안녕하세요 보안코치 제로썬이에요 :)
보안 엔지니어에서는 보안장비 구축부터 유지보수, 기술지원 등에에 대해서 알아봤어요~!!(못 보신 분들은 아래 링크로 보고 와주세요^^)
https://zerotrust.tistory.com/39
보안장비 운영자(담당자)와 보안 엔지니어에 대해서 알아봤는데요. 보안 직무들에 대한 연관성은 조금씩 연결 또는 연관되어 있는것을 알 수 있게 되는데요. 상호간에 어떤 부분이 연관되어 있고 어떤 관점들을 다르게 보는지 보시면 좋을 것 같습니다.
오늘은 취약점 진단에 대해서 알아 보려고 합니다. 취약점 진단은 보안 직무 중에서도 모의해킹 분야를 주니어 분들이 선호하는 직무이지 않을까 생각해요. 하지만 현실적으로 당장에 취약점 진단을 하기란 어렵기도 하고 보안업체에서도 많이 뽑지 않아 당장에 할 수 있는 보안직무가 아닌 것은 예전이나 지금이나 비슷한 것 같아요.
취약점 진단은 컨설팅이라는 분야에서 한 부분을 맡게 되는데요. 우선 컨설팅 분야에서는 크게 법률적, 관리적, 물리적, 기술적 중에 기술적에서 취약점 진단과 모의해킹이 속합니다.
취약점 진단
정보자산에 피해를 끼칠 수 있는 보안위협을 확인하고, 정보자산 취약성에 따라 발생할 수 있는 위험정도와 피해규모를 평가하고, 이를 감소시킬 수 있는 통제방법을 도출하는 전문가
취약점 진단 전문가는 위험을 도출하고 평가하고 이를 감소 시킬 수 있는 방법, 즉 대처방안까지 알아야 합니다.
취약점 진단을 통해 침해 위협을 사전에 예방을 하고, 취약점 진단에 대한 체크 리스트 기반(상, 중, 하) 기준으로 확인하는다는 점인데요. 위험도 평가를 점수로 하면 안되냐고 할 수 있겠죠?
당연히 할 수 있습니다~! 위험평가 기준은 각 기관, 기업에서 만들고, 평가를 수행하고 이를 대응하는데 필요한 것들을 수립하고 적용하여 위험에 대한 대안을 마련하는게 핵심이니깐요.
취약점 진단/분석에 대한 가이드는 "주요정보통신 기반시설 기술적 취약점 분석", "클라우드 취약점 점검 가이드" 등 정부기관에서 제공해주는 것을 참고 하시면 되겠습니다!
상단 메뉴 참고 자료(링크)에 올려 놓을게요.
https://zerotrust.tistory.com/40
취약점 진단 및 분석을 배우고 싶으신 분들은 정부기관에서 제공해주는 취약점 진단 가이드들을 보시면 큰 도움이 될 거라고 생각하는데요.
왜 해당 취약점 진단 가이드를 봐야 하는 이유는 우선적으로 정부기관은 해당 취약점 진단 가이드를 기본적으로 하기 때문이에요. 그리고 가이드를 가지고 보안업체에서 취약점 진단 리스트를 커스텀, 항목을 추가하여 사용하기 때문인데요. 그렇다면 해당 항목을 가지고 기본적으로 취약점 진단을 한다는 것을 알 수 있고, 점검되는 주요 대상, 주요 대상별 취약점 분석 및 평가 항목, 점검 내용, 목적, 위협정보, 판단 기준, 조치방법에 대해서 설명이 나와 있기 때문에 기본적으로 어떤 업무를 할 수 있고, 무엇을 배우고 익혀야 하는지 알 수 있다고 할 수 있는 것이죠.
취약점 진단을 하기 위해 아래와 같은 업무를 하게 되는데요
1. 취약점 진단 계획서를 작성한다.
2. 취약점 진단 및 분석을 한다.
3. 취약점 진단 분석 결과 보고서를 작성한다.
4. 고객, 담당자 등에게 결과 보고 및 리뷰를 진행한다.
5. 취약점 진단 결과에 따른 취약점 제거 조치를 위해 조치방법, 대응 가이드를 제공하고 지원을 해준다.
6. 개발팀 등에서 취약점 제거 조치를 한다.
7. 취약점 제거 조치가 잘 조치가 되었는지 확인하는 이행점검을 한다.
8. 이행점검에서 취약점 제거가 제대로 되지 않은 항목에 대해서 재조치가 필요하다고 전달한다.
9. 최종적으로 취약점 제거 조치 및 이행점검이 끝나면 최종 결과 보고를 작성하여 보고한다.
취약점 진단은 소프트웨어 개발 단계와 개발이 모두 완료된 제품 대상으로 할 수도 있을텐데요. 취약점 진단을 언제 하는게 좋냐고 하면 당연하 개발 단계부터 확인하는게 좋겠죠? 이유는 완성된 제품 대상으로 취약점 진단에서 나온 위험성이 큰 부분이 나왔을 때 쉽게 조치할 수 있다면 괜찮겠지만 그렇지 않은 경우에 대한 대처할 수 있는 방안이 정말 제약적이거나 할 수 없을 수도 있습니다. 설계적 결함에 의한 거라면 모든 구조를 변경해야할 수 있는 지경까지 이를 수 있다면 개발자 입장에서는 정말 싸우자는거냐라고 할겁니다. 그래서 위험요소를 줄이는데 사전 조치하고 못하는건 정말 큰 부분이라고 할 수 있으나, 현실적으로 개발 전 단계 그 이후에 취약점이 나와도 제대로 조치를 못하는 경우가 있어요. 그 이유는 여러 복합적인 부분이거나 단순하게 그냥 무시하거나 감추는 경우도 있기 때문에 취약점 진단을 하는 전문가로서는 정말 괴리감이 느낄 수 있는 부분인데 이건 모든 보안하는 전문가들이 느끼는 점이에요. 그렇다고 보안 전문가인데 안하실거에요?! 아니죠?!! 그럼에도 불구하고 설득하고 조치하도록 유도하고 이해할 수 있도록 설명을 하는 노력들이 수반될 수 밖에 없어요.
예비 정보보안 전문가, 현직에서 열심히 하고 계시는 여러분들 힘내시길 바랍니다~! 저도 힘낼게요 ㅋㅋ
오늘도 좋은 하루 되세요 :)
'보안 이야기' 카테고리의 다른 글
[보안이야기#16]정보보안 직무-악성코드 분석 (0) | 2023.05.07 |
---|---|
[보안이야기#15]정보보안 직무-모의해킹 (0) | 2023.04.29 |
[보안이야기#13]정보보안 직무-보안 엔지니어 (0) | 2023.04.21 |
[보안이야기#12]정보보안 직무-보안장비 운영(2) (0) | 2023.04.12 |
[보안이야기#11]정보보안 직무-보안장비 운영(1) (0) | 2023.04.09 |
댓글