단계별 내부통제항목 - 탐지 (2)

 

 

③ 보안 점검
중요 자산 보호 및 정보보호를 위하여 연 1회 이상 보안 점검을 시행하여야 한다. 보안 점검은 관리적, 기술적, 물리적 보안에 대하여 수행하여야 하며, 보안 정책, 지침, 절차, 매뉴얼의 “준수 여부”를 검토하고 관련 법규 준수 여부를 점검하여야 한다. 

관련표준 및 지침

K-ISMS	N/A
ISO/IEC 27002:2013	A.12.7.1 Information systems audit controls A.18.2.1 Independent review of information security A.18.2.2 Compliance with security policies and standards A.18.2.3 Technical compliance review
NIST SP 800-53	AU-1, AU-2, SI-4 PM-9, CA-1, CA-2, CA-7, SA-11

 

 

5) 비즈니스 파트너 보안
① 비즈니스 파트너 보안 점검
비즈니스 파트너가 계약 시 합의한 보안요구사항의 준수 여부를 “관리 감독”하고 주기적으로 “점검” 및 “감사”를 수행하여야 한다. 또한 비즈니스 파트너로부터 자체 보안점검을 정기적으로 수행하도록 하고 정기 점검 결과를 보고하도록 하여야 하며, 문제점 발생 시 필요한 조처를 하여야 한다. 
또한, “전자금융 감독규정” “제60조(외부 주문 등에 대한 기준)” 조항에 다음과 같이 보안 점검을 수행하도록 규정하고 있다. 

 

『제60조(외부 주문 등에 대한 기준) ① 금융기관 또는 전자금융업자는 전자금융거래를 위한 외부 주문 등의 경우에는 다음 각호의 사항을 준수하여야 한다.
14. 외부 주문 등은 자체 보안성 검토 및 정기 보안점검 실시』

관련표준 및 지침

K-ISMS	3.2.1 외부자 보안 이행 관리
ISO/IEC 27002:2013	A.15.2.1 Monitoring and review of supplier services A.15.2.2 Managing changes to supplier services
NIST SP 800-53	SA-9 SA-9, SA-10

 

 

[참조]

- 악의적인 명령어 주입 공격(SQL injection): 입력문에 구조화 조회 언어(SQL)문에 대한 필터링이 없을 경우 해커가 SQL문으로 해석될 수 있는 입력을 시도하여 데이터베이스에 접근할 수 있는 보호 취약점. 웹 브라우저 주소(URL)창 또는 사용자 ID 및 패스워드 입력 화면 등에서 데이터베이스 SQL문에 사용되는 문자 기호(‘ 및 “)의 입력을 적절히 필터링하지 않은 경우에 해커가 SQL문으로 해석될 수 있도록 조작한 입력으로 데이터베이스를 인증 절차없이 접근, 자료를 무단 유출하거나 변조할 수 있다. 예를 들어 관리자 ID와 패스워드에 아래 문자열을 입력했을 때 로그인되면 취약점이 존재한다. ID : ’or 1=1 ; -- 패스워드 : ’or 1=1 ; -- (IT용어사전, 한국정보통신기술협회)

- 악의적인 명령 실행(XSS):  공격자가 실행 가능한 악성코드를 웹 페이지에 삽입하고, 다른 사용자로 하여금 악성코드가 삽입된 웹 페이지를 보게 함으로써 공격을 하는 기법으로, 약어로는 XSS로 불린다. OWASP(Open Web Application Security Project)에서 발표한 심각한 웹 애플리케이션 보안 위협 리스트에서 2010년에 2위, 2014년에는 3위를 기록했다.

 

XSS의 공격 대상은 서버가 아닌 일반 유저라는 점에서 매우 큰 파급력을 가진다. 대표적인 공격 대상은 게시판에 작성되어 있는 글, 쪽지, 이메일 등이며, 한국에서도 대형 커뮤니티 웹 사이트 광고 서버를 이용하여 웹 페이지에 접속되는 사용자들에게 악성코드를 유포하는 랜섬웨어 사건이 발생한 바 있다. (두산백과 두피디아, 두산백과)

- 버퍼 오버플로우(buffer overflow):  서버에서 가동되고 있는 프로그램에, 설정되어 있는 수신 용량보다 훨씬 큰 용량의 데이터를 한꺼번에 보낼 때 서비스가 정지되는 상태. 보낸 데이터에 특수한 실행 프로그램을 넣어두면, 정지시킨 서비스가 관리자 권한으로 움직이는 경우에 그 특수한 프로그램이 관리자 권한으로 동작한다. 이렇게 하여 서버에 침입하여 다양한 공격을 한다. 버퍼 오버 플로는 응용 프로그램을 이용하여 보내진 데이터가 수신 용량을 넘는지를 체크하도록 해두면 막을 수 있다. (컴퓨터인터넷IT용어대사전, 전산용어사전편찬위원회)

- 환경설정 취약점: 디렉터리 리스팅(Directory Listing)은 웹 브라우저에서 웹 서버의 특정 디렉터리를 열면 그 디렉터리에 있는 파일과 목록이 모두 나열되는 것을 의미한다. 물론 관리자가 특정 디렉터리를 리스팅이 가능하도록 일부러 설정하는 경우도 있다.
그러나 상당수는 관리자가 이러한 설정 사항을 인지하지 못했거나 웹 서버 자체의 취약점으로 인한 것이다. 취약점으로 인한 경우에는 www.wishfree.com/%3f.jsp와 같이 간단한 공격 코드로도 디렉터리 리스팅을 수행할 수 있으므로 패치를 적용해야 한다.
백업 및 임시 파일 존재:  개발자들이 웹 사이트를 개발하고 난 후 웹 서버에 백업 파일이나 임시 파일들을 삭제하지 않은 채 방치하는 경우가 종종 있다. 이럴 경우 공격자의 입장에서는 백업 파일을 발견하면 웹 어플리케이션의 내부 로직 및 데이터베이스 접속 정보 등 중요한 정보를 획득할 수 있다. 흔히 login.asp 파일이 웹 서버의 편집 프로그램이 자동으로 생성하는 login.asp.bak과 같은 형태로 남는 경우를 말한다.
주석 관리 미흡:  일반적으로 프로그램의 주석은 개발자만 볼 수 있으나, 웹 어플리케이션의 경우에는 웹 프록시를 통해 이용자도 볼 수 있다. 주석에는 개발 과정이나 웹 어플리케이션의 관리 목적으로 주요 로직에 대한 설명, 디렉터리 구조, 테스트 소스 정보, 심지어는 아이디와 패스워드 등의 여러 가지 정보가 기록될 수 있다. 따라서 웹 어플리케이션 개발 시에는 주석에 기록되는 정보를 주의할 필요가 있다. (정보 보안 개론, 2013. 6. 28., 양대일)

- ISO (2012), “Information technology - Security techniques - Code of practice for information security controls,” ISO.
- Ross, Ronald S (2013), “Security and Privacy Controls for Federal Information Systems and Organizations,” 1–457.
- 한국인터넷진흥원(2013), “ISMS 인증기준 세부점검항목”, 한국인터넷진흥원