A-1. 네트워크 장비는 모든 통신의 중심이며, 모든 패킷을 볼 수 있는 장치임에도 대부분의 관리자 입장에서 서버에 대한 보안 이슈는 크게 생각하지만, 네트워크 장비에 대한 보안은 상대적으로 관심도가 낮다.

이러한 네트워크 장비의 취약점을 이용한 해킹의 타깃이 될 경우 네트워크 상에서 오가는 수많은 정보를 취득할 수 있게된다. 네트워크 장비에 대한 보안은 다음과 같은 기본적인 보안 준수를 통해 상당 부분 예방할 수 있다.

네트워크 장비는 모든 통신의 중심이며, 모든 패킷을 볼 수 있는 장치임에도 대부분의 관리자 입장에서 서버에 대한 보안 이슈는 크게 생각하지만, 네트워크 장비에 대한 보안은 상대적으로 관심도가 낮다.

이러한 네트워크 장비의 취약점을 이용한 해킹의 타깃이 될 경우 네트워크 상에서 오가는 수많은 정보를 취득할 수 있게된다. 네트워크 장비에 대한 보안은 다음과 같은 기본적인 보안 준수를 통해 상당 부분 예방할 수 있다.

SNMP community string 변경 : Snmp 프로토콜은 Community String을 이용해 네트워크 장비의 많은 정보에 접근할 수 있다. 이미 알려진 기본 Community String을 유지할 경우 권한의 유무와 상관없이 정보를 취득할 수 있게 된다. SNMP 프로토콜을 사용해야할 경우 반드시 Community String을 변경해야 한다.

OS 보안 패치 강화 : 네트워크 장비에도 OS가 존재한다. 이 OS에는 보안취약점이 존재할 수 있으므로, 제조사에서 발표되는 OS Bug 및 취약점에 대해 정기적으로 확인해 Patch를 수행해야 한다.

TimeOut 설정 : 만약 TimeOut이 설정되어 있지않다면, 관리자가 네트워크 장비에 접속 후 자리를 비우게 되면, 타인에 의해 의도하지 않게 설정이 변경될 수 있다. TimeOut 설정을 추가하여, 관리자가 접속 상태로 자리를 비우게 되어도, 자동으로 Logout 되도록 함으로서, 의도하지 않은 변경을 방지할 수 있다.

불필요 서비스 비활성화 : 네트워크 장비에도 수많은 서비스들이 존재한다. 사용하지 않는 서비스를 방치할 경우 취약점에 의한 공격대상이 될 수 있기 때문에, 불필요한 서비스는 종료해야 한다. 특히, 웹 서비스의 경우 Bug로 인해 암호 입력 없이 설정이 노출될 가능성이 있으므로 서비스를 비활성화해야 한다.

SSH 이용한 접속 : 네트워크 장비에 접근하기 위한 프로토콜로 Telnet 프로토콜을 사용할 경우, 네트워크 장비의 계정 및 패스워드가 노출될 가능성이 높다. 이를 방지하기 위해 SSH 프로토콜을 사용하여 암호화 통신을 함으로서 패스워드의 노출을 방지할 수 있다.

(박익순 소프트와이드시큐리티 부장/ispark@softwidesec.com)

A-2.

① 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집

② 스위치, 라우터 장비의 관리자 계정 보안이 적절히 설정되어 있는지 점검

③ F/W 장비 및 라운터의 보안 설정 점검-IP별 통제, Port별 통제, 사용자 ID별 통제

④ IDS 보안 설정이 보안 목표에 따라 적절히 설정되어 있는지 점검

⑤ IPS 보안 설정이 보안 목표에 따라 적절히 설정되어 있는지 점검

⑥ NAT 보안 설정이 보안 목표에 따라 적절히 설정되어 있는지 점검

⑦ 무선접속 장비가 보안 목표에 따라 암호화 및 접근통제가 적절히 설정되어 있는지 점검

(허진성 한국산업기술보호협회 관제운영팀 연구원/ iqsecurity@kaits.or.kr)

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>