Day 65 (Operations Security_운영 보안)

<목차>

1. 운영 보안의 개요

2. 운영 통제의 영향

3. 운영 보안 상대

4. 통제

5. 통제 카테고리

6. 관리 통제의 주요 항목

7. 운영통제

8. 모니터링

9. 감사

10. 위협

11. 취약성

---

1. 운영 보안의 개요

정보시스템으로 한계를 지어 사용한다.

운영 보안의 요소에는 위협, 취약성, 자산이 있다.

위협은 보안통제 위반으로 손해를 발생시킬수있는 사건을 말한다.

취약성은 보안 통제를 위반 할 가능성이 있는 시스템의 약점으로 부정확한 직무분리가 있다. 부정확한 직무분리는 불필요한 겸직등을 야기시키며 그러한 상황이 발생하지 않아도 만약 발생했다면 적절한 통제가 가능한지를 분석한다. 부정확한 직무분리는 계산 거의 불가능하여 직무 분석표를 참조한다.

자산은 보호대상인 IS설비 및 인력, 프로세스

 

2. 운영 통제의 영향

운영 통제는 카테고리를 분할하여 구분한다.

운영 통제의 영향에는 기밀성 무결성 가용성이 있다.

기밀성은 정보 민감도를 이야기한다.

무결성은 데이터의 정확성과 인증에 대한 내용이다. 무결성은 내부 무결성과 외부 무결성이 있다. 무결성을 확보하는 방법으로는 권한이 없는 데이터에 접근이 불가능하게 하는 방법과 권한이 있지만 허가된 데이터에만 접근하는 방법이 있다.

가용성은 시스템에 장애가 발생했을때 성능이 일정 수준이하로 떨어지지 않게 운영하는 것을 의미한다. 복구 능력은 복구 여력과 얼마나 빨리 복구가 가능한가에 대한 성능이다.

 

3. 운영 보안 상대

운영 보안 상대는 내, 외부 침입자가 있는데 주로 내부 침입자 방지에 초점을 둔다. 그리고 부적절한 자원에 접근하는 사용자 및 운영자, 운영환경에 대한 위협이 있다.

 

4. 통제

통제정의 위험을 감소시키기 위해 만들어진 정책, 절차, 업무, 조직 구조 등을 말한다.

정보보안에서의 통제는 세이프가드 혹은 내부통제와 같은 의미를 가진다.

통제정의는 위험을 완화시키기 위해 사용하는데 위험을 제거하지 않는 이유는 비용이 많이 들기 때문이다.

통제목적은 조직의 경영 목적 달성하기 위해 사용하는데 IS관련 내부통제를 통해 수행한다 IS내부통제는 IS가 조직의 전략에 부합하게 하기 위함이고, baseline기법을 사용하지 않는다. 경영진이 제기한 관심사를 기반으로 한다.

내부 통제의 운영

조직 낵의 모든 수준에서 운영하며 하향식 통제 모델 개발이 필요하다. 또한 모든 구성원이 해당 프로세스에 참여해야 한다. 이사회나 경영진이 책임을 지고 지속적으로 모니터링을 한다.

 

5. 통제 카테고리

 

• 예방 통제는 돌발적인 장애와 허가되지 않은 침입을 방지하기 위한 통제를 말한다.
• 탐지 통제는 적발통제라고도 하며 침입탐지 시스템이나 로그등을 분석하여 통제하는 것이다. 
• 교정통제는 복구통제라고도 하며 작업내용 자체를 저장하는 아카이빙이나 전자볼팅, 여러개의 hdd를 1개인것처럼 보이게 하는 raid를 통해 통제하는 것이다.
• 트랜잭션통제
  - 트랜잭션은 더이상 분할이 불가능한 업무로 중간에 멈추는 것이 불가능 하다.
  
  - 입력통제는 정확한 값이 한번만 처리됨을 보장하는 것으로 data입력에 대한 문제를 통제하는 것이다. 처리 개수 확인을 이용한다.
  
  - 처리통제는 출력통제와 유사하다. 처리통제는 결과의 결과를 보장하지 않고 입력데이터를 보장하여 정확한 프로세서에 의해 처리됨을 보장하는 것이다. 출력통제는 출력물에 대한 무결성 가용성 기밀성을 통제하는 것으로 데이터의 이동은libraian이 수행하는 것이 대표적인 예이다.
  
  - 변경통제는 시스템의 무결성에 대한 통제로 patch나 version up을 통해 안전한 변경이 이루어 지는 것을 보증한다. update는 다음 버전이 확실하게 안정적이거나 필요한 요구기능이 추가되었을때만 수행하고 평소에는 수행하지 않는다.
  
  - 테스트 통제는 시스템을 테스트 하는 동안 안전성을 보장하기 위한 통제이다. 보통 테스트 시기가 취약하다고 본다.
• 내부 회계 통제는 자산 보호 및 회계기록의 신뢰성에 연관되므로 가장 중요한 통제이다.
• 운영통제는 운영에 관련된 IS 시스템을 의미하며 그 외에는 전부 관리 통제에 속한다.  운영통제와 관리통제로의 분할은 정보보안 분야에서만 구분한다.
• 관리 통제는 시스템에 관련된 통제가 아닌 주로 직원의 인사관리등 시스템 외적 자원에 대한 통제라서 종종 누락되는 경우가 있다. 하지만 반드시 정보보안 전략에 포함되어야 한다. 

6. 관리 통제의 주요 항목

 - 직원통제

직원에 대한 신원 파악시 신원조회 및 배경조사, 보증인 등을 이용한다. 보증인은 한국과 서양의 개념이 다른데 한국에서는 연대책임에 중점을 두고, 서양에서는 추천인 혹은 후견인 정도의 의미를 갖는다.

업무중에 통제 하는 방법중에 강제휴가는 해당 직원의 업무등을 확인할때 퇴근 후에 강제 휴가를 통보하여 확인에 대한 방비를 하지 못하게 한다. 직무순환은 한 직무에 오래 있을 경우 맹점을 파악하고 그것을 악용하는 사례를 예방하는 것과 업무 순환시 어떤 업무를 할지 알수없기 때문에 공모가 불가능한 것을 이용한다.

퇴직직원에 대한 관리 규정은 퇴직전에 시스템 권한을 삭제하고 퇴직할때 에스코트 받아 불필요한 접촉을 없애는 것이다.

 

- 직무

직무 분석을 통해 직무분리와 책임추적성 / 최소권한의 원칙 / 알아야할 필요성에 의한 권한 할당

직무 분석을 할때 정보 자산목록 matrix를 이용하여 frame work에 맞게 구성한다. matrix를 이용하는 이유는 확인이 편하고 쉽기 때문이다.

 

- 문서화

모든 정보는 전부 문서화 되는것이 당연하다.

7. 운영통제

운영통제는 IS자원 을 보호하기 위한 통제이다.

 - 자원

이름	요소	중요도
H/W	물리적 저장매체 혹은 컴퓨터등  물리적 장치	3rd
S/W	프로그램 소스나 라이브러리등의 유지, 보수, 테스트, 저장등	2nd
데이터	백업데이터, 패스워드 파일, 로그파일, 감사관련 파일등	1st

 

H/W통제는 유지보수 관련 작업자 및 작업을 통제하는 것으로 backup site도 같이 점검한다. 데이터 백업은 수작업이 안되는것 부터 백업한다.

유지 보수용 계정(백도어계정)을 통제한다.

진단 포트를 통제하여 슬모 없는 서비스가 실행되고 있는지를 SCAN을 통해 확인하고 통제한다.

 

S/W통제는 불법 S/W와 안티바이러스 등을 관리하는 것이다. 이 두가지는 부분 검사로 케이스 추출이 불가능 하기 때문에 전수조사를 통해 검사가 이루어진다.

 

정보자산에 대한 접근 권한을 통제할때에는 system혹은 DB관리자가 우회 터미널을 이용할수 있기 때문에 가장조심해야 한다.

IS 감사인이 보안 특권의 허용이나 승인 기준의 적절성을 평가할때  이용하기 위해 Need-to-know원칙에 따른 문서화가 반드시 필요하다.

인위적 접근제어에 따른 승인은 need-to-know원칙과 최소권한 원칙을 따른다.

승인의 최종 결정은 소유자에 따르며 승인 실무는 보안 관리자가 한다. 승인의 실행은 반드시 서면 승인을 통해 직접 전달받은 것을 수행해야한다.

 

특권개체 통제는 윈도우의 registry나 리눅스의 etc디렉토리 안의 파일등 운영시스템의 파라미터에 대한 접근을 통제하는 것이다.

미디어 자원보호는 저장 매체 혹은 저장방식을 통해 처리 운송중 발생하는 손상으로 부터 보호하는 것을 의미한다.

 

8. 모니터링

모니터링은 대표적으로 CCTV가 있으며, 목적은 문제의 식별과 해결이다.

모니터링은 IS 설비에 영향을 미칠수있는 내외부 사건에 대한 보안사건을 식별하는 것이다.

침입탐지는 침입 시도를 탐지하고 분석하는 것이다.

침투 테스트에서 포트스캐닝과 프로빙(probing)은 직접 접속을 확인하는 것이다. 스니핑(도청)은 패킷등을 통해 도청하는 것으로 패킷 분석을 하기 위해 보안장치에 스니핑이 있는 경우도 있다. 데몬다이얼링은 network우회 경로가 있는지를 확인하는 것이다. 추가적인 테스트기법으로는 쓰레기통 뒤지기(Dumpster Diving)와 사회 공학적인 방법이 있다. 쓰레기통 뒤지기는 과거에 post it등에 보안자료가 적혀있는지 실제 쓰레기통을 뒤지는 행위였는데, window의 휴지통과 의미가 결합되며 삭제된 데이터를 통해 보안 유출 사고가 있는지 혹은 삭제된 데이터를 조합해 데이터 유출이 일어나는지 등을 테스트 하는 것이다.

클리핑 레벨은 상한값과 하한값 사이의 범위를 설정하고 그 외의 침입 횟수가 발생하게 되면 점검하는 식으로 이루어진다. 비 정상적인 데이터 접근이 발생하는 경우에 위험이 있다고 판단하는 것이다.

 

9. 감사

감사는 IS운영전략이 조직의 운영전략과 일치하여 요구조건을 충실히 이행하는 가를 보증하는 것이다.

감사는 규정에 맞게 문서등이 작성되었는지를 확인하는 것이고, 감리는 규정에 맞게 실행하는지를 확인하는 것이지만 이 부분에서는 감사와 감리를 포함해 감사라고 한다.

보안 감사는 준거성 확보를 점검하여 적절한 통제를 권고한다. 이때 구체적 권고는 하지 않는데 구현에 참여할 가능성이 있으면 안되기 때문이다.

IS관련 감사 대상은 백업 통제, 트랜잭션(프로세스) 통제, 데이터센터 보안, 비상계획, 시스템 도입 및 개발 표준, 모든 데이터에 대한 운영 절차가 있다. 데이터 센터는 다. 비상계획은 DRP, DCP가 있다.

 

감사 추적은 책임추적성을 시스템내 모든 변경사항에 대해 제공해야 하는 것이다.

감사 추적 정보인 날짜등의 추적 가능한 데이터가 변경되면 안되지만 감사자가 쉽게 인증받아 접근이 가능해야 한다.

감사 로그에 기록되는 트랜잭션 정보는 날짜와 시간, 주체(사람), 접근 터미널 또는 시스템, 관련된 다양한 보안 관련 사건이 있다.

감사 로그 사용시 중요한 보안 이슈로는 오프사이트 스토리지에 보관된 감사 정보 보유와 보호, 사건 발생시 파일을 복사 이동하는 등의 감사 정보의 가용성에 대한 보호, 감사로그 정보에 대한 변경 통제가 있다.

오프사이트 스토리지는 국내에서는 서비스 하지 않지만 hot site, warm site, cool site로 분류되는 백업사이트를 지칭한다.

 

10. 위협

위협은 고의적이가나 우발적으로 사건을 발생시켜 시스템의 기밀성, 가용성, 무결성에 손상을 가져오는 것이다.

위협에서 우발적 실수를 보안에서는 incident라고 하며 큰 피해의 전조로 생각한다. 위험의 가장 많은 케이스는 운영 프로세스(절차)의 부재또는 부족 및 준거성 부족으로 발생한다. 덮어쓰기나 저장을 안하고 종료되는 등의 입력에 대한 잘못된 수작업으로도 발생하는 경우가 있다.

의도적 공격에는 쓰레기통 뒤지기, 스니핑, 데이터 등을 훔쳐보는 어깨 넘어보기등의 도청이 있다. 또는 거짓 트랜잭션으로 데이터를 추출하는 위조 트랜잭션이나 잘못된 정보로 잘못된 결과를 유도하는 데이터 두들링,  데이터의 제약조건, 트리거, 감사, 감리등 내외부 무결성을 훼손하는 사기가 있다. 절도는 데이터, 거래정보, H/W, S/W등을 빼내는 것이고 사보타지는 서비스 거부, 운영지연을 말한다. 외부공격도 존재하나 현재는 대부분의 방화벽에서 막힌다.

 

11. 취약성

취약성은 위협이 이용가는한 시스템 상의 약점을 의미한다. 취약성은 임의 메시지를 추가하여 보내는 패딩 메시지, 의미 없는 데이터를 전송하는 노이즈 전송, 은닉 채널 분석과 같은 트래픽 분석을 통해 노출된다. storage에 대한 은닉채널은 특정 사용자만 볼수 있는 data를 의미하고, network에 대한 은닉 채널은 back door를 의미한다.

회사 사람이 아닌 외부 사람이 사용하는 유지 보수 계정이나 쓰레기 줍기,  부팅시 보안 S/W보다 먼저 메모리에 바이러스 등이 올라오는 IPL(Initial Program Load), Address를 속이는 Network address Higacking을 통해서 취약성이 노출되기도 한다.

 

웹사이트에서 사용되는 2단계인증 시스템은 사용자의 암호 유출(취약성)이 된 경우에 사용자 계정 접근(위협)을 방지하고 사용자 정보를 추가적으로 확인한다.