금융회사 취약점 분석ㆍ평가-2

취약점 컨설팅 말고 우리가 직접 하면 안 되나요?

컨설팅을 받지 않고 취약점 점검 솔루션을 통해 자체적으로 진행할 수도 있다. 컨설턴트가 담당하는 업무를 보안담당자들이 수행하는 방식이다. 다만 조건이 있다.

---

전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석·평가 주기, 내용 등) ② 금융회사 및 전자금융업자는 취약점 분석·평가를 위하여 정보보호최고책임자(정보보호최고책임자가 없는 경우 최고경영자가 지정한다)를 포함하여 5인 이상으로 자체전담반을 구성하여야 하며, 구성원 중 100분의 30 이상은 「정보보호산업의 진흥에 관한 법률 시행규칙」 제8조의 정보보호 전문서비스 기업 지정기준에서 정한 고급 기술인력 이상의 자격을 갖춘 자이어야 한다. 다만, 제37조의3제1항에 따른 평가전문기관에 위탁하는 경우에는 자체전담반을 구성하지 아니할 수 있다. 

---

CISO 포함 + 5인 이상 + 1/3 이상 고급기술 인력 = 자체점검 가능

초급, 중급, 고급의 기준은 정보보호산업의 진흥에 관한 법률 시행규칙 별표1을 보면 된다. (링크)

이렇게만 보면 컨설팅을 받지 않고 담당자들끼리 모여서 자체 점검하는 게 나아 보일 수 있다. 하지만 각종 문서작업, 담당자 인터뷰, 점검기준 확인 등 해야 할 일이 적지는 않다.

또한 매번 동일한 담당자가 동일한 방식으로 취약점을 점검하기에 형식적인 업무가 되어버릴 수 있다. 영향도 분석 때문에 예외 처리했던 계정 등 이미 담당자가 알고 있기 때문에 넘어가는 경우가 생길 수 있다. 그렇기 때문에 꼭 자체점검이 좋다고 볼 수는 없다.

취약점 점수가 50점 ??

취약점 분석평가 결과가 모든 영역에서 만점으로 나오지는 않는다. 운영자가 작업을 하면서 임의로 설정을 바꿔놨을 수도 있고, 장비 교체, 신규 서비스 오픈 등 여러 가지 케이스가 있기 때문이다.

또한 1차 점검결과라면 더욱 낮을 텐데 아래와 같이 스크립트로 확인하기 어려운 점검사항이 있기 때문이다.

<주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드, 출처: KISA>

한 가지 예로 주요정보통신기반시설 점검 가이드에 Unix 서버 대상으로 불필요한 계정 제거 항목이 있다.

실제로 불필요한 계정인지 아닌지 스크립트는 알 수 없다. 담당자가 실제 사용 여부를 파악해야 하기 때문에 1차 점검 시 취약으로 나올 수 있다.

이 외에도 이전에 나왔던 취약점 재검 출, 점검항목 변경, 인프라 구성 변경 등등 다양한 사유가 있기 때문에 담당자는 주기적으로 확인해야 한다.

도출된 취약점들은 조치계획(즉시, 단기, 중기, 장기)을 잡고 조치를 이행해야 한다. 다음 해 취약점 분석 평가 시 조치 완료 여부와 조치 예정일자를 또다시 보고해야 하기 때문에 조치 여부와 일정관리를 체계적으로 해야 한다.

모의해킹은 어디 어디가 잘하더라

연 2회 이상 진행해야 하는 홈페이지의 취약점 점검은 모의해킹이라고 말한다. 실제로 해커들에게 의뢰를 하진 않지만 해커처럼 취약점을 찾고 침투를 한다.

간혹 타사의 담당자들이 어느 전문기업이 잘하는지 물어보는 경우가 있다. 정답은 투입된 인력 by 인력 그리고 일정에 따라 다르다. 

따라서 특정 전문기업이 모의해킹을 잘하고 못하고 등은 별로 영양가 있는 이야기는 아니다. 주어진 시간 대비 모의해킹을 잘하는 인력이 많다더라가 맞는 이야기다. 이 또한 일정에 따라 바뀌게 된다.

모의해킹 IP는 예외 해줘

모의해커의 IP를 보안장비에서 예외처리하는 경우와 그렇지 않은 경우가 있다. 각 장단점이 있는데, 예외처리를 하는 경우 홈페이지의 서비스 로직이나 서버 자체의 취약점을 발견할 수 있는 장점이 있다. 하지만 실제 접속구간에서 우회가 가능한지는 알 수 없다.

예외처리 없이 진행되는 경우 위에서 단점으로 언급된 접속구간의 우회점을 찾을 수 있고 실제 해커가 보안장비들을 우회하기 위해 어떤 시도를 하는지 등을 볼 수 있다. 하지만 모의해커에게 주어진 시간이 한정되어있기 때문에 보안장비를 우회하지 못한다면 실제 웹서버가 갖고 있는 취약점을 발견하지 못한다는 단점이 있다.