16주차 과제

[1] 웹 개발 제출

[2] 인가 취약점 정리 (+문제 다시 풀기)

[3] 주통기반

• https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1

[4] 각 취약점 항목 이해해보기

[5] 각 취약점 항목 : 공격자 입장에서 공격 시나리오 작성하기

---

[2] 인가 취약점 정리 (+문제 다시 풀기)

이번 과제로 ctf 홈페이지에 인가(Authorization) 문제들이 풀렸다. 사실 지금 이 글을 쓰고 있는 시점이 문제를 풀어보고 시간이 많이 지난 후라서, 다시 풀면서 정리하려 했는데.. 서버 문제로 문제들이 닫힌 상태다.

 

문제를 풀 때 사진도 같이 남기면서 정리 자료를 준비했어야 했는데, 그 때는 이런 준비의 필요성을 몰랐었다. 이번에 중요한 깨달음을 얻었다 생각하고, 혹시라도 나중에 인가 문제들이 다시 열리면 그 때 정리하도록 하겠다.

 

 

 

---

[3] 주통기반(주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드.pdf)

이 수업을 들으면서 '주통기반'과 '금취분평', 이 두 개의 뜻모를 단어를 종종 들어왔다. 당시에는 무슨 말인지 몰랐고 대충 아는척 하면서 넘어갔는데, 나중에 이게 취약점 분석의 기준을 말한다는 것을 알게 되었다. 정보보안의 분야를 간다면 주통기반과 금취분평은 한번 쭉 읽어보는 것도 좋을 것 같다.

 

 

 

주통기반 vs 금취분평

보통 모의해킹 업무에서 취약점 기준은 주통기반, 금취분평 이 두가지가 대표적이라고 한다. 주통기반은 KISA(한국인터넷진흥원)에서 배포한 주요정보통신기반시설 기술적 취약점 분석 평가 방법을 말하고 금취분평은 주로 금융기관에서 사용하는 전자금융기반시설 보안 취약점 평가 기준을 말한다.

 

주통기반은 국가에서 작성한 공식적인 문서로 KISA에 들어가 누구나 받을 수 있는 반면, 금취분평은 공식적인 문서가 아니라 일반적인 방법으로 구할 수는 없다. 두 문서를 다 본 입장으로써 간단하게 말하자면, 금취분평은 주통기반보다 조금 더 세세하고 금융 관련 기준이 추가된 것 같다. 물론 전체적인 기준이 아닌 웹 서버 취약점 기준만을 봤을 때다.

 

 

 

주요정보통신기반시설

주통기반은 '주요정보통신기반시설 기술적 취약점 분석 평가 방법'의 줄임말이다. 여기서 주요정보통신기반시설에 대해 알 필요가 있을 것 같다. 정보통신기반시설이란 국가안정보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제1항제1호에 따른 정보통신망을 말한다.

 

정부는 주요정보통신기반시설을 전자적 침해행위의 위협에서 보호하기 위해 2001년 "정보통신기반 보호법"을 제정하고 이후 정부 차원에서 관리했다. 그리고 2021년 3월, 과학기술정보통신부, 국가정보원이 합동하여 이전의 취약점 분석 평가항목을 정비하여 '주요정보통신기반시설 기술적 취약점 분석 평가 방법'을 고시했고, 이를 KISA에서 상세가이드로 작성하여 배포하고 있다. 

 

정부는 매년 주요정보통신기반시설을 추가적으로 지정하면서, 1년마다 필수적으로 취약점 분석 평가를 실시하도록 하고 있다.  

 

 

 

정보보호 전문서비스 기업

정보통신기반 보호법에 따르면 주요정보통신기반시설의 취약점 분석평가는 아무 기관에서나 할 수 있는 것이 아니다. 한국인터넷진흥원, 정보공유·분석센터, 정보보호 전문서비스 기업, 한국전자통신연구원 이 4개의 기관 중 한 곳에서 수행해야 한다. 이 중 정보보호 전문서비스 기업은 주요정보통신기반시설의 취약점 분석 및 평가 업무를 수행할 능력을 갖추었다고 국가에서 인정하는 기업을 말한다. 

 

현재 취업을 준비하는 시점에서 국가에 인정을 받은 기업들이라고 하니 더 관심이 간다. KISA 홈페이지에 들어가면 정보보호 전문서비스 기업으로 지정된 회사들 목록을 확인할 수 있다.

 

위는 2024년 1월 기준으로 지정된 정보보호 전문서비스 기업들 목록이다. 모의해킹을 하는 회사들에 대한 어떠한 정보도 없는 지금은 아마 이 정보보호 전문서비스 기업 지정 여부가 가장 큰 선택 기준이 되지 않을까 싶다. 우선적으로 이 리스트의 회사들부터 차근차근 알아봐야겠다.

 

 

 

---

[4] [5] 각 취약점 항목 이해해보기 / 공격 시나리오 생각해보기

주통기반에 실린 취약점 점검 대상에는 웹 서버만 있는 것이 아니다. 운영체제부터 DB, 보안장비까지 다양한 분야의 프로그램을 포함한다. 그리고 주통기반은 총 756페이지다. 우리는 현재 웹 모의해킹을 배우고 있으니 웹 부분만 참고할 뿐이고 이 방대한 자료를 전부 읽어볼 필요는 없다. 하지만 사람 일은 어떻게 될 지 모른다고, 웹, 모바일에 이어 어떤 분야의 취약점 분석을 하게 될 지 모르는 일이니 점검 대상 분야에 어떤 것들이 있는지 살펴보는 것도 좋을 것 같다.  

 

우리가 이 중에서 웹 부분만 살펴본다고 해서 안심할 건 아니다. 주통기반의 웹 점검항목은 그 동안 배운 SQLi, XSS, CSRF, FileUpload/Download, 인증·인가를 포함해서 28개의 점검항목으로 이루어져 있다. 이름으로 내용을 유추할 수 있는 것들도 있지만 아예 가늠이 안 가는 것들도 많다. 안타깝지만 웹 모의해킹을 하는 이상 모두 다 알아야 하는 내용이다.

 

 

사실 아직까지도 모든 부분을 정독하진 않았다. 모든 취약점을 분석하고 공격 시나리오를 짜기엔 많은 시간이 걸릴 것 같아, 앞으로 시간을 두고 차근차근 읽어가면서 정리하려 한다. 아무래도 내가 하려는 업무와 가장 밀접한 내용인만큼 하나하나 정확하게 이해하면서 내 지식으로 만들어가겠다. 

 

 

 

---

참조

• 주요 정보통신 기반 시설 이란? 그리고 지정 현황

주요 정보통신 기반 시설 이란? 그리고 지정 현황 IT몽상가

• 주요정보통신기반시설 취약점 분석·평가