[논문]서버 중심의 취약성 관리를 위한 SCAP 적용 가능성

신동천; 김선광

doi:10.21219/jitam.2019.26.4.019

서버 중심의 취약성 관리를 위한 SCAP 적용 가능성
SCAP Applicability for Vulnerability Management of Server-Oriented System 원문보기

Journal of information technology applications & management = 한국데이타베이스학회지, v.26 no.4, 2019년, pp.19 - 30

신동천 (Dept. of Industrial Security, Chung-Ang University) , 김선광 (Dept. of Industrial Convergence Security, Graduate School of Chung-Ang University)

Abstract ▼ AI-Helper

Many organizations need to comply with ISMS-P for information systems and personal information management for ISMS-P certification. Organizations should safeguard vulnerablities to information systems. However, as the kinds of information systems are diversified and the number of information systems increases, management of such vulnerabilities manually accompanies with many difficulties. SCAP is a protocol to manage the vulnerabilities of information system automatically with security standards. In this paper, for the introduction of SCAP in domestic domains we verify the applicability of server-oriented system which is one of ISMS-P certification targets. For SCAP applicability, For obtaining this goal, we analyze the structures and functions of SCAP. Then we propose schemes to check vulnerabilities of the server-oriented system. Finally, we implement the proposed schemes with SCAP to show the applicability of SCAP for verifying vulnerabilities of the server-oriented system.

주제어

표/그림 (13)

그림 SCAP Environment
표 Server Verification Items
표 Detailed Verification Items and Corresponding File Paths
그림 OVAL Component and Format
그림 Item (A)'s OVAL Structure
그림 Item (B)'s OVAL Structure
그림 Item (C)'s OVAL Structure
그림 Pwquality.conf Configuration Status
그림 login.defs Configuration Status
그림 Experiment Result
표 Experiment Environment
그림 Pam_pwquality.so Configuration Status
그림 Pam_pwhistory.so Configuration Status

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

현재 국외에선 SCAP을 통해 기관들의 보안기준들을 자동으로 점검하고 평가하고 있다. 따라서 본 연구의 목적은 국내 보안 관리 기준인 ISMS-P에 SCAP을 적용하여 보안검증을 자동화함으로써 보안 관리를 위해 필요한 자원들을 절약 하는 것이다. 국내 보안 기준들은 국제 표준을 통해 만들어 졌으며 기관에서 사용하는 정보시스템들을 만든 국외 제조회사들도 SCAP을 지원한다는 점에서 SCAP 공공 데이터를 이용할 수 있다.
이러한 검증항목에 추상성은 SCAP을 적용하는 데 어려움을 초래한다. 본 논문에서는 ISMS-P 검증 항목에 대한 검증방식을 제안한다. 다음으로 SCAP 구성요소를 제안한 검증방식에 적용한 후에 실제 서버에 대해서 취약성 검사 실험을 수행한다.
본 논문에서는 여러 검증 항목이 있지만 하나의 항목을 중심으로 리눅스 서버 시스템에 대한 검증 방안을 제시한다. 다른 항목도 제시한 절차에 따라 검증 방안을 만든다면 검증 가능하다.

제안 방법

“8보다 같거나 크다”라는 연산의 서술을 마지막으로 (A)에 첫 번째 세부항목인 비밀번호 최소길이에 대한 검증 방안을 구현하였다.
그 이외에 OVAL이 시스템적 오류로 정상적으로 동작하지 않았다면 NOT CHECKED 결과가 출력된다. (A)는 총 5가지 검증 방안으로 비밀번호 길이를 제한하는 OVAL, 한 개 이상의 특수문자를 포함하는 OVAL, 숫자를 포함하는 OVAL, 한 개 이상의 소문자 및 대문자를 포함하는 OVAL로 구현하였고 검증결과는 [Figure 6]의 (A)와 같다. 실험 대상 시스템인 리눅스는 시스템 환경설정에 관한 정보를 파일로 관리한다.
(B) 항목 “비밀번호 유효기간 정책을 설정하여 반기별 1회 이상 변경”을 패스워드 최대 사용일을 통해서 구현하였다.
pwquality 문자열이 존재하는지를 검사한다. Object에 경로 정보를 [file path] 태그를 사용하여 /etc/pam.d/system-auth로 설정하고 구체적인 대상이 되는 pam.so.pwquality 문자열이 존재하는지 검색한다. 구체적인 값을 검색하기 위해 [pattern match] 태그를 이용하여 개발한 정규 표현식 ^\s*password\s+(? : (? : required)|(? : requisite))\s+pam_pwquality\.
추측하기 쉬운 비밀번호 제한 항목에 대한 정의를 [title] 태그를 사용하여 ‘Limit Predictable Password’로 정의하고 [description] 태그로 항목에 대한 내용을 서술한다. Test는 (A) 항목과 마찬가지로 구성했으며 대상 파일인 System-auth 파일에서 pam.so.pwquality 문자열이 존재하는지를 검사한다. Object에 경로 정보를 [file path] 태그를 사용하여 /etc/pam.
본 논문에서는 ISMS-P 검증 항목에 대한 검증방식을 제안한다. 다음으로 SCAP 구성요소를 제안한 검증방식에 적용한 후에 실제 서버에 대해서 취약성 검사 실험을 수행한다. 실험에서는 ISMS-P 인증 검증평가항목 중에서 기술검증영역 중심으로 서버에 대한 자동화 검증을 한다.
ISMS-P 인증을 위한 검증 평가항목은 ‘관리체계 수립 및 운영’에 대한 점검 16개, ‘보호 대책 요구 사항’에 대한 점검 64개, ‘개인 정보처리 단계별 요구 사항’에 대한 점검 22개로 총 3개의 영역에서 총 102가지 검증평가항목이 존재한다. 본 논문에서는 검증 항목을 기술적 검증에 해당하는 영역과 관리적 검증에 해당하는 영역으로 분류한다. 특정 정보시스템의 환경설정이나 소스코드 분석, 취약성 평가와 같이 정보시스템의 배경지식을 통해서 직접적인 검증을 해야 하는 경우 기술적 검증으로 분류한다.
본 논문에서는 정보보호 및 개인 정보보호 관리체계 중 정보보호 대책에서 리눅스 페도라에 해당하는 검증 항목을 SCAP을 이용하여 자동화하였다. 그뿐만 아니라 실험 결과를 제시하여 SCAP을 통해 국내 기술적 검증항목 자동화에 대한 가능성을 보였다.
그뿐만 아니라 실험 결과를 제시하여 SCAP을 통해 국내 기술적 검증항목 자동화에 대한 가능성을 보였다. 본 실험에서 검증한 내용은 정보보호 관리체계에서 서버에 해당하는 주요 평가항목으로, 필수적으로 검증해야 하는 항목이다. SCAP을 이용한다면 본 연구에서 검증한 서버 이외에도, 검증 항목에 포함되는 다양한 플랫폼을 자동화 가능하며 ISMS-P 뿐만 아니라 다른 보안관리 기준들에도 적용이 가능하다.
원격 검증을 위해 점검 대상에 호스트와 IP를 입력하고 원격접속 포트를 지정해준다. 본 점검 대상 Fedora 20에 계정인 test를 입력해준 뒤 관리자 권한을 얻기 위해 test와 관리자의 패스워드를 입력한 한 후에 실행을 시키면 점검이 진행된다. [Figure 6]은 본 논문에서 구현한 OVAL을 SCAP Workbench를 이용하여 실험한 결과이다.
“8보다 같거나 크다”라는 연산의 서술을 마지막으로 (A)에 첫 번째 세부항목인 비밀번호 최소길이에 대한 검증 방안을 구현하였다. 항목 (A)에선 구현한 세부항목 이외에도 비밀번호 설정 시, 대문자, 소문자, 숫자, 특수문자를 포함하는 총 5개의 각각의 검증 방안이 존재하지만 위 방법과 비슷하므로 생략하였다.

대상 데이터

정보보호 및 개인정보 관리 체계란, 고도화되고 있는 침해 위협에 대응하기 위해 정보보호와 개인 정보보호의 연계가 필요함에 따라 정보보호관리체계(ISMS)인증과 개인 정보보호 관리체계(PIMS)의 혼란을 해소하기 위해 통합 운영을 목적으로 하는 백서이다. 본 논문에서는 정보시스템 인증에 대한 범위 중에서 기술적인 영역을 SCAP으로 자동화하기 위해서 ISMS-P를 대상으로 한다[한국인터넷진흥원, 2019].
실험자 PC의 운영체제는 Windows 10이며 실험대상 시스템의 운영체제는 리눅스 서버(Fedora 20)이다. 실험대상 리눅스 서버 구축은 Vmware Workstation Pro 가상머신을 이용하여 실험환경 PC에 구성하였으며 실험자 PC가 원격으로 접근 할 수 있도록 원격 접근 서비스인 OpenSSH를 설치하고 실행한 상태이다. 본 연구에서는 실험 PC 및 실험대상이 같은 네트워크 안에 존재한다.
본 논문에서 실험하고자 하는 환경은 [Table 3]과 같다. 실험자 PC의 운영체제는 Windows 10이며 실험대상 시스템의 운영체제는 리눅스 서버(Fedora 20)이다. 실험대상 리눅스 서버 구축은 Vmware Workstation Pro 가상머신을 이용하여 실험환경 PC에 구성하였으며 실험자 PC가 원격으로 접근 할 수 있도록 원격 접근 서비스인 OpenSSH를 설치하고 실행한 상태이다.
정보시스템의 직접적인 접근 없이 서면검증이나 인터뷰로 검증하는 경우 관리적 영역에 해당한다. 이러한 기준에 따르면 기술적인 검증 항목들이 23개가 존재하며 검증 대상은 서버, 응용프로그램, 데이터베이스, 네트워크 장비, 클라우드, 응용프로그램, 정보보호시스템과 같이 7개가 존재한다.

데이터처리

다음으로 SCAP 구성요소를 제안한 검증방식에 적용한 후에 실제 서버에 대해서 취약성 검사 실험을 수행한다. 실험에서는 ISMS-P 인증 검증평가항목 중에서 기술검증영역 중심으로 서버에 대한 자동화 검증을 한다.

이론/모형

SCAP을 지원하는 도구는 OpenSCAP사의 SCAP workbench와 Nessus사의 Nessus가 존재한다. 본 연구에서는 오픈소스인 OpenSCAP사의 SCAP Workbench 소프트웨어를 사용한다. SCAP Workbench는 실험자 PC에서 SSH 통신을 이용하여 피 실험 시스템에 원격접속하여 OVAL을 실행하여 구현한 검증 방안을 테스트한다.

성능/효과

CCE, CPE, CVE에 의해 표준화된 보안 취약성은 OVAL을 이용하여 취약성 검증을 자동화하고 XCCDF를 이용하여 사용자가 점검 결과를 이해하기 쉽게 검증결과를 시각화할 수 있다. 검증결과는 CVSS를 이용하여 검증결과에 대한 심각성을 점수화할 수 있으며 모든 결과를 보고서 형태로 출력할 수 있어서 결과에 대한 관리도 효율적이다.
본 논문에서는 정보보호 및 개인 정보보호 관리체계 중 정보보호 대책에서 리눅스 페도라에 해당하는 검증 항목을 SCAP을 이용하여 자동화하였다. 그뿐만 아니라 실험 결과를 제시하여 SCAP을 통해 국내 기술적 검증항목 자동화에 대한 가능성을 보였다. 본 실험에서 검증한 내용은 정보보호 관리체계에서 서버에 해당하는 주요 평가항목으로, 필수적으로 검증해야 하는 항목이다.

후속연구

본 실험에서 검증한 내용은 정보보호 관리체계에서 서버에 해당하는 주요 평가항목으로, 필수적으로 검증해야 하는 항목이다. SCAP을 이용한다면 본 연구에서 검증한 서버 이외에도, 검증 항목에 포함되는 다양한 플랫폼을 자동화 가능하며 ISMS-P 뿐만 아니라 다른 보안관리 기준들에도 적용이 가능하다. 또한, 비전문가일지라도 SCAP을 통해 기술적인 모니터링이 주기적으로 가능하며 새로운 취약점이 발견되거나 검증 항목이 변경되어도 SCAP 자원들을 이용하여 OVAL을 수정하고 새로 추가하여 지속적인 관리가 가능하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	SCAP이란 무엇인가?	SCAP(Security Contents Automation Protocol)이란, 기존의 보안표준을 이용하여 자동화된 방법으로 환경설정 및 취약성 관리, 위험성 측정, 보안 모니터링을 할 수 있도록 설계된 프로토콜이다[NIST, 2009]. SCAP을 통한 취약성 모니터링의 자동화는 시간과 비용 측면에서 효과적이며 SCAP 커뮤니티에 대한 자원들을 통해서 각기 다른 기준에 대해서도 빠르게 대처할 수 있다.
	SCAP의 요소이면서 보안 취약점에 관한 고유 식별 번호는 무엇인가?	CVE(Common Vulnerabilities and Exposures)는 제품의 취약점에 대한 SCAP의 요소이며 제품의 취약점에 대해서 고유 식별 번호 ‘CVE 식별 번호’를 부여함으로써 정보 간의 상호 참조 및 연결에 사용할 수 있다[NIST, 2002]. CCE(Common Configuration Enumeration)는 시스템 환경설정에 대한 공통 식별번호로 SCAP에서는 보안 관련 시스템 설정 항목을 확인하기 위하여 CCE를 이용하고 있다 [David, 2008].
	ISMS-P 백서를 따르기 어려운 점은 무엇인가?	예를 들어, “패스 워드 길이는 최소 8자리 이상으로 해야한다”라는 내용은 시스템의 비밀번호 환경설정에서 최소 길이에 대한 하나의 내용으로 검증이 가능하다. 그러나 ‘2.10.3 공개 서버 보안’ 항목의 내용 중 “불필요한 포트 제거”는 어떤 포트가 불필요한지에 대한 명시가 없을 뿐만 아니라 불필요한 포트는 사용자 지정에 따라 달라질 수 있고 불필요한 포트의 개수가 명확하지 않아 평가항목 내용을 적용하는데 어려움이 존재한다.

참고문헌 (18)

Andrew, B. and Neal, Z., "Common Platform Enumeration(CPE)-Specification", Technical Report, The MITRE Corporation AND National Security Agency, 2009.
Cheikes, B., Waltermire, D., and Scarfone, K., "Common Platform Enumeration : Naming Specification version 2.3", NIST Interagency Report 7695, NIST, 2011.
Chung, T.-H., "Reinforcement of Security Management for National Important Facilities : Focused on Government's Public Organizations", Korean Association for Public Security Administration, Vol. 8, No. 1, 2011, pp. 93-110.
David, M., "An Introduction to the Common Configuration Enumeration", Technical Report MITRE Corporation, 2008.
David, W. and Charles, S., "Specification for the Extensible Configuration Checklist Description Format(XCCDF) Version 1.2", NIST Interagency Report 7275, Revision 4, 2011.
Fitzgerald, W. M. and Foley, S. N., "Avoiding inconsistencies in the Security Content Automation Protocol", IEEE Conference on Communications and Network Security (CNS), ISBN : 9781-479908943, 2013.
Harold, B. and Melanie, C., "Security Content Automation Protocol(SCAP) Version 1.2 Content Style Guide", Technical Report, NIST, 2015.
Harold, B., Doug, R., and Greg, W., "The National Vulnerability Database Overview", Technical Report, NIST, 2013.
Hwang, G.-H. and Chang, T.-K., "An operational model and language support for securing XML documents", In Computers and Security, Vol. 23, No. 6, 2004, pp. 498-529.

상세보기
Korea Internet Security Agency(KISA), "Personal Information and Information Security Management", Technical Report, January 19, 2019.
Lee, S.-J. and Lee, I.-G., "A Study on the Analysis and Enhancement for Cyber Security", The Korean Association for Research of Industrial Security, Vol, 9, No. 1, 2019, pp. 69-91.
Mell, P., Scarfone, K., and Romanosky, S., "Common Vulnerability Scoring System", IEEE Security & Privacy, Vol. 4, No. 6, 2006, pp. 85-89.

상세보기
NIST, "The Technical Specification for the Security Content Automation Protocol (SCAP) : SCAP Version 1.0", NIST Special Publication 800-126 November, 2009.
NIST, "The Technical Specification for the Security Content Automation Protocol (SCAP) : SCAP Version 1.1", NIST Special Publication 800-126 February, 2011.
NIST, "Use of the Common Vulnerablities and Exposures(CVE) Vulnerability Naming Scheme," NIST Special Publication 800-51 September, 2002.
Radack, S. and Kuhn, R., "Managing security : The security content automation protocol", IT Professional, Vol. 13, No. 1, 2011, pp. 9-11.

상세보기
Soh, W.-Y. and Kim, W.-K., "Development of Security Level Evaluation Tool (ISSPET) Based on Information Security System", Korea Academy Industrial Cooperation Society, Vol. 10, No. 8, 2019, pp. 1911-1919.
Sohn, J.-M. and Lim, H.-C., "Development of Management Indicators Pool for Enhancing Enterprise Security in Public Organizations", Korean Management Consulting Review, Vol. 18, No. 1, 2019, pp. 241-252.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증