정보보안 스토리

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 관리자 그룹에 최소한(root 계정과 시스템 관리에 허용된 계정)의 계정만 존재하는지 점검 ○ 점검목적 : 관리자 그룹에 최소한의 계정만 존재하는지 점검하여 취약한 계정 관리로 발생하는 시스템 침입에 잘 대비되어 있는지 확인 ○ 보안위협 : 시스템을 관리하는 root 계정이..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 계정 중 불필요한 계정(퇴직, 전직, 휴직 등의 이유로 사용하지 않는 계정 및 장기적으로 사용하지 않는 계정 등)이 존재하는지 점검 ○ 점검목적 :불필요한 계정이 존재하는지 점검하여 관리되지 않은 계정에 의한 침입에 잘 대비하는지 확인 ○ 보안위협 : OS나 Package ..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 정책에 패스워드 최소 사용기간 설정이 적용되어 있는지 점검 ○ 점검목적 : 패스워드 최소 사용 기간 설정이 적용되어 있는지 점검하여 사용자가 자주 패스워드를 변경할 수 없도록 하고 관련 설정(최근 암호 기억)과 함께 시스템에 적용하여 패스워드 변경 전에 사용했던 패스워드를 ..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 정책에 패스워드 최대(90일 이하) 사용기간 설정이 적용되어 있는지 점검 ○ 점검목적 : 패스워드 최대 사용 기간 설정이 적용되어 있는지 점검하여 시스템 정책에서 사용자 계정의 장기간 패스워드 사용을 방지하고 있는지 확인 ○ 보안위협 : 패스워드 최대 사용기간을 설정하지 않..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 정책에 패스워드 최소(8자 이상) 길이 설정이 적용되어 있는 점검 ○ 점검목적 : 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 소유자 불분명한 파일이나 디렉터리가 존재하는지 여부를 점검 ○ 점검목적 : 소유자가 존재하지 않는 파일 및 디렉터리를 삭제 및 관리하여 임의의 사용자에 의한 불법적 행위를 사전에 차단 ○ 보안위협 : 삭제된 소유자의 UID와 동일한 사용자가 해당 파일, 디렉터리에 접근 가능하여 사..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : root 계정의 PATH 환경변수에 “.”이 포함되어 있는지 점검 ○ 점검목적 : 비인가자가 불법적으로 생성한 디렉터리를 우선으로 가리키지 않도록 설정하기 위해 환경변수 점검이 필요 ○ 보안위협 : 관리자가 명령어(예: Is, mv, cp등)를 수행했을 때 root 계정의 PATH..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검 ○ 점검목적 : 일부 오래된 시스템의 경우 패스워드 정책이 적용되지 않아 /etc/passwd 파일에 평문으로 ..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검 ○ 점검목적 : 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등) 시도 시 로그인 실패 임계값에 따라 로그인을 차단하고 있는지 확..

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 Unix 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용 되어 있는지 점검 ○ 점검목적 : 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 대비가 되어 있는지 확인 ○ 보안위협 : 패스워드 복잡성 설정이 되어..