정보보안 스토리

1. 계정관리 04. group 파일 권한 설정 가. 상세 설명 Group 파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능하다. Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기 권한을 제한하여야 한다. 나. 진단기준 양호 : /etc/group 파일의 소유자가 root(또는 bin)이고 권한이 644(rw-r--r--)인 경우 취약 : /etc/group 파일의 소유자가 root(또는 bin)가 아니거나 타사용자에게 쓰기 권한 및 접근 권한이 존재할 경우 다. 진단방법 ■ /etc/group 파일의 접근권한 확인 # ls –al /etc/group 라. 조치방안 ■ ..

1. 계정관리 01. passwd 파일 권한 설정 가. 상세 설명 “/etc/passwd” 파일의 접근권한을 제한하고 있는지 점검한다. 파일의 설정 상의 문제점이나 파일 permission 등을 점검하여 관리자의 관리상의 실수나 오류로 발생 할 수 있는 침해사고（일반 사용자 권한 /root 권한 획득）의 위험성을 점검한다. 나. 진단기준 양호 : 패스워드 파일의 소유자가 root이고 권한이 644(rw-r—r--)인 경우 취약 : 패스워드 파일의 소유자가 root가 아니거나 타사용자에게 쓰기 권한 및 접근권한이 존재할 경우 다. 진단방법 ■ /etc/passwd 파일의 접근권한 확인 # ls –al /etc/passwd 라. 조치방안 ■ /etc/passwd 파일의 권한 변경 # chmod 644 /et..

1. 계정관리 01. Default 계정 관리 가. 상세 설명 시스템 관리자는 root계정을 포함하여 모든 계정의 의심가는 디렉터리 및 파일을 정기적으로 조사하여 삭제하며, 주기적으로 불필요한 사용자 계정을 조사하여 제거하는 것이 보안상 필요하다. 나. 진단기준 양호 : root 및 시스템 계정(darmon, bin, adm, uucp, nuucp, lp, hpdb 등)을 제외하고 UID가 0인 계정이 존재하지 않는 경우 취약 : root 및 시스템 계정(darmon, bin, adm, uucp, nuucp, lp, hpdb 등)을 제외하고 UID가 0인 계정이 존재하는 경우 다. 진단방법 ■ /etc/passwd 파일의 필드 3번째 값 확인(UID=0 인지 확인) # cat /etc/passwd (예시..

1. 계정관리 01. Default 계정 관리 가. 상세 설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의 존재 유무를 검사하여 삭제한다. 대부분의 시스템에서 사용하지 않는 것이 확실한 아래의 계정들과 의심스러운 계정을 삭제하도록 하며 일반적으로 로그인이 필요치 않은 시스템 계정들은 로그인을 금지시킨다. OS나 Package 설치 시 Default로 생성되는 계정은 대부분 Default 패스워드를 사용하는 경우가 많으며 패스워드 추측공격에 악용될 수 있다. 나. 진단기준 양호 : 0S 나 Package 설치 시 기본으로 생성되는 불필요한 계정이 존재하지 않을 경우 취약 : 0S 나 Package 설치 시 기본으로 생성되는 불필요한 계정이 존재할 경우 다. 진단방법 ■ lp, ..

1. 단계별 수행 내역 요약 단계 수행 내역 사전 협의 및 범위 선정 ∙ 업무 수행에 있어 기본적인 사항에 대해 업무 담당자와 협의를 수행하는 단계 ∙ 대상 별 진단범위(애플리케이션/클라우드 서비스) 협의 및 필수 정보 요청 진단 대상파악 및 계획수립 ∙ 진단 대상에 대한 정보를 수집하고 분석하는 단계 위협 분석 ∙ 주요 예상 위협들을 분류, 시나리오를 예상하는 단계 위협 검증 ∙ 진단 항목 혹은 시나리오 기반의 웹 애플리케이션 공격을 수행하는 단계 ∙ 인증정보를 확보(협의/탈취)한 경우 업무 담당자 요청 시 클라우드 서비스 진단 수행 * 클라우드 서비스 특성 상 사용량에 따라 서비스 요금이 부과되므로, 진단 시 주의하 여 수행하도록 함 대응방안 수립 ∙ 취약 결과를 확인하고 대응방안을 제시하는 단계 1..

1. AWS 웹 애플리케이션 주요 서비스 AWS는 컴퓨팅, 스토리지, 데이터베이스, 분석, 네트워킹, 모바일, 개발자 도구, 관리 도구, IoT, 보안 및 엔터프 라이즈 애플리케이션 등 다양한 제품 군의 서비스들을 제공합니다. 본 문서에서 언급되는 주요 서비스들은 다 음과 같으며, 그 외 서비스 및 상세 내용은 공식 문서(https://docs.aws.amazon.com/)를 참고 바랍니다. - [컴퓨팅] Amazon EC2 클라우드 가상 서버 안전하고 크기 조정이 가능한 컴퓨팅 용량을 클라우드에서 제공하는 서비스 입니다. 프로세서, 스토리지, 네트워킹, 운영 체제, 구매 모델을 선택할 수 있는 세분화된 컴퓨터 플랫폼을 제공합니다. - [컴퓨팅] AWS Lambda 가상환경에서 코드 실행 지원 서버 프로..

1. 클라우드 서비스의 보안 범위 기업은 업무의 연속성을 보호하고 핵심기능을 지속하기 위해 서비스 전 역역에 보안을 적용해야 합니다. 이를 위해 네트워크, 시스템 등의 주요 인프라에 대한 위협 요인을 사전에 분석하고 예방하고, 위협 요인 발생 시 적절히 대응해야 합니다. 보안의 주요 구성요소는 관리적, 기술적, 물리적 보안이 있습니다. 클라우드 서비스 환경에서 제공자는 사용자가 이용하는 인프라의 물리적 보안을 제공합니다. 그 외 관리적, 기술적 보안 영역에 대해 사용자와 제공자는 보안에 대한 역할을 공유하게 됩니다. - 관리적 보안 클라우즈 서비스에 기존 기업 내부의 보안정책을 적용하기 어려운 부분이 있으며, 기준을 별도로 정립해야 합니다. - 기술적 보안 클라우드 서비스는 인터넷을 통해 접근 가능하므로..

1. 클라우드 유형 클라우드는 인프라의 위치와 운영기준에 따른 배치 모델과 사용자가 클라우드 컴퓨팅 서비스에 접근할 수 있는 형태에 따른 서비스 모델에 따라 유형이 분류됩니다. 1.1 배치 모델 - 퍼블릭(Public, 공공) 클라우드 클라우드 서비스 제공자를 통해 클라우를 이용하는 형태이며, 서비스를 위한 모든 IT인프라를 제공받아 사용하는 환경을 의미합니다. - 프라이빗(Pricate, 사설) 클라우드 기업이 직접 클라우드 환경을 구축하고 이를 기업 내부에서 활용하는 환경을 의미합니다. ※ 프라이빗 클라우드는 온프레미스 환경과 같이 내부망에 구성되나, 클라우드 핵심 기술인 가상화와 클라우드 스택을 보유한다는 차이점이 있습니다. - 하이브리드(Hybrid) 클라우드 클라우드 서비스 제공자의 서비스와 자..