쉽고 일관된 취약점 관리 필요, 상시 취약점 인식 및 대책 적용 가능해야

보안 취약점(Vulnerability)이란 정상적인 서비스 운영을 방해하거나 중요 데이터에 대한 불법적인 접근, 위/변조와 파괴 행위를 일으킬 수 있는 잠재적 위협 요인을 의미한다. 보안 취약점은 시스템 보안 취약점, 네트워크 보안 취약점, 애플리케이션 보안 취약점으로 분류할 수 있다.

보안 취약점 진단은 운영체제나 시스템, 네트워크 장비의 알려진 버그나 보안 패치 적용 여부, 운용 중인 애플리케이션의 취약점을 전문적으로 분석하고 이에 대한 대책을 권고하여 최대한 반영할 수 있도록 보안 솔루션 도입 전후에 이루어 지고 있다. 보안 컨설팅에 포함되거나 독립된 프로젝트 형태로 전문가들에 의해 진단이 이루어지거나 이러한 기능을 가진 도구 통하여 진행된다.

최근 들어 내부 네트워크와 시스템 보안이 이슈가 됨에 따라 전체 IT인프라를 안전하게 운용하기 위한 취약점 분석 방법론에 대한 관심이 높아지고 있다. 보안 취약점 분석을 위해서는 먼저 주기적인 네트워크 점검과 서버 점검을 통해 보안 취약점을 점검해야 한다. 이러한 점검을 통해 제품에 룰 적용이 잘 되어있는지 알 수 있기 때문에 주기적인 점검은 필수다. 이는 보안 솔루션의 효율적인 도입과 운영관리를 위한 점검이다.

주기적으로 모의해킹과 소스코드 분석을 통해 취약점을 진단하고 보완해야 한다. 이와 더불어 서버와 네트워크 분석도 필수다. 특히 자체 개발한 솔루션을 오픈할 때에는 오픈하기 전에 소스코드 분석을 통해 보안성을 검토하고 취약성을 체크해야 하는 것은 필수적이다.

기존 보안 업체에서 자체적으로 개발한 많은 관련 제품들이 취약점 분석을 위한 제품군을 형성하고 있다. 대부분의 제품이 취약점을 진단하고 분석하여 확인된 취약점에 대한 대책 적용을 하는데, 보안을 전문적으로 하지 않은 기술자들이 어려워한다는 점과 이러한 취약점에 대한 관리가 일원화되지 못하다는 점이 아쉬운 부분이다.

인포섹은 3월 출시한 '통합 취약점분석 관리시스템'을 통해 정보보안 컨설팅 전문업체로서 그동안 쌓아온 노하우를 취약점 분석과 진단 뿐만 아니라 대책적용에도 반영하고자 한다. 앞으로 특화된 취약점 관리를 통한 사내 환경에 최적화된 서비스를 제공할 계획이다.

'통합 취약점분석 관리시스템'은 주기적인 시스템, 애플리케이션(WAS, Web, DBMS) 취약점 진단 자동화를 비롯하여 네트워크(장비) 취약점 진단 및 웹스캔(Web Application) 진단 등 비용절감 요소를 적용, 효과적이며 편리한 관리 서비스를 제공해 주는 시스템이다.


▲ 통합 취약점분석 관리시스템의 개요





먼저, '통합 취약점분석 관리시스템'은 취약점 진단 대상 IT자산에 Agent를 설치함으로써 해당 시스템에 대한 자산식별을 목록화하여 통합 취약점분석 관리시스템(이하 Manager)에서 관리한다. 이는 네트워크 장비를 제외한 시스템, 애플리케이션(WAS, WEB, DBMS)과 WEB Application 취약점 진단 대상 시스템에 한해 식별 자동화가 구현된다.


▲ 통합 취약성분석 관리시스템 운영 프로세스





식별· 등록된 취약점 진단 대상 IT자산은 Manager를 통해 해당 IT자산 담당자가 상세정보를 등록함으로써 자산내역에 대한 이력조회 및 그룹별 통계조회와 취약점 진단 일정 및 주기적인 진단을 위한 스케줄링 등록이 가능하다.


▲ 통합 취약성분석 관리시스템 보안진단/대책적용 프로세스





취약점 진단을 위한 Script는 정보보안 컨설팅 전문업체인 인포섹에서 개발되어 그동안 지속적으로 업데이트 최적화된 진단 도구다. 현재 인포섹 컨설팅팀에서 취약점 진단을 위해 사용하고 있는데, 우선 사내 보안 담당자에 의해 Manager에 등록하게 되면 취약점 진단 대상 시스템으로 배포, 최신버전의 Scrip로 업데이트가 된다.

업데이트된 Script는 IT자산 담당자가 설정한 취약점 진단 일정에 정확히 진단이 이루어지며 바로 Manager로 진단결과가 Upload된다. Manager는 Upload된 진단결과를 토대로 각각의 시스템에 대한 취약점 진단 결과를 IT자산 담당자가 확인할 수 있도록 분석해낸다. 취약점이 발견되면 보안 관리자는 IT자산 담당자로 하여금 취약점에 대한 대책을 적용하도록 권고한다.

IT자산 담당자는 통합 취약점분석 관리시스템이 제공하는 가이드에 따라서 자신이 담당하는 자산에서 발견된 취약점에 대한 대책 적용을 실시하고 Manager에 등록함으로써 하나의 취약점 분석/대응 사이클이 마감된다. 이는 지속적으로 주기적인 사이클을 통해 취약점 관리가 이루어지며 이 모든 일련의 과정을 통해서 나타나는 결과는 정규화된 표와 시각적인 그래프를 통해 제공된다.

이 밖에도 BlackBox Test라는 웹스캐너를 시스템에 포팅함으로써 지속적인 웹스캔을 통해 수시로 취약점을 인식하고 대책을 적용할 수 있다. 이로 인해 웹애플리케이션에 존재하는 취약점 관리에 큰 도움이 될 것으로 예상한다.







저작권자 © 아이티데일리 무단전재 및 재배포 금지