본문 바로가기

Work Log/As Cybersecurity Consultant

효과적인 방어를 위한 스무가지의 주요 통제

SANS 연구소에서 업데이트 하고 있는 연구 자료 중에 유용하다고 생각하는 자료가 있어서 포스팅을 해봅니다.

영문 제목은 "Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines" 입니다. 현재 버전은 2.3 이군요

외부, 내부로부터의 위협을 통제하기 위하여 중요한 통제항목들이 무엇인지 고민하고 있을 때에 참고 할만한 자료라고 생각합니다. 물론 ISO 27001이나 ISMS 등의 정보보호관리체계를 참고하여 전반적인 보안체계를 갖추는 것이 기본이 되겠지만, 여기에서 이야기하는 통제활동들은 가능한 자동화하고, 지속적으로 관리를 해야 하는 항목이라고 생각을 합니다.

20가지의 주요 통제항목은 크게 2가지로 구분을 하고 있습니다. 1번부터 15번 까지는 솔루션 등을 통하여 자동화가 가능한 기술적인 보안통제 항목들이고, 16번 부터 마지막인 20번 까지는 완전히 자동화를 하기에는 어려운 관리적인 측면의 통제 항목들입니다.


20 Critical Security Controls

○ Critical Control 1: Inventory of Authorized and Unauthorized Devices
○ Critical Control 2: Inventory of Authorized and Unauthorized Software
○ Critical Control 3: Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
○ Critical Control 4: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
○ Critical Control 5: Boundary Defense
○ Critical Control 6: Maintenance, Monitoring, and Analysis of Audit Logs
○ Critical Control 7: Application Software Security
○ Critical Control 8: Controlled Use of Administrative Privileges
○ Critical Control 9: Controlled Access Based on Need to Know
○ Critical Control 10: Continuous Vulnerability Assessment and Remediation
○ Critical Control 11: Account Monitoring and Control
○ Critical Control 12: Malware Defenses
○ Critical Control 13: Limitation and Control of Network Ports, Protocols, and Services
○ Critical Control 14: Wireless Device Control
○ Critical Control 15: Data Loss Prevention
○ Critical Control 16: Secure Network Engineering
○ Critical Control 17: Penetration Tests and Red Team Exercises
○ Critical Control 18: Incident Response Capability
○ Critical Control 19: Data Recovery Capability
○ Critical Control 20: Security Skills Assessment and Appropriate Training to Fill Gaps

자세한 설명은 해당 웹사이트나 아래에 첨부한 PDF 파일을 참고하세요


계층 별로 분류해 본 통제항목들

아래는 위의 20 Critical Controls를 보고, 정보를 서비스 하는 각 계층 별로 구분한 것입니다.
수평의 선들이 각 계층에서 어느 부분을 통제하는지(통제해야하는지)를 나타낸 것이구요. 맨 아래의 주황색 선은 관리적인 부분이라 별도로 표기를 하였습니다.





각 통제 항목 별로 실제 어떤 솔루션이 있는지

위에서 나누어 본 각 통제 별로 어떤 솔루션들이 존재하는지, 살펴보는 것도 흥미로운 일이라고 생각합니다. 예를 들어 아래와 같이 말이죠.

기본적으로 어플리케이션이나 운영체제 또는 네트워크 장치나 기타 보안장비들은 접근 제어 기능을 제공하고 있습니다. 운영체제에서 기본적으로 제공하는 DAC 기반의 접근제어를 생각해볼 수가 있겠습니다. DRM이나 흔히 보안OS, SecureOS와 같은 MAC, RBAC 기반의 접근통제모델을 제공하는 보안제품을 생각해볼 수도 있겠구요.



이런 통제들이 지속적으로 잘 이루어지는지를 검증하려면

구현 하는 것도 매우 중요한 일이지만 통제들이 지속적으로 되고 있는지 주기적으로 검토하는 것이 매우 중요할 것입니다.

예를 들어 방화벽의 경우 필요에 의해서 '허용' 룰을 추가하는 경우가 있습니다. 솔루션 BMT가 있다던가, 기술지원을 한다던거 하는 이유로 임시로 외부에서 접근이 필요해서 종종 발생을 하게 됩니다. 하지만 해당 업무가 끝나고 "나 다 썼으니 이제 해당 룰 삭제해도 됩니다" 라고 이야기 해주는 사람이 그리 많지가 않습니다. 이런 정책들은 취약점이 될 수가 있겠지요.

다른 예를 들어봅시다. VPN계정의 경우 보통 한 사람이 하나의 계정을 사용하도록 정책을 수립합니다. 아무래도 외부에서 내부망을 사용하는 중요한 통로이니 추적성을 확보하는 것이 중요하겠지요. 하지만 실제는 생각과는 많이 다르더군요. 로그를 보면 공용으로 사용되는 경우도 많고, 어떻게 알게 됐는지는 모르겠지만 다른 사람 계정을 도용한 경우도 있습니다.

이처럼 통제들이 잘 적용이 되고 있는지를 확인하는 것이 필요하고, 통제가 잘 이루어진다는 보증을 얻는 수단이 필요할텐데요, 로그를 통합하여 주기적으로 분석하고 관리하면 가능하다고 생각합니다. ^^