과학기술정부통신부의 (과학기술정보통신부 고시 제2021-28호) 주요정보통신기반시설 취약점 분석・평가 기준 일부개정 고시 및 한국인터넷진흥원(KISA)에서 제공하는 “주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드“를 활용해서 Linux서버 취약점 분석 및 조치방법을 정리해 보았습니다. 우리 회사의 Linux서버 유지보수 업체에게 Linux서버의 취약점을 분석해서 조치해 달라고 요청하였으나 제대로된 보고서를 받지 못해 아쉬웠는데, “주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드”를 참고해서 직접 수행할 수 있었습니다.
운영 중인 Linux서버에 변경사항을 만드는 건 몹시 신경쓰이는 일입니다. 그래서 Rocky9 Linux를 신규 설치해서 Linux서버의 취약점 분석/조치방법을 자세히 설명하였으며, 일부 취약점 분석 사항은 예시를 통해 보여드렸습니다. RHEL이나 CentOS를 사용하고 계신 분들도 무리없이 적용할 수 있을 것이라고 생각합니다. 각 Section별 분석 결과 양식은 많은 도움이 되길 바랍니다.
주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드”의 유의 사항
- 본 가이드는 기술적 취약점 분석·평가 항목별 점검 방법의 이해를 돕기 위해 발간된 것으로, 수록된 점검 방법은 취약점 분석·평가 수행 중 활용할 수 있는 참조의 대상일 뿐, 절대적이지 않습니다. 더욱이 점검 대상의 세부 버전, 패치 내용 등에 따라 점검 방법은 언제든지 변경될 수 있습니다. 따라서 본 가이드에 수록된 내용 이외에도 다양한 점검 방법을 사용하여 취약점 분석평가를 수행하시기 바랍니다.
- 본 가이드의 수록된 판단기준은 일반적으로 통용되는 권고사항으로, 양호 혹은 취약을 가르는 실제 판단기준은 각 주요정보통신기반시설 현업에 적용되고 있는 다양한 정책 및 운용 상황을 고려하여 취약점 분석·평가 수행자가 최종적으로 결정해야 합니다. 예를 들어 본 가이드에 수록된 판단기준에 의하여 취약판단을 받게 되어도 그 위험을 부담할 수 있는 합당한 보안조치와 근거를 수반하고 있다면 양호로 판단할 수 있습니다.
- 본 가이드를 교육기관 등에서 교육 자료로 활용하는 것을 권장하지 않습니다.
- 본 가이드에 수록된 점검 및 조치 사례는 시스템 유형별로 다음(표. 분야별 점검대상 테스트 세부 버전) 버전에서 실증 되었습니다.
- 개선 사항(취약점 개요, 점검 방법, 조치 방법 등)에 대한 의견을 항상 소중히 듣겠습니다.
 주요 정보통신 기반시설의 기술적 취약점 분석·평가 방법 상세가이드 |