보안 실무자는 적정성을 평가 후 작업을 실시하고 있는가? IT보안실무자 침입차단시스템 룰 변경신청서 상의 기한이 경과하여 별다른 통보가 없는 경우에는 해당 룰을 삭제하고 있는가? IT보안실무자 침입차단시스템 룰 변경 결과는 관리대장에 기록하고 있는가? IT보안실무자 침입탐지시스템의 침입패턴은 항상 최신의 것으로 유지하고 있 는가? 접근통제 IT보안실무자 정보보호 시스템에 대한 접근은 규정된 콘솔 또는 경로를 통해 서만 가능하도록 하며 불필요한 포트는 모두 차단하고 있는가? 서비스정책 IT보안실무자 네트워크 서비스 기본 정책은 Deny all로 정의하고, 업무상 필 요한 서비스에 대해서만 접근을 허용하고 있는가? IT보안실무자 불법적인 침입 또는 이상징후 발생 시에는 침입탐지시스템에서 관련 서비스를 중지시키고, 침입차단시스템과 연동하여 관련 Source IP를 차단하고 있는가? 로그 및 백업관리 IT보안실무자 정보보호 시스템 로그를 분석하고, 이상 징후 발생 시 적절한 조치를 취하고 있는가? IT보안실무자 정보보호 시스템 로그, 소프트웨어, 환경 설정 데이터 등을 매 월 1회 백업하고 있는가? IT보안실무자 백업된 로그는 6개월이상 보관하고, 안전하게 관리하고 있는 가?

수시 보안감사

임직원의 평상시 보안상태를 점검하기 위해 공지하지 않은 상태에서 실시하는 불시 보안감사로는 PC에 대한 불시 보안감사와 사무실 불시 보안점검이 있다. PC 불시 보

구분 세부항목 진단내용 접근통제 부팅패스워크 설정 부팅시 CMOS 패스워드 설정여부 점검 부재시 전원관리 장기간 자리를 비우거나 퇴근시의 전원관리 상태 점검 데이터 보관 비밀정보 보호관리 비밀정보에 대한 별도 보호조치 여부 점검 백업 관리 정기적인 데이터 백업 실시 여부 점검 데이터 이동관리 데이터 전송 시 바이러스 검사 여부 점검 PC관리 PC사용 인가자 관리 취급자 및 관리책임자 지정 여부 점검(스티커 부착여부) 패스워드 관리 패스워드 길이 패스워드 길이의 절적성 여부 점검 패스워드 관리 패스워드에 영문자, 숫자, 특수문자 혼용여부 점검 공유폴더 공유폴더 암호 사용 공유폴더 사용시 암호 사용 여부 점검 네트워크 서비스 불필요한 서비스 제거 기본적으로 제공되는 불필요한 서비스 여부 확인 (예:DHCP Client, DNS Client 등) 계정관리 계정과 같은 패스워드 사용 계정명과 같은 패스워드 사용 여부 점검 패스워드가 없는 계정 패스워드가 없는 계정의 사용 여부 점검 기본 관리자 계정의 존재 기본 관리자 계정(Administrator) 사용 여부 확인 시스템보안설정 Null Session 설정 Null Session의 설정 여부 확인(Net Bios) 자동 로그인 자동로그인 기능 사용 여부 확인 레지스트리 보호진단 레지스트리의 원격 접근 보호 로그접근 권한 점검 Guest 권한으로 로그 접근 가능 점검 보안패치 최신 Hot Fix 적용 최신 Hot Fix 적용 여부 확인 공유폴더 공유폴더 점검 패스워드가 없이 공유된 폴더 확인 기본 공유 점검 C$ D$ 등 기본 공유 사용여부 점검 바이러스 통제 백신 설치 바이러스 백신 설치 여부확인 최근 바이러스 점검 가장 최근에 바이러스 점검을 수행확인 실시간 감시 실시간 감시 수행여부확인 백신 업데이트 최신 바이러스 백신 엔진 업데이트 확인 접근통제 화면보호기 사용 화면보호기 대기 시간 확인(기준 10분) 화면보호기 암호 사용 여부 확인 안 점검은 비밀번호 설정 여부, PC보안 설정 현황, 바이러스 백신 등 보안 프로그램 설치 여부 및 설정 등을 감사하는 것으로 그 결과를 각 부서별로 비교하여 공지하기도 한다. PC 불시 보안감사와 사무실 불시 보안점검에 대한 체크리스트 예시는 아래와 같다. <표 4-3-5-1> PC 불시 보안감사 체크리스트

<표 4-3-5-2> 사무실 불시 보안점검 체크리스트 구분 점검 내용 대상 수 점검 결과 양호 수 양호 % 시건 상태 캐비닛 시건 상태 개인 책상 서랍 시건 상태 문서 보관상태 개인 책상 위 주요 업무문서 방치 여부 사무실 바닥 주요 업무문서 방치 여부 N/A N/A 노트북 관리 상태 퇴근 시, 개인 책상 위 Notebook 방치 여부 (물리적 잠금 미흡) 점심시간 중, 개인 책상 위 Notebook 방치 여부(물리적 잠금 미흡) 점심시간 중, 개인 책상 위 Notebook 비밀번 호 미 설정 여부