$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

기업보안 강화를 위한 취약점 진단 통합관리 체계 구축 원문보기

정보와 통신 : 한국통신학회지 = Information & communications magazine, v.31 no.5, 2014년, pp.39 - 45  

문호건 (KT-ICT Convergence연구소) ,  박성철 (KT-ICT Convergence연구소)

초록
AI-Helper 아이콘AI-Helper

기업활동에서 IT에 대한 의존도가 증가함에 따라 기업들은 다양한 소프트웨어 및 하드웨어 플랫폼에서 제공되는 서비스들을 운영하고 있다. 서비스들이 보급, 확대되는 과정에서 새로운 보안 취약점들이 나타나고, 이들 취약점을 악용한 기업정보의 유출 및 해킹 등 보안사고의 발생도 비례하여 증가하고 있다[1]. 특히 다양한 유형의 사업을 운영하는 지주회사 또는 대기업 그룹사의 경우, 사업영역별로 운영 중인 IT 인프라의 보안 취약점이 네트워크로 연결된 타 사업용 IT 인프라에 대한 사이버 침해의 통로로 악용될 가능성이 있다. 이 같은 문제의 해결을 위해 기업들은 사업영역 별로 보유한 IT 인프라의 보안 취약점 진단과 대응을 위한 솔루션들을 도입, 운영해 오고 있다. 하지만 기업의 보안 거버넌스 관점에서 보안 취약점 관리도 전사적인 보안 정책과의 연계 강화, 투자 중복의 방지, 효과적인 관리와 통제에 대한 필요성이 대두되기 시작했다. 보안 거버넌스 체계 강화에 대한 기업의 요구변화에 맞춰 보안 취약점의 통합관리를 지원하는 상용 솔루션들이 일부 출시되고 있으나 기업들이 기 운영하고 있는 개별 취약점 진단 솔루션과의 연동, 로그관리 및 기업이 요구하는 특화된 기능 구현 등의 어려움이 도입에 장애가 되고 있다. 따라서, 대기업을 중심으로 개별 보안 취약점 진단 솔루션들을 연동하여 기업보안 거버넌스를 효과적으로 지원할 수 있도록 취약점 관리업무 프로세스의 재설계와 함께 취약점 진단 통합관리 체계를 구축하고 있다[2][3][4]. 본고는 보안 취약점 관리업무의 문제점을 소개하고, 최근 대 기업을 중심으로 활발히 구축이 추진되고 있는 웹 기반의 취약 점 진단 통합관리 체계의 개념, 기능 및 운영 프로세스를 소개한다. 아울러, 기업 IT 인프라에 대한 보안 취약점 진단 데이터를 축적하여 기업 내부의 보안위험 요소를 사전예측하고, 정보보호의 투자 대비 효과(ROSI: Security Return on Investment)를 효과적으로 산정하는 인프라로서 활용 가치를 소개한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 고는 기존의 보안 취약점 관리체계가 갖는 운영상의 문제를 해결하고, 기업보안의 거버넌스 강화를 지원할 수 있는 취약점 통합관리 체계를 설계 및 구현하는 방안을 제시한다.
  • 취약점 진단 통합관리 체계는 규제법에서 요구하는 준수 항목을 관리하여 기업이 보유하고 있는 정보자산의 보안취약점을 자가 진단, 조치할 수 있게 함으로써 사이버 침해사고를 예방하는 것을 목적으로 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
기업 IT인프라의 보안 취약점을 관리하는 운영자들이 직면한 어려움은 무엇인가? 첫째, 보안 취약점의 진단과 대응에 필요한 일정 수준의 전문지식을 갖춘 운영자를 확보하기 어렵다. 보안 취약점은 관리대상에 따라 개별적인 전문성이 요구되므로 한 명의 운영자가 대응할 수 있는 관리범위가 제한적이다. 둘째, 보안 취약점 진단 및 대응과 관련한 이력 관리가 어렵다. 규제법이 정한 관리적, 기술적 보호조치 항목에 대해 자체적인 대응 조치를 하고, 감독기관의 정기적인 심사를 받은 결과에 대한 이력을 지속적으로 관리하는 것은 운영자에게 추가적인 업무부담으로 작용한다. 셋째, 보안 취약점들을 신속하게 탐지하고 상시 대응하기 어렵다. 대부분의 기업은 소수의 보안 관리자가 전체 IT 인프라에 대한 보안관리를 담당하는 경우가 많다. 다수의 장비, 운영체제, 응용 프로그램 및 네트워크 서비스 등 일상적인 보안 취약점 관리가 필요한 대상이 증가함에 따라 상시 보안대응을 위한 충분한 시간적 여유가 없다. 넷째, 취약점 진단 시스템에 등록된 IT 자산과 자산관리 시스템의 정보가 일치되지 않은 경우가 있다. 기업에서 일반적으로 자산관리와 보안관리 업무가 분리되어 있어 취약점을 진단하는 시점에 자산관리시스템에 등록된 정보가 현행화 되지 않아 등록되지 않은 자산이 취약점 스캐너에 탐지되는 상황도 자주 발생한다. 다섯째, 보안 취약점 진단 결과에 따른 다양한 분석 보고서 작성이 어렵다. 대부분의 기업들이 운영하고 있는 취약점 진단 솔루션들은 시스템 운영 방식,취약점 진단 영역및 진단 로그의 형태가 제각기 상이하다. 이 같은 문제로 인해 개별적인 보안 취약점 진단 결과를 바탕으로 기업보안의 수준을 일관되게 파악할 수 있는 보고서를 작성하는 것이 어렵다. 여섯째, 보안 취약점 진단과 결과 조회를 위한 접근제어용 인증 및 권한관리가 어렵다. 대부분의 시스템은 계정(ID)과 비밀번호(Password)만으로 시스템 접근제어를 하고 있다. 보안 최고책임자가 하위 조직의 보안관리 책임자 및 시스템 운영자의 접속 인증 및 권한관리 설정을 할 수는 있다. 하지만 기업의 인사시스템과 연동하지 않을 경우 시스템 접근제어를 효과적으로 하기 어려워진다.
취약점 진단 통합관리 체계의 목적은 무엇인가? 취약점 진단 통합관리 체계는 규제법에서 요구하는 준수 항목을 관리하여 기업이 보유하고 있는 정보자산의 보안취약점을 자가 진단, 조치할 수 있게 함으로써 사이버 침해사고를 예방하는 것을 목적으로 한다.
웹 기반의 보안 취약점 진단 통합관리 서비스 제공을 위한 시스템 요구사항의 영역은 어떻게 나눌 수 있는가? 웹 기반의 보안 취약점 진단 통합관리 서비스 제공을 위한 시스템 요구사항은 과 같이 시스템 운영 공통영역, 취약점 진단 대상인 자산관리 영역, 취약점 진단기능 영역, 진단결과분석을 기반으로 한 의사결정 지원 영역으로 나눌 수 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (5)

  1. KISA, "2013년 주요 침해사고 사례와 대응", 2013.12 

  2. 나일 소프트, http://www.nilesoft.co.kr/ 

  3. 안랩, http://www.ahnlab.com/ 

  4. 장승주, "컴퓨터 시스템 보안 및 보안취약점 점검 도구 동향", IITA, 2008.11.5 

  5. KT-ICT, "취약점 진단 통합관리 시스템 설계서", 2013.8 

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로