오늘 'WACON 2022' K-사이버 보안 우수기업 및 사이버 모의 해킹대회 시상식이 있었습니다. 이 행사는 다양한 사이버 공격으로부터 국민과 산업의 자산을 보호할 수 있는 정보보안 전문가(*화이트 해커)를 양성하고,사이버보안 산업 발전에 혁혁한 공로가 있는 모범 사례를 발굴해 공익적 사회 가치를 실현하기 위한 보안성 강화 활성화 캠페인의 일환입니다.
[*화이트 해커(White Hacker); 선의의 목적으로 해킹기술을 사용하는 보안 전문가로 윤리적 해커라고도 함]
K사이버보안 우수기업 부문에서는 엄격한 심사를 거쳐 총 11개 기업 및 공로자가 수상의 영광을 안았으며, 모의 해킹대회는 일반부와 청소년팀으로 나뉘어 각각 3팀이 1~3위 수상의 영예를 안았습니다. 무엇보다도 청소년팀의 모습이 눈에 띄었는데, 참 장하고 멋져보였습니다.~ ^^
앞서 국가공인 IT자격증 정보 중에서 '정보보안기사' 자격증 취득에 대해 언급한 적이 있는데, 오늘은 간략하게 '모의 해킹'에 대해 알아보겠습니다.
◎ 모의 해킹
: 대상 정보 시스템 자산의 취약점 및 통제 공동(control hole) 내역을 파악하기 위해 해커 및 *크래커들이 사용하는 기법을 이용하는 모의 침투 테스트라고 정의 할 수 있으며, 대상 정보 시스템 자산에 대한 보안 취약점을 파악한 후 개선 사항을 제시하기 위한 것입니다.
[*크레커(cracker); 허가받지 않은 컴퓨터 시스템에 침입하여 정보를 훔치거나 프로그램을 훼손하는 등의 불법 행위를 하는 사람을 일컬으며, 위험한 해커(dangerous hacker)라는 뜻의 '데커(decker)' 또는 흔히 '해커'라고 부름]
1. 모의 해킹을 담당하는 컨설팅
[정보보호 마스터플랜 컨설팅]
| 구분 | Stage 0 (환경 분석) |
Stage 1 (Gap Analysis) |
Stage 2 (위험 분석) |
Stage 3 (마스터플랜) |
Stage 4 (사후 관리) |
| 주요업무 | 업무 환경 분석 ● 기업목표 / 서비스 영역 ● 조직 구조 파악 ● 부서별 업무 기능, 역할 |
관리 / 물리 부문 G/A ● ISO 27001 ● ISMS(KISA) ● 정보통신 기반 시설 요건 ● IT경영 실태 평가 항목 |
현재 위험 평가 ↓ 적용 통계 평가 |
현 보안 수준 분석 ↓ 선진 사례 검토 / 분석 성공 사례 |
사후 지원 ↓ |
| 자산 파악 ● 정보 시스템 서버 목록 ● 네트워크 장비 목록 ● 보안 시스템 목록 ● Non-IT 자산 목록 |
기술 부분 G/A ● ISO 27001 ● NIST ● SANS ● OWASP ● IT 경영 실태 평가항목 |
↓ 노출 위험 평가 ↓ 자산별 전체 위험 평가 집계 |
↓ 수행 과제 도출 ↓ 우선 순위 도출 및 구현 일정 수립 |
교육 지원 ↓ |
|
| 네트워크 시스템 환경 분석 | ↓ | 기술 지원 | |||
| 애플리케이션 환경 분석 | 소요 예산 산정 | ||||
| 정보 보안 환경 분석 | ↓ | ||||
| 정보 시스템 환경 분석 | 기대 효과 분석 | ||||
| 비고 | 업무 분석 | 표준과의 | 위험 평가 | 표준과의 차이 분석 | 교육 및 기술 이전 |
| 자산 분석 | Gap Analysis 수행 | ● 잔여 위험 | 선진 사례 적용 가능성 검토 |
||
| 환경 분석 | ● 관리 / 물리 / 기술 | ● 잠재적 위험 | 보안 수준 도출 | ||
| ● 집계 | 아카텍처 / 모델 수립 |
||||
| 기간 및 예산 선정 | |||||
| 세부 수행 Active 도출 |
모의 해킹은 위 업무 중에서 기술적 부분에 포함되며, 웹 어플리케이션 취약점, 소스 진단, 침해 사고 분석, 취약점 분석, 교육 등을 담당합니다.
2. 기술적 취약점 진단 서비스
- 모의 해킹과 함께 주로 서버, 네트워크 장비, 보안 장비 등 IT자산에 대한 기술적 관점에서의 취약점 진단을 수행하여 보호 대책을 수립하는 서비스
- 기술적 취약점 진단을 자동화 툴을 이용한 자동 점검과 체크 리스트 및 인터뷰를 통한 수동 점검을 적절히 활용하여 진행함
[기술적 취약점 진단]
| 서버 / 네트워크 장비 | - OS 보안 점검 - 운용 현황 점검 - 네트워크 장비 보안 점검 |
|
| 보안 시스템 | - 보안 시스템 OS 보안 점검 - 구조적 적정성 검토 - 운용 현황 점검 |
|
| 애플리케이션 | - 애플리케이션의 운용형황 점검 - 주요 인터넷 서비스 점검 |
|
| 물리적 취약점 진단 | - 전산 시설에 대한 접근 통제 점검 - 전산 시설 및 매체에 대한 관리의 적정성 검토 - 장비 보안 현황 점검 - 일반 통제 현황 점검 - 물리적 보안 시스템 현황 점검 |
A3-Secure A3-Zone A3-Control A3-Hacking |
| 관리적 취약점 진단 | - 보안 정책/ 지침/ 절차의 적정성 점검 - 정보 보안 조직 현황 점검 - 정보 보안 교욱 체계 현황 점검 - 보안 사고 대응 체계 현황 점검 - 비상 계획에 대한 점검 - 보안 감사 체계에 대한 점검 |
|
| 모의 해킹 | - 단계별 시나리오 기반의 모의 - 침투 테스트 실시 - 웹사이트 모의 해킹 시도 |
모의 해킹을 통해 정보보호 컨설팅 및 기술적 취약점 진단에 대해서 간략히 살펴보았는데, '정보보안기사'가 무슨 일을 하는지 감을 잡으셨으리라고 생각합니다. 앞으로 모의 해킹 대회에 대해서도 관심을 가져 보시면 좋을 것 같습니다!~~ ♣
'IT 이야기' 카테고리의 다른 글
| 프로그래밍 대회 준비1 (0) | 2022.07.31 |
|---|---|
| 프로그래밍과 수학 (0) | 2022.07.29 |
| 좋은 코드 작성 원칙 (0) | 2022.07.26 |
| 취업관련 IT자격증_국제공인 (1) | 2022.07.25 |
| 취업관련 IT자격증_국가공인 (0) | 2022.07.23 |
댓글