[리눅스 서버보안] 시스템 보안에 대한 6가지 보안 주제

1. 계정과 패스워드 관리(Account & Password Management)

적절한 권한을 가진 사용자를 식별하기 위한 가장 기본적인 인증 수단이다.

시스템의 모든 자원은 사용자 계정으로 접근이 가능하다.

 

1-1. 계정 관리

• 운영체제 계정 관리
• 데이터베이스 계정 관리
• 응용프로그램 계정 관리
• 네트워크/보안 장비의 계정 관리

 

1-2. 패스워드 보안의 4가지 인증 방법

• 알고 있는 것(Something You Known) : 알고 있는 정보를 이용하여 인증하는 방법(EX: 패스워드, PIN 번호)
• 가지고 있는 것(Something You Have) : 신분증이나 OTP(One Time Password) 장치를 통한 인증 방법(EX: 출입카드, 사원카드)
• 스스로의 모습(Something You Are) : 생체 정보를 통해 인증하는 방법(EX: 지문인식, 홍채인식)
• 위치하는 곳(Something You Are) : 현재 접속을 시도하는 위치의 적절성 판단(EX: 콜백)

 

1-3. 패스워드 관리 정책 설정

• 패스워드 설정 정책 (EX: 패스워드 최소 길이와 복잡도 설정)
• 패스워드 변경 정책 (EX: 60일 또는 90일에 한번씩 패스워드 변경)
• 잘못된 패스워드 입력시 계정 잠금 (EX: 반복적인 잘못된 패스워드 입력에 대한 계정 잠금 기능 설정)

 

2. 세션 관리(Session Management)

사용자와 시스템, 시스템과 시스템 간의 접속에 대한 관리를 말한다. (사용자 ---(로그인)---> 시스템)

일정 시간이 지나면 자동으로 세션을 종료하고 비안가자에 의한 세션 가로채기를 차단한다.

 

+ 공격 방법

세션 하이재킹(Session Hijacking)

네트워크 패킷 스니핑(Packet Sniffing)

 

3. 접근 제어(Access Control)

시스템 또는 서비스가 공격자로 부터 적절히 보호될수 있도록 네트워크 관점에서 접근 통제한다.

 

4. 권한 관리(Authorization Management)

시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산을 접근할 수 있도록 통제한다.

 

5. 로그 관리(Logging Management)

시스템 또는 네트워크를 통한 외부에서 시스템에 영향을 미칠 경우 해당 사항을 기록한다.

 

6. 취약점 관리(Vulnerability Management)

시스템 자체의 결함을 체계적으로 관리하는 것이 중요하다.

 

※ 주요정보통신기반시설 기술적 취약점 분석/평가

http://www.kisa.or.kr/public/laws/laws3.jsp