보안 감리

I. 침해 예방 감리 활동, 보안 감리

가. 보안 감리의 개념

  • 보안 침해사고 예방을 위해 인증, 접근통제, 암호화 여부 점검 등 정보시스템 보안 관점의 감리 활동

나. 보안 감리의 필요성

효과성 → 서비스 연속성 확보
효율성 → 시스템 응답성, 강건성 보장
안전성 → 개인/기업정보 유출방지
준거성 → EU GDPR 등 국내외 정책 준수

 

II. 보안 감리 프레임워크 및 감리 영역/주요 기술

가. 보안 감리 프레임워크

  • 체크리스트 등 정량적 도구를 활용하여 보안 진단 및 정합성 검증을 통해 문제점 파악, 개선사항 제시

나. 보안 감리 영역 별 감리 대상/점검 항목

영역감리 대상점검 항목
시스템– Linux PAM
– 가상화 시스템
– system-auth, su 제한
– HV 취약점, Flavor 점검
인증– X.509 Profile
– 인증/서명 체계
– RFC3280, KCAC.TS.DSIG
OTP, HSM, FIDO, RSA
네트워크– Topology 구성
– Switch Config
– Dirty/Clean Zone 구분
– ACL, Kerberos 적용
응용
프로그램
– 설계/개발 산출물
– 소스 코드
– OWASP Top10 방어
– CWE-700 7PK 준수
암호화– 암호화 알고리즘
– 암호키 길이
– SEED, ARIA, SHA-256/512
– 2035년까지 128bit 이상
데이터베이스– 개인정보암호화
– DB 암호 도구
– ISO25237, SSL 인증서적용
– Plug-in, API, Kernel 방식
  • 현재 보안 감리 품질 결정요인은 감리원의 열정, 역량에 따라 달라지므로 수행지침 등 마련 필요

 

III. 보안 감리의 한계점 및 고려사항

한계점고려사항
– 감리품질의 인력, 역량의존
– 적정성 여부 판단기준 부재
– 보안 위협 예측 어려움
– 체크리스트기반 지침마련
– 상주/추가 감리 기술자문
– 인공지능 기반 예측

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^