2019년 2월 20일
보안 감리
I. 침해 예방 감리 활동, 보안 감리
가. 보안 감리의 개념
- 보안 침해사고 예방을 위해 인증, 접근통제, 암호화 여부 점검 등 정보시스템 보안 관점의 감리 활동
나. 보안 감리의 필요성
효과성 → 서비스 연속성 확보 효율성 → 시스템 응답성, 강건성 보장 안전성 → 개인/기업정보 유출방지 준거성 → EU GDPR 등 국내외 정책 준수 |
II. 보안 감리 프레임워크 및 감리 영역/주요 기술
가. 보안 감리 프레임워크
- 체크리스트 등 정량적 도구를 활용하여 보안 진단 및 정합성 검증을 통해 문제점 파악, 개선사항 제시
나. 보안 감리 영역 별 감리 대상/점검 항목
영역 | 감리 대상 | 점검 항목 |
---|---|---|
시스템 | – Linux PAM – 가상화 시스템 | – system-auth, su 제한 – HV 취약점, Flavor 점검 |
인증 | – X.509 Profile – 인증/서명 체계 | – RFC3280, KCAC.TS.DSIG – OTP, HSM, FIDO, RSA |
네트워크 | – Topology 구성 – Switch Config | – Dirty/Clean Zone 구분 – ACL, Kerberos 적용 |
응용 프로그램 | – 설계/개발 산출물 – 소스 코드 | – OWASP Top10 방어 – CWE-700 7PK 준수 |
암호화 | – 암호화 알고리즘 – 암호키 길이 | – SEED, ARIA, SHA-256/512 – 2035년까지 128bit 이상 |
데이터베이스 | – 개인정보암호화 – DB 암호 도구 | – ISO25237, SSL 인증서적용 – Plug-in, API, Kernel 방식 |
- 현재 보안 감리 품질 결정요인은 감리원의 열정, 역량에 따라 달라지므로 수행지침 등 마련 필요
III. 보안 감리의 한계점 및 고려사항
한계점 | 고려사항 |
---|---|
– 감리품질의 인력, 역량의존 – 적정성 여부 판단기준 부재 – 보안 위협 예측 어려움 | – 체크리스트기반 지침마련 – 상주/추가 감리 기술자문 – 인공지능 기반 예측 |