실무 적응을 위한 정보시스템 진단

실무 적응을 위한 정보시스템 진단    

기술적인 지식들을 가지고 있어야 위협평가를 잘 할 수 있고 위협평가를 잘해야 대상 기업과 기관에

맞게 대응방안 및 가이드를 제시해 줄 수 있다.

정식 명칭은 정보 시스템 취약점 진단이라고 한다. 

이는 주요 정보통신 기반시절로 지정된다면 정보 통신 보호법에 의해 해당하는 기관이나 기업은 지정된

첫 회의 6개월 이내에 취약점 진단을 받아야 한다.

정보 시스템 취약점 진단은 지정된 사업들이 자체 전담반을 편성해 수행할 수 있지만 대부분의 경우

컨설팅 업체에 요청해서 처리한다.  요청 프로세스는 다음과 같다.

제안서 - 프로필 - 투입 인력 - 투입 기간 - 방법론 - 제안서 발표 - 입찰 - 수행

정보 시스템 취약점 진단 시 명확히 알아야할 5가지 개념    

1. 체크리스트

2. 위협

3. 취약성과 취약점의 차이

4. 위험성

위 개념들은 보고서에 포함되는 경우가 많은데 위 내용들이 명확하게 제시되어야 보고서의 질이 좋아진다.

취약점은 명확하게 들어난것을 말하고 위협과 결함될 수 있는 부분이다.

예를 들어 SQL injection은 위협, SQL injection이 발생할 수 있는 구조적인 문제를 취약점이라고 할 수 있다.

안티 바이러스가 설치 되어있지 않은 PC는 취약점이고 이러한 취약점의 위협이 될만한것이 악성코드가

되는것이다. 악성코드가 유입되었을때 주요정보가 탈취될 수 있다는것이 위험성이다.

기업과 기관이 보안을 하는데 있어서 제일 중요한 것이 위험성이다. 이는 돈을 투자하는 이유기도 하다.

이 위험성을 어떻게 관리하느냐가 보안의 핵심으로 볼 수 있다.

위험에 대해서 지켜야할 대상이 자산이고 자산이 가지고 있는문제점이 취약점이다. 어떠한 위협이 취약점을

이용해 자산을 노리는가를 위험성으로 볼 수 있다. 

위험성 = 자산 x 취약점 x 위협

정보보호 진단은 취약점이 발생할 수 있다는것을 알려주는것 이에 차선책과 명확하게 가이드를 전수 해줘야 한다.

관련된 참고 자료는 KISA자료나 공공기관에서 제시된 검증된 자료를 참고하는것이 좋다.