Security Threat & Vulnerability

1. 보안위협과 취약성
케이핌 김동우 대표

2. 위협이 발생하는 경우는 다양하며 실수, 무지, 부적절한 보호, 장애 및 외부로부터의 공격 등이 있다. 위협에는 여러 가지가 존재할
수 있으며 다음 표는 대표적인 위협들을 열거한 것이다.
대표적 위협
분류 상세분류 해당되는 위협 사례
사람
(고의적)
절도 기밀 정보 유출, 시스템 / 컴퓨터 자원의 절도
통신 침투
도청, 감청, 시스템 해킹, 바이러스에 의한 정보 유출/삭제/변조, 바이러스 유포, 바이러스에 의한 시스
템 중지
자원오용 정보의 불법 복제, 불법 소프트웨어 사용, 개인적 용도의 자원 사용
정보/시스템 손상 정보 삭제/변조, 시스템 파손
인가된 접근의 오용 사용자의 권한 오용, 관리자의 특권 남용, 유지보수/운영 요원의 특권 남용
사람
(사고/실수)
분실 기밀 정보 유출, 시스템 / 컴퓨터 자원의 분실
바이러스 감염 바이러스에 의한 정보 유출/삭제/변조, 바이러스 유포, 바이러스에 의한 시스템 중지
정보/시스템 손상 정보 삭제/수정, 입력 오류, 시스템 파손
인가된 접근의 오용 사용자의 실수, 유지보수 요원의 실수, 운영요원의 실수
시스템
소프트웨어 장애 소프트웨어 오작동, 중지
하드웨어 장애 하드웨어 오작동, 중지
환경
내부적 환경 재해 수재(도관, 저장고 파손), 화재(방화), 공기 오염, 환경 오염, 극단적인 온도 상승/저하, 습도의 변화
외부적 환경 재해 수재, 화재, 지진, 낙뢰, 폭풍, 공기 오염, 환경 오염, 극단적인 온도 상승/저하, 습도의 변화
전력 장애 정전, 과전압, 저 전압, UPS 장애, 디젤 발전기 장애
통신 장애 서비스 공급 업체의 통신 서비스 장애, 회선 불량

3. 자산에 취약성이 존재하는 원인으로 부적절한 관리, 운영상의 오류 그리고 시스템의 자체 문제 등이 있다. 취약성도 위협과 마찬가
지로 여러 가지가 존재할 수 있으며 다음 표는 대표적인 취약성들을 열거한 것이다.
대표적 취약성
분류 상세분류 해당되는 취약점 사례
관리적
운영적 취약성
업무 절차의 부재/미흡, IT 및 보안 예산의 부족, 장비의 유지보수 미비, 시스템 운영 교육의 부재/미흡,
백업 자원과 시스템 및 서비스의 부재/미비, 업무 연속 계획의 부재, 자산 반출입 절차의 부재, 자산 분
류 체계의 부재/미흡
정보보호 관리의 취약성
정보보호 조직/전담 인력의 부재, 정보보호 정책/지침의 부재, 사고 관리 절차의 미흡, 보안 감사의 부재,
보안 규정 위반에 따른 징계의 미비, 보안 책임 권한의 부적절한 부여, 정보보호 교육의 부재/미흡, 아웃
소싱 및 제3자 계약 시의 정보보호 요구사항 미비
인적 취약성
직원의 부재, 부적절한 직원의 배치, 정규 직원 및 제3자 직원의 감독 소홀, 정보보호 인식의 부재, 고용
절차의 부적절성
기술적
컴퓨터/통신 관련 취약성
인증 메커니즘의 부재/미흡, 접근 통제의 부재/미흡, 감사 증적의 부재/미흡, 복잡한 사용자 인터페이스,
저장 매체의 부적절한 처분 및 재사용, 변경 통제의 부재/미흡, 패스워드 테이블의 보호대책 미흡, 소프
트웨어 패치 관리의 미흡
정보보호 시스템 관련 취약성
정보보호 시스템(백신, 방화벽, IDS, 암호제품 등)의 부재/미흡, 정보보호 시스템 업그레이드 등의 관리
미흡, 암호 키 관리의 부재/미흡
시스템 개발 관련 취약성 분리도지 않은 개발/테스트/운영 설비, 보안 요구사항의 불충분한 적용, 변경 관리/형상 관리의 미흡
물리적/
환경적
물리적 취약성 출입 통제 시스템/직원의 부재, 출입구/창문 등의 잠금 장치 미흡, 부적절한 장비의 위치 지정
환경적 취약성
항온 항습 장치의 부재/미흡, HVAC 시스템의 부재, 화재 진압 장치의 부재/미흡, 침수에 취약한 위치 선
정