게시 날짜: 2006년 8월 18일
이 페이지에서
소개
정의
당면 과제
솔루션
요약
부록 A: 공동 정보 시스템 자산
부록 B: 공동 위협
부록 C: 취약점
참고 자료
소개
이 문서에서는 중소 기업을 위한 보안 지침을 다룹니다. 다음 정보는 보다 안전하고 생산적인 컴퓨팅 환경을 구축할 수 있도록 도움을 줍니다.
요약
악성 소프트웨어 또는 맬웨어가 점점 발달하고 정교해짐에 따라 맬웨어 위협 및 공격 방지를 지원하기 위한 소프트웨어 및 하드웨어가 필요하게 되었습니다.
맬웨어 위협은 공격에 대한 방어와 대처 기술 및 작업 면에서 모두 중소 기업에 엄청난 비용 부담을 안겨 주는 문제입니다. 인터넷으로 인해 중소 기업 환경에 대한 외부 위협의 존재가 크게 부각되었지만, 내부 공격과 같은 일부 심각한 위협은 여전히 계속되고 있습니다.
손상 가능성이 가장 높은 내부 공격은 네트워크 관리자처럼 가장 신뢰할 수 있는 위치에 있는 내부자의 활동에 의해 발생합니다. 악의적인 활동을 하는 내부자들은 시스템에 대한 합법적인 액세스 권한을 유지하면서 트로이 목마 설치 또는 무단 파일 시스템 검색 등 특정 목표 및 목적을 가지고 있을 가능성이 높습니다. 일반적으로 내부자는 악의적인 의도를 가지고 있지 않지만 내부 네트워크에 감염된 시스템 또는 장치를 자신도 모르게 연결하여 악성 소프트웨어를 설치할 수 있습니다. 이로 인해 시스템의 무결성/기밀성이 손상되고 시스템 성능, 가용성 및/또는 저장소 용량이 저하될 수 있습니다.
이러한 내부 및 외부 위협에 대한 분석이 수행되면서 많은 중소 기업들은 실시간 맬웨어 위험 관리를 지원하는 리소스를 포함하여 네트워크를 모니터링하고 공격을 탐지하는 시스템에 많은 관심을 갖게 되었습니다.
개요
이 문서에서는 중소 기업에서 맬웨어 위험을 관리하는 데 도움이 되는 전략에 대해 설명합니다. 이 문서는 소개, 정의, 당면 과제 및 솔루션 같은 네 개의 섹션으로 나뉘어 있습니다.
정의
이 섹션에서는 맬웨어의 정의(맬웨어에 해당되는 것과 맬웨어에 해당되지 않는 것), 맬웨어 특성 및 위험 관리에 대해 명확하게 설명합니다.
당면 과제
이 섹션에서는 다음을 비롯한 맬웨어 위험 관리과 관련하여 중소 기업에서 직면한 일반적인 여러 문제를 설명합니다.
공동 정보 시스템 자산
공동 위협
취약점
최종 사용자 및 정책 교육
위험 관리와 비즈니스 요구의 균형 유지
솔루션
이 섹션에서는 다음을 비롯하여 정책, 접근 방식 및 전략에 대한 추가 정보를 제공합니다.
물리적 및 논리적 정책
맬웨어 및 바이러스 방지를 위한 사전 및 사후 접근 방식
맬웨어 감소 전략
이 섹션에서는 맬웨어 위협 방지 전략의 일환으로 사용할 수 있는 맬웨어 위험 진단 및 관리에 대해 설명합니다. 또한 맬웨어 활동 검사, 감지 및 보고에 사용할 수 있는 모니터링 및 보고 도구에 대해서도 설명합니다.
이 가이드를 읽어야 할 사람
이 문서는 기본적으로 중소 기업의 관리 및 IT 직원을 대상으로 맬웨어 위협, 이러한 위협에 대한 방어 방법, 맬웨어 공격이 발생할 때 신속하게 적절히 대응하는 방법에 대한 이해를 돕기 위해 작성되었습니다.
정의
맬웨어는 "악성 소프트웨어(malicious software)"의 줄임말입니다. 이 용어는 컴퓨터 시스템에서 악의적인 작업을 고의적으로 수행하는 바이러스, 웜 및 트로이 목마 등을 모두 포함하는 집합적인 용어입니다. 맬웨어는 기술적으로 악성 코드를 말합니다.
다양한 유형의 맬웨어 이해
다음 하위 섹션에서는 다양한 맬웨어 범주를 설명합니다.
은폐
- 트로이 목마. 유용할 수도 있고 유해할 수 있지만 실행되는 시스템을 악용하거나 손상시키기 위한 숨겨진 코드를 포함하는 프로그램입니다. 트로이 목마 프로그램(또는 트로이 목마 코드)은 일반적으로 프로그램의 용도 및 기능을 거짓으로 알려 주는 전자 메일 메시지를 통해 사용자에게 전달됩니다. 트로이 목마 프로그램은 실행 시 악의적인 페이로드 또는 작업을 제공하여 이 작업을 수행합니다.
전염성 맬웨어
웜. 웜은 네트워크 연결을 통해 컴퓨터 간에 자동으로 배포될 수 있는 자가 전파적 성격의 악성 코드를 사용합니다. 웜은 서비스 거부(DoS) 공격을 일으켜 네트워크 또는 로컬 시스템 리소스를 소비하는 등 유해한 동작을 수행할 수 있습니다. 어떤 웜은 사용자 조작 없이 실행 및 확산되지만 또 어떤 웜은 사용자가 웜 코드를 직접 실행해야만 확산되기도 합니다. 웜은 복제 외에도 페이로드를 전달할 수 있습니다.
바이러스. 바이러스는 명백한 자가 복제 의도로 작성된 코드를 사용합니다. 바이러스는 자신을 호스트 프로그램에 연결하여 컴퓨터 간에 유포됩니다. 바이러스는 하드웨어, 소프트웨어 또는 데이터를 손상시킬 수 있습니다. 호스트가 실행되면 바이러스 코드도 함께 실행되어 새 호스트를 감염시키고 추가 페이로드를 전달하기도 합니다.
수익성 맬웨어
스파이웨어. 이 소프트웨어 유형은 스파이봇 또는 추적 소프트웨어라고도 합니다. 스파이웨어는 사용자의 동의를 구하지 않고 컴퓨터에서 특정 활동을 수행하는 다양한 형태의 사기 소프트웨어 및 프로그램의 형태를 사용합니다. 이러한 활동에는 개인 정보 수집 및 인터넷 브라우저 구성 설정 변경 등이 있습니다. 스파이웨어는 성가신 존재일 뿐만 아니라 컴퓨터의 전체적인 성능 저하에서 개인 정보 침해에 이르기까지 다양한 문제를 가져옵니다.
스파이웨어를 배포하는 웹 사이트에서는 다양한 속임수를 통해 사용자가 스파이웨어를 다운로드하여 설치하도록 유혹합니다. 이러한 속임수에는 거짓 사용자 환경 생성 및 무료 파일 공유 소프트웨어와 같이 사용자가 원하는 다른 소프트웨어에 몰래 번들로 포함시키는 등의 행위가 포함됩니다.
애드웨어. 광고 표시 소프트웨어 유형으로, 특히 사용자가 원하지 않고 필요로 하지 않는 방식이나 컨텍스트로 광고 내용을 제공하는 것을 기본 목적으로 하는 특정 실행 가능 응용 프로그램을 말합니다. 대부분의 애드웨어 응용 프로그램은 추적 기능도 수행하므로 추적 기술로 분류되기도 합니다. 어떤 사용자는 그러한 추적을 거부하거나, 프로그램 광고 표시를 원하지 않거나, 시스템 성능이 저하되었다고 생각되는 경우 애드웨어를 제거할 수 있습니다. 반대로, 어떤 사용자는 사용자가 찾고 있는 소프트웨어를 보완하거나 그와 비슷한 소프트웨어의 광고 등 유용하거나 원하는 광고를 제공하는 경우 또는 원하는 제품이나 서비스의 도움을 받는 경우 특수 애드웨어 프로그램을 계속 유지할 수 있습니다.
자세한 내용은 Wikipedia의 Malware (영문) 항목(https://en.wikipedia.org/wiki/Malware) 및 The Antivirus Defense-in-Depth Guide의 What is Malware? (영문) 항목(www.microsoft.com/technet/security/topics/serversecurity/avdind\_2.mspx\#ELF)을 참조하십시오.
맬웨어 동작 이해
각 맬웨어 범주가 나타내는 여러 특성은 대체로 매우 비슷합니다. 예를 들어, 바이러스와 웜은 모두 전송 메커니즘으로 네트워크를 사용합니다. 하지만 바이러스는 파일 감염을 시도하는 반면 웜은 단순히 자체 복사를 시도합니다. 다음 섹션에서는 맬웨어의 일반적인 특성에 대해 간략하게 설명합니다.
대상 환경
맬웨어가 호스트 시스템에 대해 공격을 시도하는 경우 공격이 성공하려면 몇 가지 구성 요소가 필요할 수 있습니다. 다음은 맬웨어에서 호스트에 대한 공격을 개시하는 데 필요할 수 있는 일반적인 구성 요소 유형의 예입니다.
장치. 일부 맬웨어는 PC, Apple Macintosh 컴퓨터 또는 PDA(개인용 정보 단말기) 등 특정 장치 유형을 대상으로 합니다. 현재 휴대폰과 같은 모바일 장치는 주요 대상 장치의 하나로 자리잡아 가고 있습니다.
운영 체제. 맬웨어가 작동하려면 특정 운영 체제가 필요할 수 있습니다. 예를 들어, 1990년 후반에 등장한 CIH 또는 Chernobyl 바이러스는 Microsoft® Windows® 95 또는 Windows 98을 실행하는 컴퓨터만 공격할 수 있었습니다. 따라서 이보다 최신 운영 체제는 보다 안전합니다. 하지만 안타깝게도 맬웨어 역시 보다 정교해지고 있습니다.
응용 프로그램. 맬웨어가 페이로드를 제공하거나 복제되려면 먼저 대상 컴퓨터에 특수 응용 프로그램을 설치해야 할 수도 있습니다. 예를 들어, 2002년의 LFM.926 바이러스는 .swf(Shockwave Flash) 파일이 로컬 컴퓨터에서 실행될 수 있는 경우에만 공격할 수 있었습니다.
운반 개체
맬웨어가 바이러스인 경우 운반 개체(호스트)를 대상으로 감염을 시도합니다. 대상이 지정된 운반 개체의 개수 및 유형은 맬웨어 형태마다 다르지만, 일반적인 대상 운반자는 다음과 같습니다.
실행 파일. 이 운반자는 자신을 호스트 프로그램에 첨부하여 복제하는 "전통적인" 바이러스 유형의 대상입니다. .exe 확장명을 사용하는 일반적인 실행 파일 외에도 .com, .sys, .dll, .ovl, .ocx 및 .prg와 같은 확장명이 지정된 파일도 이 용도로 사용할 수 있습니다.
스크립트. Microsoft Visual Basic® Script, JavaScript, AppleScript 또는 Perl Script와 같은 스크립팅 언어를 사용하는 스크립트를 운반자 대상 파일로 사용하는 공격입니다. 이러한 유형의 파일 확장명에는 .vbs, .js, .wsh 및 .prl 등이 있습니다.
매크로. 이러한 운반자는 워드 프로세서, 스프레드시트 또는 데이터베이스 응용 프로그램 등 특정 응용 프로그램의 매크로 스크립팅 언어를 지원하는 파일입니다. 예를 들어, 바이러스는 Microsoft Word 및 Lotus Ami Pro의 매크로를 사용하여 장난(문서의 단어를 바꾸거나 색상 변경)에서 악의적 행동(컴퓨터 하드 드라이브 포맷)에 이르기까지 다양한 결과를 나타냅니다.
전송 메커니즘
공격 과정에는 컴퓨터 시스템 간에 공격을 시도 및 복제하기 위해 다양한 방법이 사용될 수 있습니다. 이 섹션에서는 맬웨어에서 사용하는 일반적인 전송 메커니즘에 대해 설명합니다.
이동식 미디어. 컴퓨터 바이러스 및 기타 맬웨어의 최초 전달 방식이면서 가장 주된 전달 방식(얼마 전까지만 해도)은 파일 전송일 것입니다. 이 메커니즘은 플로피 디스크로 시작하여 네트워크로 이동했다가, 이제는 USB(범용 직렬 버스) 장치 및 Firewire 등 새로운 미디어를 찾고 있습니다. 감염률은 네트워크 기반 맬웨어만큼 빠르지는 않지만, 여전히 위협적이며 시스템 간 데이터 교환 필요성 때문에 완벽하게 제거하기가 어렵습니다.
네트워크 공유. 컴퓨터에 네트워크를 통해 서로 간에 직접 연결할 수 있는 메커니즘이 제공되면서 맬웨어 작성자는 이동식 미디어의 악성 코드 확산 능력을 능가하는 뛰어난 잠재력을 지닌 다른 전송 메커니즘을 갖게 되었습니다. 네트워크 공유에 대한 보안이 불완전하게 구현될 경우 맬웨어가 네트워크에 연결된 많은 컴퓨터로 복제될 수 있는 환경이 만들어집니다. 이동식 미디어를 사용하는 수동식 방법은 거의 이 방법으로 대체되었습니다.
P2P(피어-투-피어) 네트워크. P2P 파일 전송이 발생하려면 먼저 사용자가 네트워크를 사용할 P2P 응용 프로그램의 클라이언트 구성 요소를 설치해야 합니다.
자세한 내용은 The Antivirus Defense in Depth Guide의 "Malware Characteristics (영문)" 섹션(www.microsoft.com/technet/security/topics/serversecurity/avdind\_2.mspx\#EQAAC)을 참조하십시오.
맬웨어 정의에 포함되지 않는 위협
악의적인 의도로 작성된 컴퓨터 프로그램이 아니어서 맬웨어로 간주되지는 않지만 그 밖에도 다양한 위협이 존재합니다. 하지만 이러한 위협은 중소 기업의 보안 및 재정적인 측면에 모두 영향을 줄 수 있습니다. 다음 목록에서는 종합적인 보안 전략을 개발할 때 고려하고 이해해야 할 몇 가지 일반적인 위협에 대해 설명합니다.
조크 소프트웨어. 조크 응용 프로그램은 가벼운 장난을 목적으로 하지만, 최악의 경우에는 사용자가 시간을 낭비하는 결과를 초래합니다. 이러한 응용 프로그램은 컴퓨터를 사용할 때부터 존재해 왔습니다. 악의적인 의도로 개발되지 않았고 장난(조크)으로 명확하게 분류되었기 때문에 이러한 응용 프로그램은 이 가이드의 목적상 맬웨어로 간주되지 않습니다. 조크 응용 프로그램의 예는 많지만, 재미있는 화면에서 즐거움을 선사하는 애니메이션이나 게임에 이르기까지 모든 것을 만들 수 있습니다.
사기. 사기의 한 예로 실제로 없는 바이러스를 있다고 속이며 경고하는 메시지를 들 수 있습니다. 다른 맬웨어 형태와 달리, 사기는 사회 공학을 사용하여 컴퓨터 사용자가 어떤 행동을 취하도록 유인합니다. 하지만 사기 자체에는 실행할 코드가 없으므로 사기 행위자는 일반적으로 사냥감을 속이려고만 할 뿐입니다. 사기의 일반적인 예로는 새 바이러스 유형이 발견되었으니 해당 메시지를 전송하여 친구에게 경고하라는 내용의 체인 메일이나 전자 메일 메시지가 있습니다. 이러한 유형의 사기 메시지로 인해 사용자의 시간, 전자 메일 서버 리소스 및 네트워크 대역폭이 낭비됩니다. 하지만 사기는 레지스트리 또는 시스템 파일 삭제 등 사용자에게 컴퓨터 구성을 변경하도록 유도하는 경우 손상을 초래할 수도 있습니다.
스캠. 스캠의 일반적인 예로는 수신자에게 개인 정보(은행 계좌 정보 등)를 공개하도록 유인하는 전자 메일 메시지를 들 수 있습니다. 이렇게 유출된 개인 정보는 불법적인 용도로 사용될 수 있습니다. 피싱(fishing)은 스캠의 특별한 유형 중 하나로 알려져 있으며 브랜드 스푸핑(brand spoofing) 또는 카딩(carding)이라고도 합니다.
스팸. 스팸은 특정 서비스 또는 제품을 광고하기 위해 생성된 원하지 않는 전자 메일입니다. 스팸은 일반적으로 성가신 존재로 간주되지만 맬웨어는 아닙니다. 하지만 전송되는 스팸 메시지 수가 엄청나게 증가하면서 인터넷 인프라의 문제가 되고 있습니다. 스팸은 매일 이러한 메시지를 삭제하는 데 시간을 허비하게 함으로써 열심히 일하는 직원의 생산성을 저하시키기도 합니다.
인터넷 쿠키. 인터넷 쿠키는 사용자가 방문하는 웹 사이트에서 사용자 컴퓨터에 저장하는 텍스트 파일입니다. 쿠키에는 사용자에 관한 식별 정보가 들어 있으며 이 정보는 사용자 컴퓨터에 쿠키를 설치한 웹 사이트에 제공됩니다. 또한 웹 사이트에서 사용자 방문에 대해 유지하고자 하는 정보도 함께 제공됩니다.
쿠키는 많은 웹 사이트에서 방문자 정보를 추적하는 데 사용하는 합법적인 도구입니다. 하지만 안타깝게도 일부 웹 사이트에서 쿠키를 사용하여 사용자 모르게 정보를 수집한다는 사실이 알려졌습니다. 일부 쿠키는 사용자를 속이거나 사용자에게 정책을 공개하지 않을 수도 있습니다. 예를 들어, 사용자에게 알리지 않고 여러 웹 사이트에서 사용자의 웹 검색 습관을 추적하는 쿠키도 있습니다. 그러면 사이트 개발자는 이 정보를 사용하여 사용자가 웹 사이트에서 보는 광고를 사용자 지정할 수 있는데, 이는 사생활 침해 행위입니다.
맬웨어와 맬웨어의 특성에 대한 자세한 내용은 Microsoft TechNet의 The Antivirus Defense-in-Depth Guide (영문)(www.microsoft.com/technet/security/topics/serversecurity/avdind\_0.mspx)를 참조하십시오.
위험 관리 및 맬웨어 이해
Microsoft에서는 위험을 식별하고 이러한 위험의 영향을 판단하는 프로세스를 위험 관리로 정의하고 있습니다.
보안 위험 관리 계획을 수립하는 일은 중소 기업에는 엄청난 부담이 됩니다. 예상 요인에는 사내 전문가, 예산 리소스 또는 아웃소싱 지침의 부재가 포함될 수 있습니다.
보안 위험 관리는 중소 기업의 맬웨어 위협 대응 전략을 지원할 수 있는 사전 예방 차원의 접근 방식을 제공합니다.
중소 기업에서는 정규 보안 위험 관리 프로세스를 통해 알려진 허용 가능 수준의 비즈니스 위험만을 안고 가장 경제적인 방식으로 기업을 운영할 수 있습니다. 또한 이 프로세스는 위험을 관리하기 위해 제한된 리소스를 구성하고 우선 순위를 지정할 수 있는 일관되고 명확한 경로를 제공합니다.
Microsoft에서는 위험 관리 작업을 지원하기 위해 보안 위험 관리 가이드를 개발했습니다. 이 가이드에서는 다음 네 가지 프로세스에 대한 지침을 제공합니다.
위험 진단. 회사에 대한 위험을 식별하고 우선 순위를 지정합니다.
결정 지원 수행. 정의된 비용-이점 분석 프로세스를 기반으로 하여 제어 솔루션을 식별하고 평가합니다.
제어 솔루션 구현. 회사의 위험을 낮출 수 있는 제어 솔루션을 배포하고 운영합니다.
프로그램 효과 측정. 위험 관리 프로세스의 효과를 분석하고 제어 솔루션이 예상했던 보호 수준을 제공하는지 확인합니다.
이 문서에서는 이 주제에 대해 자세히 설명하지 않습니다. 하지만 맬웨어 위험 솔루션 전략을 계획, 배포 및 구현하려면 이러한 개념 및 프로세스를 충분히 이해해야 합니다. 다음 그림에서는 위험 관리의 네 가지 기본 프로세스를 보여 줍니다.
.gif)
그림 1. 4가지 기본 위험 관리 프로세스
위험 관리에 대한 자세한 내용은 보안 위험 관리 가이드(https://www.microsoft.com/korea/technet/security/guidance/secrisk/srsgch01.asp)를 참조하십시오.
당면 과제
맬웨어 공격은 특정 취약점을 노려 다양한 벡터 또는 공격 방법을 통해 감행될 수 있습니다. 중소 기업에서는 취약점을 알아내고 특정 회사에 허용 가능한 위험 수준을 판단하는 위험 진단을 수행하는 것이 좋습니다. 또한 중소 기업에서는 맬웨어 위험을 낮추기 위한 전략을 개발해야 합니다.
다음은 중소 기업 환경의 맬웨어 위험 감소와 관련된 몇 가지 문제입니다.
공동 정보 시스템 자산
공동 위협
취약점
사용자 교육
위험 관리와 비즈니스 요구의 균형 유지
공동 정보 시스템 자산
정보 시스템 보안은 중소 기업 보안을 관리하는 데 필수적인 정보를 제공합니다. 공동 정보 시스템 자산은 회사의 물리적 및 논리적 측면을 모두 의미합니다. 여기에는 서버, 워크스테이션, 소프트웨어 및 사용자 라이선스가 포함될 수 있습니다.
직원 비즈니스 연락처 데이터, 모바일 컴퓨터, 라우터, 인적 자원 데이터, 전략적 계획, 내부 웹 사이트 및 직원 암호는 모두 공동 정보 시스템 자산입니다. 자세한 목록은 이 문서 끝부분에 나오는 "부록 A: 공동 정보 시스템 자산"을 참조하십시오.
공동 위협
맬웨어가 중소 기업을 손상시킬 수 있는 몇 가지 방법을 위협 벡터라고도 하는데, 이러한 벡터는 맬웨어 위험을 낮출 수 있는 효과적인 솔루션을 설계할 때 가장 주의해야 하는 영역을 나타냅니다. 공동 위협에는 자연 재해, 기계의 고장, 악의적인 의도를 가진 사람, 무지한 사용자, 사회 공학, 악성 모바일 코드, 불만이 있는 직원 등이 있습니다. 다양한 공동 위협은 중소 기업은 물론 모든 규모의 회사가 직면한 과제입니다.
이 문서 끝부분의 "부록 B: 공동 위협"에는 중소 기업에 영향을 줄 가능성이 높은 다양한 위협의 목록이 나와 있습니다.
취약점
취약점은 IT 시스템 보안 절차 및 정책, 관리 제어, 물리적 레이아웃, 내부 제어, 그리고 정보에 대한 무단 액세스를 얻거나 중요 처리를 파괴하려는 위협에서 악용할 수 있는 기타 영역의 결점을 나타냅니다. 취약점은 물리적 및 논리적 취약점을 모두 의미합니다. 여기에는 자연 재해, 기계 고장, 잘못된 소프트웨어 구성, 패치되지 않은 소프트웨어 및 인간의 오류가 포함됩니다. "부록 C: 취약점"에는 중소 기업에 영향을 줄 가능성이 높은 다양한 취약점 목록이 나와 있습니다.
사용자 교육
물리적 및 논리적 정보 보안과 관련된 최고의 취약점은 반드시 컴퓨터나 소프트웨어의 결함에 국한되는 것은 아니며 컴퓨터 사용자일 수도 있습니다. 직원이 다른 사람이 볼 수 있는 곳에서 암호를 입력하거나 바이러스를 포함하는 전자 메일 첨부 파일을 다운로드하여 열거나, 밤에 컴퓨터를 끄지 않는 등 눈에 띄는 오류를 범할 수 있습니다. 인간의 행동은 컴퓨터 보안에 많은 영향을 줄 수 있기 때문에 일반 직원, IT 직원 및 관리 직원에 대한 교육을 우선적으로 실시해야 합니다. 또한 모든 사람에게 바람직한 보안 습관을 가지도록 하는 것도 교육만큼 중요합니다. 이러한 접근 방식은 단순히 장기적으로 본다면 회사에 가장 효율적인 방법입니다. 교육을 통해 악의적인 활동을 방지하기 위한 권장 사항을 사용자에게 제공해야 하며 잠재 위협과 그러한 위협을 방지하는 방법에 대해 알려 주어야 합니다. 다음은 사용자가 알아 두어야 할 주요 보안 방법입니다.
금융 또는 개인 정보에 대한 전자 메일 요청에 절대로 회신하지 않습니다.
절대로 암호를 입력하지 않습니다.
의심스러운 전자 메일 메시지 첨부를 열지 않습니다.
어떤 의심스러운 메일이나 원하지 않는 메일에 대해서도 회신하지 않습니다.
권한이 없는 응용 프로그램을 설치하지 않습니다.
사용하지 않는 경우 화면 보호기에 암호를 설정하거나 Ctrl-Alt-Delete 대화 상자를 통해 컴퓨터를 잠급니다.
방화벽을 사용합니다.
원격 컴퓨터에 강력한 암호를 사용합니다.
정책
보안 방법을 적용하려면 문서화된 정책 및 허용된 절차가 필요합니다. 모든 IT 정책을 효과적으로 사용하려면 고위 경영진의 지원이 뒷받침되어야 하며 적용 메커니즘, 사용자에게 알리는 방법 및 사용자를 교육하는 방법을 제공해야 합니다. 예를 들어, 정책에 다음 항목을 포함할 수 있습니다.
컴퓨터에서 맬웨어를 찾는 방법
의심스러운 감염을 보고하는 방법
시스템이 감염되기 전에 사용자가 수행했던 마지막 동작 등 사고 처리자를 지원하기 위해 사용자가 해야 할 일
맬웨어에서 악용할 수 있는 운영 체제 및 응용 프로그램 취약점을 완화하기 위한 프로세스 및 절차
패치 관리, 보안 구성 가이드 및 점검 목록 적용
위험 관리와 비즈니스 요구의 균형 유지
위험 관리 프로세스를 사용하면 중소 기업에서 손쉽게 우선 순위를 지정하고 위협 완화를 계획하며 회사에 대한 다음과 같은 위협이나 취약점을 해결할 준비를 갖출 수 있게 됩니다.
예산 제한은 IT 보안에 드는 비용을 의미할 수도 있지만, 효과적으로 사용되는 잘 짜여진 위험 관리 방법은 관리 부서에서 업무에 필수적인 보안 기능을 제공하기 위해 적절한 제어 솔루션을 식별하는 데 도움이 됩니다.
중소 기업에서는 위험 관리와 비즈니스 요구 간의 깨지기 쉬운 균형을 고려해야 합니다. 다음 질문은 위험 관리와 비즈니스 요구 간의 균형을 유지하는 데 유용할 수 있습니다.
회사에서 시스템을 직접 구성해야 하는가? 아니면 하드웨어/소프트웨어 공급업체를 통해 구성해야 하는가? 비용은 얼마나 드는가?
응용 프로그램의 높은 사용 가능성을 유지하기 위해 로드 균형 조정 또는 클러스터링을 메커니즘으로 사용해야 하는가? 이러한 메커니즘을 갖추기 위해 해야 할 일은 무엇인가?
서버 룸에 경보 시스템이 필요한가?
건물이나 서버 룸에 전자 키 시스템을 사용해야 하는가?
컴퓨터 시스템에 대한 회사의 예산은 얼마나 되는가?
기술 지원 및 유지 관리에 대한 회사의 예산은 얼마나 되는가?
회사가 지난 해 컴퓨터 시스템(하드웨어/소프트웨어 유지 관리)에 소비한 비용을 얼마로 예상하는가?
회사의 기본 위치에 있는 컴퓨터 수는 몇 대인가? 컴퓨터 하드웨어 및 소프트웨어 인벤토리가 있는가?
이전 시스템이 실행해야 하는 대부분의 소프트웨어를 실행할 수 있을 만큼 충분히 강력한 기능을 갖추고 있는가?
새 컴퓨터나 업그레이드된 컴퓨터가 몇 대나 필요할 것으로 예상하는가? 몇 대가 있어야 최적의 시스템이라고 생각하는가?
사용자마다 프린터가 있어야 하는가?
위험 관리에 대한 자세한 내용은 보안 위험 관리 가이드(https://www.microsoft.com/korea/technet/security/guidance/secrisk/srsgch01.asp)를 참조하십시오.
솔루션
이 섹션에서는 맬웨어, 물리적 및 논리적 정책에 대한 사전 및 사후 접근 방식 등 맬웨어 위험 관리를 위한 다양한 전략을 설명합니다. 또한 보고 도구 및 모니터링과 같은 유효성 검사 방법도 설명합니다.
맬웨어 감소 전략 개발
맬웨어 감소 전략을 개발할 때는 맬웨어 감지 및/또는 방지를 구현할 수 있는 필수적인 주요 작동 요소를 정의해야 합니다. 맬웨어 위험을 관리할 때 단일 장치나 기술만을 유일한 방어선으로 사용해서는 안 됩니다. 기본적인 방법에는 네트워크 전체에 걸쳐 사전 및 사후 메커니즘을 사용하는 계층화된 접근 방식이 포함되어야 합니다. 바이러스 백신 소프트웨어는 이 영역에서 중요한 역할을 수행합니다. 하지만 이러한 소프트웨어에만 전적으로 의존하여 맬웨어 공격을 판단해서는 안 됩니다. 계층화된 접근 방식에 대한 자세한 내용은 The Antivirus Defense-in-Depth Guide의 "The Malware Defense Approach (영문)" 섹션(www.microsoft.com/technet/security/topics/serversecurity/avdind\_3.mspx\#E1F)을 참조하십시오.
다음 내용에서 자세히 설명할 주요 작동 요소는 아래와 같습니다.
맬웨어 위험 진단
물리적 보안
논리적 보안
사전/사후 정책 및 절차
배포 및 관리
맬웨어 위험 진단
중소 기업에서는 맬웨어 위험을 진단할 때 위협에 가장 취약한 공격 벡터를 염두에 두어야 합니다. 어떻게 보호하고 보호 범위는 얼마나 되는가? 이를 위해 다음 질문을 고려해야 합니다.
회사에 방화벽이 설치되어 있는가?
방화벽은 경계 방어에 있어서 중요한 부분입니다. 일반적으로 네트워크 방화벽은 조직의 컴퓨터 시스템, 네트워크 및 중요 정보를 외부 위협으로부터 방어하는 기본적인 방어선으로 사용됩니다. 중소 기업에서는 소프트웨어 또는 하드웨어 방식으로 방화벽을 구현해야 합니다.
회사에 내부 또는 외부 취약점 검사 분석 기능이 있는가? 검사한 정보는 어떻게 분석하는가?
MBSA(Microsoft Baseline Security Analyzer)와 같은 도구를 사용하여 잘못된 구성이나 취약점을 검사하는 것이 좋습니다. 또한 보안 취약점 테스트 프로세스를 외부 업체에 의뢰하여 보안 환경을 진단하고 필요한 개선점을 제안하도록 할 수도 있습니다.
참고 MBSA는 중소 기업에서 Microsoft 보안 권장 사항에 따라 보안 상태를 평가하는 데 사용할 수 있는 사용하기 편리한 IT 전문가용 도구로, 이를 통해 구체적인 개선 지침도 얻을 수 있습니다. MBSA를 사용하여 컴퓨터에서 일반적인 보안의 잘못된 구성과 누락된 보안 업데이트를 찾아냄으로써 보안 관리 프로세스를 개선합니다.
백업 및 복구 진단 계획이 수립되어 있는가?
백업 계획 및 백업 서버가 효과적으로 작동하고 있는지 확인합니다.
회사에서 보유하는 바이러스 백신 소프트웨어의 종류는 몇 가지인가? 모든 시스템에 바이러스 백신 소프트웨어가 설치되어 있는가?
각각의 바이러스 백신 패키지마다 장단점이 있으므로 단일 바이러스 백신 플랫폼에만 의존할 경우 회사가 위험에 노출될 수 있습니다.
회사에 무선 네트워크가 구현되어 있는가? 그렇다면 무선 네트워크에 대해서도 보안이 적용되고 올바르게 구성되어 있는가?
유선 네트워크의 보안이 완벽하게 유지된다고 하더라도 보안되지 않은 무선 네트워크로 인해 다른 보안 환경에 높은 위험을 초래할 수도 있습니다. WEP와 같은 이전의 무선 표준은 쉽게 손상되므로 연구 기관에서는 무선 보안 솔루션이 제대로 갖춰져 있는지 확인해야 합니다.
직원들이 맬웨어 방지 방법에 대한 교육을 받았는가? 직원들이 맬웨어 위험이란 주제에 관해 교육을 받았는가?
가장 일반적인 맬웨어 전파 형태에는 사회 공학적인 형태가 포함되어 있으며 사회 공학 위협에 대한 가장 효과적인 방어는 교육입니다.
맬웨어 위협 방지 또는 처리 방법에 대한 정책이 문서화되어 있는가? 정책 검토 주기는 어떻게 되는가? 정책이 제대로 적용되고 있는가? 직원들이 해당 정책을 얼마나 잘 준수하는가?
사용자가 맬웨어 위협 방지 방법 및 맬웨어 방지에 대해 교육을 받았는지를 확인합니다. 이 모든 정보를 문서화하는 것이 매우 중요합니다. 위의 정보 및 절차와 관련된 문서화된 정책을 마련하고 강화해야 합니다. 규정된 정책의 효과 및 유효성을 유지하기 위해 변경이 발생할 때마다 정책을 검토해야 합니다.
물리적 보안
물리적 보안은 조작, 도난, 인간 오류 및 이러한 행위로 인해 이후에 발생될 중지 시간을 방지할 목적으로 장비에 대한 액세스를 제한하는 것을 의미합니다.
물리적 보안은 특정 맬웨어 문제보다는 일반적인 보안 문제에 더 적합하지만, 조직의 인프라 내 모든 클라이언트, 서버 및 네트워크 장치에 대한 효과적인 물리적 방어 계획이 없으면 맬웨어로부터 보호할 수 없습니다.
효과적인 물리적 방어 계획을 위해 고려해야 할 주요 요소는 다음과 같습니다.
건물 보안. 건물 출입이 허가된 사람은 누구인가?
개인 보안. 직원 액세스 권한은 얼마나 제한적인가?
네트워크 액세스 지점. 네트워크 장비에 대한 액세스 권한을 가진 사람은 누구인가?
서버 컴퓨터. 서버에 대한 액세스 권한을 가진 사람은 누구인가?
워크스테이션 컴퓨터. 워크스테이션에 대한 액세스 권한을 가진 사람은 누구인가?
이러한 요소 중 하나라도 손상되면 맬웨어가 외부 및 내부 네트워크 방어 경계를 넘어 네트워크의 호스트를 감염시킬 수 있는 위험이 증가될 수 있습니다. 시설 및 컴퓨터 시스템에 대한 액세스 보호는 보안 전략의 기본적인 요소여야 합니다.
자세한 내용은 Microsoft TechNet의 "5-Minute Security Advisor - Basic Physical Security (영문)" 항목(www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx)을 참조하십시오.
논리적 보안
중소 기업의 정보 시스템에 대한 소프트웨어 보호 방법에는 사용자 ID 및 암호 액세스, 인증 및 액세스 권한 등이 있으며, 이 모든 방법은 맬웨어 위험을 관리하는 데 중요한 역할을 합니다. 이러한 보호 방법을 사용하면 권한이 부여된 사용자만 네트워크의 특정 서버 또는 워크스테이션에서 작업을 수행하거나 정보에 액세스할 수 있습니다. 관리자는 컴퓨터 사용자의 업무 기능과 일관된 방식으로 시스템이 구성되어 있는지 확인해야 합니다. 이러한 보호 방법을 구성할 때 다음 사항을 고려할 수 있습니다.
사용할 수 있는 프로그램 또는 유틸리티를 해당 직급에 필요한 프로그램 또는 유틸리티로 제한
주요 시스템 디렉터리에 대한 제어 수준 강화
감사 수준 강화
최소 권한 정책 사용
플로피 디스크와 같은 이동식 미디어 사용 제한
백업 서버, 메일 서버 및 파일 서버에 대한 관리 권한을 누구에게 부여해야 하는가?
인적 자원 폴더에 대한 액세스 권한을 누구에게 부여해야 하는가?
부서 간 폴더에 대해 어떤 권한을 지정해야 하는가?
워크스테이션을 여러 사용자가 사용해야 하는가? 그렇다면 어떤 액세스 수준을 지정해야 하는가? 사용자에게 워크스테이션에 소프트웨어 응용 프로그램을 설치할 수 있는 권한이 있는가?
사용자 ID, 로그온 ID 또는 계정 및 사용자 이름은 두 명 이상의 사용자가 액세스할 수 있는 컴퓨터 프로그램 또는 네트워크의 사용자를 고유하게 식별하는 개인 ID입니다. 인증은 엔티티 또는 개체가 누구이며 어떤 권한을 가지고 있는지 확인하는 프로세스입니다. 예를 들어, 디지털 서명 확인이나 사용자 또는 컴퓨터 ID 확인 등 원본 및 정보 무결성을 확인하는 작업이 포함됩니다. 보안을 향상시키려면 모든 로그온 계정에 암호(리소스 또는 컴퓨터에 대한 액세스를 제어하는 데 사용되는 비밀 인증 데이터)를 지정하는 것이 좋습니다. 사용자가 네트워크에 로그온한 후에는 적절한 액세스 권한이 정의되어야 합니다. 예를 들어, 특정 사용자가 인적 자원 폴더에 액세스할 수 있지만 읽을 수 있고 변경할 수는 없습니다.
그 밖의 논리적 보안 문제는 다음과 같습니다.
암호 만료 및 복잡성 등 암호 지침
데이터 및 소프트웨어 백업
기밀 정보/중요 데이터(해당되는 경우 암호화 사용)
알맞은 사용 및 허용 가능한 위험 수준에 해당하는 적절한 인증 및 권한 부여 기능을 제공해야 합니다. 서버 및 워크스테이션에 주의를 기울여야 합니다. 앞에서 설명한 모든 논리적 보안 요소를 회사 전체에서 참고 자료로 사용할 수 있도록 명확히 문서화하여 적용해야 합니다.
사전 및 사후 정책과 절차
두 가지 접근 방식(사전 및 사후)을 사용하여 맬웨어 위험을 관리합니다. 사전 접근 방식에는 호스트 기반 또는 네트워크 기반 공격에 의한 시스템 손상을 방지할 목적으로 수행되는 모든 방법이 포함됩니다. 사후 방법은 일부 시스템이 트로이 목마 또는 기타 맬웨어 등 침입자나 공격 프로그램에 의해 손상되었다는 사실을 발견한 이후에 중소 기업에서 사용하는 절차를 말합니다.
사후 접근 방식
시스템 또는 네트워크의 보안이 손상된 경우 사고 대처 프로세스를 진행해야 합니다. 사고 대처는 문제 조사, 원인 분석, 영향 최소화, 문제 해결, 향후 참조를 위해 모든 대처 단계 문서화로 이루어진 방법입니다.
모든 회사에서 몇 가지 방법을 사용하여 향후 업무적 손실을 예방하는 것과 마찬가지로, 각 회사는 사전 방법이 없거나 효과적이 않은 경우 발생하는 손실에 대처할 계획을 갖추고 있습니다. 사후 방법에는 재해 복구 계획, 손상된 시스템에 운영 체제 및 응용 프로그램 다시 설치, 그리고 다른 위치에 있는 대체 시스템으로의 전환이 포함됩니다. 사후 대처 방법을 마련하고 구현할 준비를 갖추는 일은 사전 방법을 마련하는 일만큼 중요합니다.
다음 사후 대처 계층 구조 다이어그램은 맬웨어 사고 처리 단계를 보여 줍니다. 이러한 단계에 대한 자세한 설명은 다음 내용에 나와 있습니다.
.gif)
그림 2. 사후 대처 계층 구조
인간의 생명 및 안전 보호 영향을 받는 컴퓨터에 생명 지원 시스템이 포함된 경우에는 시스템을 종료할 수 없습니다. 아마도 환자 보조 기능 기능을 중단하지 않으면서 라우터 및 스위치를 다시 구성하여 네트워크에서 이와 같은 시스템을 논리적으로 격리할 수 있을 것입니다.
손상 억제. 공격으로 인한 손상을 억제하면 추가 손상을 제한할 수 있습니다. 중요 데이터, 소프트웨어 및 하드웨어를 신속하게 보호합니다.
손상 진단. 공격을 받은 서버의 하드 디스크를 신속하게 복제하고 해당 디스크는 향후 정밀 분석에 사용할 수 있도록 별도로 보관합니다. 그런 다음 손상을 진단합니다.
손상 원인 파악. 갑작스런 습격의 근원지를 확인하려면 공격의 대상이 된 리소스와 액세스 권한을 얻고 서비스를 중단시키는 데 악용된 취약점을 알아야 합니다. 직접 영향을 받은 시스템과 이러한 시스템으로 트래픽을 라우팅한 네트워크 장치에 대한 시스템 구성, 패치 수준, 시스템 로그, 감사 로그 및 감사 추적 정보를 검토합니다.
손상 복구. 가능한 한 빨리 손상된 부분을 복구하여 정상적인 업무 상태를 회복하고 공격에 손실된 모든 데이터를 복구할 수 있어야 합니다.
대처 및 업데이트 정책 검토. 문서화 및 복구 단계가 완료된 후에는 대처 및 업데이트 정책을 검토해야 합니다.
네트워크의 시스템이 바이러스에 감염된 경우 수행해야 할 일은 무엇인가? 사후 접근 방식의 예는 다음과 같습니다.
방화벽이 제대로 작동하고 있는지 확인합니다. 시스템 및 네트워크에 인바운드 및 아웃바운드 트래픽을 적극적으로 제어합니다.
먼저 가장 의심가는 부분을 해결합니다. 가장 일반적인 맬웨어 위협을 제거하고 나서 알 수 없는 위협이 있는지 확인합니다.
감염된 시스템을 격리시킵니다. 해당 시스템을 네트워크와 인터넷에서 제외시킵니다. 위협 제거 프로세스 중에 네트워크의 다른 시스템으로 감염이 확산되지 않도록 차단합니다.
감염 제어 및 정리 기술을 조사합니다.
바이러스 백신 소프트웨어 공급업체에서 최신 바이러스 정의를 다운로드합니다.
바이러스 백신 시스템이 모든 파일을 검사하도록 구성되어 있는지 확인합니다.
파일 시스템 검사를 실행합니다.
없거나 손상된 데이터를 복원합니다.
감염된 파일을 제거하거나 치료합니다.
컴퓨터 시스템에 맬웨어가 없는지 확인합니다.
치료가 완료된 컴퓨터 시스템을 네트워크에 다시 연결합니다.
참고 모든 컴퓨터 시스템에서 최신 바이러스 백신 소프트웨어를 실행 중이며 바이러스 정의를 정기적으로 업데이트하는 자동화된 프로세스를 실행하고 있는지 확인해야 합니다. 특히 이동이 잦은 작업자가 사용하는 휴대용 컴퓨터에서 바이러스 백신 소프트웨어를 정기적으로 업데이트해야 합니다. 또한 조직에서 가장 중요한 시스템(인터넷 액세스 가능 시스템, 방화벽, 내부 라우터, 데이터베이스 및 백 오피스 서버)에 적용된 패치를 추적하는 로그 또는 데이터베이스를 유지 관리합니다.
사전 접근 방식
사전 위험 관리 접근 방식에는 사후 접근 방식보다 많은 이점이 있습니다. 사고가 발생할 때까지 기다렸다가 사고가 발생한 후에 대처하지 않고, 사고 발생 가능성을 최소화할 수 있습니다. 맬웨어에서 악용되는 취약점의 위험을 완화하기 위한 제어 솔루션을 구축함으로써 조직의 중요한 자산을 보호할 계획을 수립해야 합니다.
효과적인 사전 접근 방식은 중소 기업에서 향후에 발생하는 보안 사고를 줄일 수 있도록 도와주지만 그와 같은 문제를 완전히 제거할 수는 없을 것입니다. 따라서 사고 대처 프로세스를 지속적으로 향상시키는 동시에 장기적인 사전 접근 방식을 개발해 나가야 할 것입니다. 다음은 맬웨어 위험 관리를 지원하는 사전 방법의 몇 가지 예입니다.
공급업체의 권장 지시에 따라 하드웨어 시스템 및 라우터에 최신 펌웨어를 적용합니다.
최신 보안 패치를 서버 응용 프로그램 및 기타 응용 프로그램에 적용합니다.
공급업체의 보안 관련 전자 메일 목록을 구독하고 업체에서 권장할 때마다 패치를 적용합니다.
모든 Microsoft 컴퓨터 시스템에서 최신 바이러스 백신 소프트웨어를 실행하고 있는지 확인합니다.
바이러스 정의를 정기적으로 업데이트하는 자동화된 프로세스를 실행하고 있는지 확인합니다.
참고 특히 이동이 잦은 작업자가 사용하는 휴대용 컴퓨터에서 바이러스 백신 소프트웨어를 정기적으로 업데이트해야 합니다.
적용된 패치를 추적하는 데이터베이스를 유지 관리합니다.
보안 로그를 검토합니다.
경계 또는 호스트 기반 방화벽을 사용합니다.
MBSA 같은 취약점 검사 도구를 사용하여 컴퓨터 시스템에서 일반적인 잘못된 보안 구성 및 누락된 보안 업데이트를 찾아냅니다.
LUA(최소 권한 사용자 계정)를 사용합니다. 권한이 낮은 프로세스가 손상될 경우 권한이 높은 프로세스가 손상될 때보다 손상 규모가 적을 것입니다. 따라서 일일 작업 수행 시 관리자 계정 대신에 관리자 이외의 계정을 사용하면 맬웨어 호스트에 의한 감염, 외부 또는 내부 보안 공격, 시스템 설정 및 구성에 대한 고의적 및 우발적 변경, 그리고 기밀 프로그램 또는 문서에 대한 고의적 및 우발적 액세스로부터 사용자를 더욱 철저하게 보호할 수 있습니다.
강력한 암호 정책을 적용합니다. 강력한 암호는 Brute Force 공격을 사용하는 공격자가 권한을 단계적으로 상승할 수 있는 기회를 줄입니다. 강력한 암호에는 일반적으로 다음과 같은 특성이 있습니다.
15자 이상입니다.
어떤 형태로도 계정 이름, 실제 이름 또는 회사 이름을 포함하지 않습니다.
전체 단어, 은어 또는 그 밖에 쉽게 검색할 수 있는 용어를 포함하지 않습니다.
이전 암호에 일부 문자만 추가되는 형태가 아닌 이전 암호와 완전히 다릅니다.
3자 이상의 다음 문자 유형을 사용합니다.
대문자(A, B, C...)
소문자(a, b, c...)
숫자(0, 1, 2...)
영숫자 이외의 문자(@, &, $...)
유니코드 문자(€, ƒ, λ...)
암호 정책에 대한 자세한 내용은 Microsoft TechNet의 “Password Best practices (영문)” 항목(https://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true)을 참조하십시오.
심층 방어
중소 기업 환경에서 맬웨어 위험을 관리하기 위한 사전 접근 방식에서는 계층화된 심층 방어 방식을 사용하여 외부 및 내부 위협으로부터 리소스를 보호해야 합니다. 심층 방어(심층 보안 또는 다층 보안이라고도 함)는 보안 대응책을 여러 계층으로 배치하여 단일 지점에서 실패하지 않는 밀착 보안 환경을 구축하는 것을 의미합니다. 심층 방어 전략을 형성하는 보안 계층에는 외부 라우터에서 리소스의 위치와 위치 간 모든 지점까지 사전 방법을 배포하는 일이 포함되어야 합니다. 여러 보안 계층을 배포하면 하나의 계층이 손상될 경우 다른 계층에서 리소스를 보호하는 데 필요한 보안을 제공합니다.
이 섹션에서는 개념을 이해하는 좋은 출발점이 되는 심층 보안 모델에 대해 설명합니다. 이 모델에서는 중소 기업 보안 공격을 일련의 견고한 방어 기능을 통해 저지할 수 있는 7가지 보안 방어 계층을 식별합니다. 각 방어 기능은 다양한 수준에서 공격을 저지할 수 있습니다.
각 계층에 대한 세부 정의는 각 조직의 보안 우선 순위 및 요구 사항에 따라 다를 수 있습니다. 다음 그림에서는 심층 방어 모델 계층을 보여 줍니다.
.gif)
그림 3. 심층 방어 보안 모델
데이터. 데이터 계층의 위험은 공격자가 구성 데이터, 조직 데이터 또는 조직에서 사용하는 장치 고유의 데이터에 대한 액세스 권한을 얻는 데 악용할 수 있는 취약점에서 비롯됩니다.
응용 프로그램. 응용 프로그램 계층의 위험은 공격자가 응용 프로그램 실행 권한을 얻는 데 악용할 수 있는 취약점에서 비롯됩니다. 맬웨어 작성자가 시스템을 공격하는 데 사용하는 운영 체제 외부에서 패키지화할 수 있는 모든 실행 코드입니다.
호스트. 일반적으로 이 계층은 맬웨어 위협을 해결하기 위한 서비스 팩과 핫픽스를 제공하는 공급업체에서 대상으로 합니다. 이 계층의 위험은 호스트 또는 장치에서 제공하는 서비스의 취약점을 악용하는 공격자로부터 비롯됩니다.
내부 네트워크. 회사의 내부 네트워크에 대한 위험은 주로 이 유형의 네트워크를 통해 전송되는 중요한 데이터와 관련되어 있습니다. 또한 이러한 내부 네트워크에 대한 클라이언트 워크스테이션의 연결 요구 사항과 관련된 위험도 있습니다.
경계 네트워크. 경계 네트워크 계층과 관련된 위험은 WAN(광역 네트워크)과 이러한 네트워크가 연결되는 네트워크 계층에 대한 액세스 권한을 얻는 공격자로부터 비롯됩니다.
물리적 보안. 물리적 보안 계층의 위험은 물리적 자산에 대한 물리적 액세스 권한을 얻는 공격자로부터 비롯됩니다.
정책, 절차 및 인식. 모든 보안 모델 계층 주변에는 중소 기업에서 각 수준의 요구 사항을 충족하고 지원하는 데 필요한 정책 및 절차가 마련됩니다.
데이터, 응용 프로그램 및 호스트 계층을 두 가지 방어 전략으로 결합하여 회사의 클라이언트 및 서버를 보호할 수 있습니다. 이러한 방어가 몇 가지 공통 전략을 공유하더라도 클라이언트의 방어와 서버의 방어 구현 방법이 크게 다르기 때문에 각 나름대로 고유한 방어 접근 방식이 될 수 있습니다.
내부 네트워크 및 경계 네트워크 계층도 관련 기술이 두 계층에 동일하기 때문에 공통의 네트워크 방어 전략으로 결합할 수 있습니다. 세부 구현은 조직 인프라에서 장치 및 기술의 위치에 따라 각 계층마다 다릅니다. 심층 방어에 대한 자세한 내용은 he Antivirus Defense-in-Depth Guide의 "Chapter 2: Malware Threats (영문)"(https://go.microsoft.com/fwlink/?LinkId=50964)를 참조하십시오.
배포 및 관리
맬웨어 위험 관리 전략은 이 문서에서 지금까지 설명한 모든 기술 및 접근 방식으로 포함할 수 있습니다. 모든 요구 사항을 충족하는 안전한 바이러스 백신 소프트웨어를 모든 시스템에 배포하는 것이 좋습니다. Microsoft의 Windows Defender를 바이러스 백신 소프트웨어와 함께 사용해야 합니다. 이 도구는 스파이웨어 및 그 밖의 원치 않는 소프트웨어로 인한 팝업, 느린 성능 및 보안 위협으로부터 컴퓨터를 보호하여 생산성을 유지할 수 있도록 도와줍니다. 사실상 이 도구와 바이러스 백신 소프트웨어는 가능한 한 운영 체제를 설치하자마자 배포해야 합니다. 최신 바이러스 백신 패치를 즉시 적용하고 지속적으로 맬웨어를 감지 및 중지할 수 있도록 구성해야 합니다. 현재 종합 보안 솔루션으로 전적으로 신뢰할 수 있는 단일 접근 방식은 없으므로 바이러스 백신 소프트웨어와 함께 앞의 섹션에서 설명한 방화벽, 게이트웨이, 침입 탐지 및 기타 보안 솔루션 기술을 강화해야 합니다.
이 섹션에서는 유효성 검사, 모니터링, 보고 및 사용 가능한 기술에 대해 설명합니다.
유효성 검사
앞에서 살펴본 맬웨어 위험 관리를 위한 접근 방식 및 기술을 검토하여 구현한 경우, 그러한 접근 방식과 기술이 효과적으로 배포되었다고 어떻게 확신할 수 있을까요?
제안된 솔루션을 확인하려면 다음 도구를 사용하여 네트워크 및 시스템 환경을 확인합니다.
바이러스 백신. 최신 서명 파일 정의와 함께 바이러스 백신 소프트웨어를 사용하여 모든 시스템에서 바이러스를 검사합니다.
Windows Defender. Windows Defender를 사용하여 모든 시스템에서 스파이웨어와 그 밖의 모든 원치 않는 소프트웨어를 검사합니다.
MBSA(Microsoft Baseline Security Analyzer) MBSA를 사용하여 일반적인 잘못된 보안 구성이 있는지 모든 시스템을 검사합니다. 자세한 내용은 Microsoft Baseline Security Analyzer 웹 사이트(https://www.microsoft.com/korea/technet/security/tools/mbsahome.asp)를 참조하십시오.
또한 적절한 액세스 권한을 가진 새로 만든 계정을 테스트하고 그러한 계정이 의도한 대로 작동하는지 확인합니다.
전략과 구현된 기술을 확인했으면 보안 효과를 지속시키기 위해 필요할 경우 소프트웨어 및 하드웨어 패치를 적용해야 합니다. 사용자와 특히 IT 직원은 최신 업데이트를 적용하여 시스템을 항상 최신 상태를 유지해야 합니다.
모니터링 및 보고
맬웨어 공격을 감지하려면 네트워크상의 모든 장치를 지속적으로 모니터링해야 합니다. 모니터링은 복잡한 프로세스일 수 있습니다. 모니터링하려면 다양한 소스(방화벽, 라우터, 스위치 및 사용자의 로그 등)의 정보를 수집하여 비정상적인 동작을 식별하는 데 사용할 수 있는 "정상적인" 동작 기준을 만들어야 합니다.
중소 기업 환경에서의 맬웨어 모니터링 및 보고 전략에는 기술 및 사용자 교육을 포함해야 합니다.
기술은 중소 기업에서 맬웨어 활동을 모니터링 및 보고하고 그에 따라 대처할 수 있도록 도와주는 올바르게 배포 및 구현된 하드웨어 및 소프트웨어 기술을 의미합니다. 사용자 교육은 사용자를 대상으로 한 맬웨어 사고 방지, 예방 및 올바른 사고 보고 방법에 대한 지침을 포함하는 인식 프로그램을 의미합니다.
기술 의심스러운 맬웨어 감염 사실을 중앙 위치 또는 사용자에게 대처 방법을 알려 줄 수 있는 적절한 연락 창구로 보고할 수 있도록 경고 모니터링 시스템을 자동화할 수 있습니다. 자동화된 경고 시스템은 초기 경고와 사용자가 맬웨어 위협을 알게 되는 시점 간 지연 시간을 최소화하지만, 이 접근 방식의 문제는 "잘못된 확실성"을 주는 경고를 생성할 수 있다는 점입니다. 경고를 선별하고 비정상적인 활동 보고 점검 목록을 검토하는 사람이 아무도 없다면 존재하지 않는 맬웨어를 경고할 수도 있습니다. 경고가 너무 자주 발생하면 그러한 경고에 대해 사용자가 급속도로 무관심해질 것이므로 이러한 상황은 자기 만족으로 이어질 수 있습니다.
회사에서 사용하는 바이러스 백신 패키지나 모든 시스템의 모니터링 소프트웨어에서 발생하는 자동화된 모든 맬웨어 경고를 네트워크 관리 팀의 구성원이 수신하도록 하면 이 문제를 해결하는 데 도움이 될 수 있습니다. 그러면 책임을 맡은 개인 또는 팀은 사용자에게 경고를 보내기 전에 자동화된 시스템에서 잘못된 확실성을 주는 경고를 걸러낼 수 있습니다.
맬웨어 솔루션은 지속적으로 검토하고 최신 상태로 유지하는 것이 좋습니다. 자동화된 단순한 바이러스 서명 다운로드부터 전체적인 운영 정책 변경에 이르기까지 맬웨어 보호의 모든 측면을 주의 깊게 관리해야 합니다. 다음 도구 중 일부는 이미 설명했지만 이러한 도구는 모두 보안 관리, 모니터링 및 보고에 반드시 필요합니다.
NID(네트워크 침입 탐지). 경계 네트워크는 네트워크에서 가장 많이 노출된 부분이므로 네트워크 관리 시스템에서 가능한 한 빨리 공격을 탐지하여 보고할 수 있어야 합니다.
MBSA(Microsoft Baseline Security Analyzer). MBSA를 사용하여 컴퓨터에서 일반적인 보안의 잘못된 구성과 누락된 보안 업데이트를 찾아냄으로써 보안 관리 프로세스를 개선합니다.
바이러스 백신 서명 스캐너. 현재 대부분의 바이러스 백신 프로그램에서 이 기술을 통해 대상(호스트 컴퓨터, 디스크 드라이브 또는 파일)에서 맬웨어를 나타낼 수 있는 패턴을 검색하고 있습니다.
SMTP 게이트웨이 스캐너. 이러한 SMTP(Simple Mail Transfer Protocol) 기반 전자 메일 검사 솔루션을 대개 바이러스 백신 "게이트웨이" 솔루션이라고 합니다. 이 솔루션은 특정 전자 메일 서버 제품에 국한되지 않고 모든 SMTP 전자 메일 서비스에서 사용할 수 있는 이점이 있습니다.
로그 파일. 파일 액세스 세부 정보가 들어 있는 파일이 서버에서 저장 및 관리됩니다. 로그 파일을 분석하면 웹 사이트 트래픽에 대한 유용한 데이터를 얻을 수 있습니다.
이벤트 뷰어. 드라이버 장애, 파일 오류, 로그온, 로그오프 등 오류 및 기타 이벤트를 보고하는 관리 도구입니다.
Microsoft Windows Defender. 스파이웨어 및 기타 원치 않는 소프트웨어로 인한 팝업, 성능 저하 및 보안 위협으로부터 컴퓨터를 보호하는 프로그램입니다. 이 프로그램에서는 실시간 보호, 발견 시 스파이웨어에 대한 조치를 권장하는 모니터링 시스템, 그리고 사용자의 생산성을 유지하도록 도와주고 중단을 최소화하는 효율적인 새로운 인터페이스를 제공합니다.
Internet Explorer 7의 동적 보안 보호 기능을 사용합니다.
다음은 최신 업데이트 또는 수정 사항을 검색하여 적용하는 데 도움이 되는 추가 권장 도구입니다.
Microsoft WSUS(Windows Server Update Services)는 중소 기업 네트워크 내에서 업데이트를 관리하기 위한 종합 솔루션을 제공합니다.
Microsoft Systems Management Server 2003 SP 1은 Microsoft 플랫폼의 변경 및 구성 관리를 위한 종합 솔루션으로, 조직에서는 이 도구를 사용하여 관련 소프트웨어 및 업데이트를 사용자에게 신속하고 경제적으로 제공할 수 있습니다.
조직에 적용할 수 있는 새 패치를 구독하는 방안을 고려해 보십시오. Microsoft 보안 공지(https://go.microsoft.com/fwlink/?LinkId=21723)에 가입하면 새 패치 알림을 자동으로 받을 수 있습니다.
사용자 교육 이 문서 앞의 섹션에서 설명했듯이, 모든 사용자에게 맬웨어 및 특성, 잠재 위협의 심각성, 방지 기술, 맬웨어 확산 방법, 맬웨어로 인한 위험에 대한 교육을 실시해야 합니다. 사용자 교육에는 컴퓨터에서 맬웨어 감지 방법, 의심스러운 감염 보고 방법, 사용자가 사고 처리자를 지원하기 위해 할 수 있는 일 등과 같이 맬웨어 사고 처리에 적용할 정책 및 절차에 대한 인식도 포함되어야 합니다. 중소 기업에서는 맬웨어 사고 방지와 관련된 IT 직원 구성원을 대상으로 맬웨어 위험 관리 전략에 대한 교육 과정도 진행해야 합니다.
요약
맬웨어는 지속적으로 발전하는 정교한 컴퓨터 기술 분야입니다. IT 분야에서 발생하는 모든 문제 중 맬웨어 공격과 맬웨어 처리 관련 비용만큼 일반화되어 있고 많은 비용이 드는 문제는 거의 없습니다. 중소 기업에서 맬웨어의 작동 방식, 맬웨어의 발전 동향 및 맬웨어에서 악용하는 공격 벡터를 알고 있으면 문제를 사전에 방지하고 보다 효율적이고 효과적인 사후 대처 프로세스를 구축할 수 있습니다. 맬웨어에서는 매우 다양한 기술을 사용하여 컴퓨터 시스템을 생성, 배포 및 악용하므로 모든 시스템에서 그러한 공격으로부터 보호할 수 있는 방법을 알아내기가 어려울 수 있습니다. 하지만 문제를 파악하고 적절한 맬웨어 위험 관리 전략을 갖춘다면 공격 성공의 가능성을 낮추는 방식으로 시스템 및 네트워크 인프라를 관리할 수 있습니다.
부록 A: 공동 정보 시스템 자산
이 부록에는 다양한 유형의 중소 기업에서 일반적으로 사용하는 정보 시스템 자산의 목록이 나와 있습니다. 이 목록은 전체 목록이 아니므로 조직의 고유 환경에 있는 자산 중 이 목록에 없는 자산도 있을 수 있습니다. 이 목록은 참고용이며 중소 기업에서 위험 관리 전략을 계획하기 위한 출발점으로 사용할 수 있습니다.
표 A.1. 공통 정보 시스템 자산 목록
| 자산 종류 | 최고 수준 자산에 대한 설명 | 다음 수준 정의(필요할 경우) | 자산 가치 등급(최고 등급: 5) |
|---|---|---|---|
| 유형 자산 | 물리적 인프라 | 데이터 센터 | 5 |
| 유형 자산 | 물리적 인프라 | 서버 | 3 |
| 유형 자산 | 물리적 인프라 | 데스크톱 컴퓨터 | 1 |
| 유형 자산 | 물리적 인프라 | 모바일 컴퓨터 | 3 |
| 유형 자산 | 물리적 인프라 | PDA | 1 |
| 유형 자산 | 물리적 인프라 | 휴대폰 | 1 |
| 유형 자산 | 물리적 인프라 | 서버 응용 프로그램 소프트웨어 | 1 |
| 유형 자산 | 물리적 인프라 | 최종 사용자 응용 프로그램 소프트웨어 | 1 |
| 유형 자산 | 물리적 인프라 | 개발 도구 | 3 |
| 유형 자산 | 물리적 인프라 | 라우터 | 3 |
| 유형 자산 | 물리적 인프라 | 네트워크 스위치 | 3 |
| 유형 자산 | 물리적 인프라 | 팩스 기기 | 1 |
| 유형 자산 | 물리적 인프라 | PBX | 3 |
| 유형 자산 | 물리적 인프라 | 이동식 미디어(테이프, 플로피 디스크, CD-ROM, DVD, 휴대용 하드 드라이브, PC 카드 저장 장치, USB 저장 장치 등) | 1 |
| 유형 자산 | 물리적 인프라 | 전원 공급 장치 | 3 |
| 유형 자산 | 물리적 인프라 | 무정전 전원 공급 장치 | 3 |
| 유형 자산 | 물리적 인프라 | 화재 방지 시스템 | 3 |
| 유형 자산 | 물리적 인프라 | 에어컨 | 3 |
| 유형 자산 | 물리적 인프라 | 공기 정화 시스템 | 1 |
| 유형 자산 | 물리적 인프라 | 기타 환경 제어 시스템 | 3 |
| 유형 자산 | 인트라넷 데이터 | 소스 코드 | 5 |
| 유형 자산 | 인트라넷 데이터 | 인적 자원 데이터 | 5 |
| 유형 자산 | 인트라넷 데이터 | 재무 데이터 | 5 |
| 유형 자산 | 인트라넷 데이터 | 마케팅 데이터 | 5 |
| 유형 자산 | 인트라넷 데이터 | 직원 암호 | 5 |
| 유형 자산 | 인트라넷 데이터 | 직원 개인 암호화 키 | 5 |
| 유형 자산 | 인트라넷 데이터 | 컴퓨터 시스템 암호화 키 | 5 |
| 유형 자산 | 인트라넷 데이터 | 스마트 카드 | 5 |
| 유형 자산 | 인트라넷 데이터 | 지적 자산 | 5 |
| 유형 자산 | 인트라넷 데이터 | 규정 요구 사항 데이터(GLBA, HIPAA, CA SB1386, EU 데이터 보호법 등) | 5 |
| 유형 자산 | 인트라넷 데이터 | 직원 주민 등록 번호 | 5 |
| 유형 자산 | 인트라넷 데이터 | 직원 운전 면허 번호 | 5 |
| 유형 자산 | 인트라넷 데이터 | 전략 계획 | 3 |
| 유형 자산 | 인트라넷 데이터 | 고객 소비자 신용 보고서 | 5 |
| 유형 자산 | 인트라넷 데이터 | 소비자 의료 기록 | 5 |
| 유형 자산 | 인트라넷 데이터 | 직원 생체 인식 ID | 5 |
| 유형 자산 | 인트라넷 데이터 | 직원 업무 연락처 데이터 | 1 |
| 유형 자산 | 인트라넷 데이터 | 직원 개인 연락처 데이터 | 3 |
| 유형 자산 | 인트라넷 데이터 | 구매 주문서 데이터 | 5 |
| 유형 자산 | 인트라넷 데이터 | 네트워크 인프라 디자인 | 3 |
| 유형 자산 | 인트라넷 데이터 | 내부 웹 사이트 | 3 |
| 유형 자산 | 인트라넷 데이터 | 직원 문화 데이터 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 파트너 연락처 데이터 | 5 |
| 유형 자산 | 익스트라넷 데이터 | 파트너 재무 데이터 | 5 |
| 유형 자산 | 익스트라넷 데이터 | 파트너 연락처 데이터 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 파트너 공동 작업 응용 프로그램 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 파트너 암호화 키 | 5 |
| 유형 자산 | 익스트라넷 데이터 | 파트너 신용 보고서 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 파트너 구매 주문서 데이터 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 공급업체 연락처 데이터 | 5 |
| 유형 자산 | 익스트라넷 데이터 | 공급업체 재무 데이터 | 5 |
| 유형 자산 | 익스트라넷 데이터 | 공급업체 연락처 데이터 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 공급업체 공동 작업 응용 프로그램 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 공급업체 암호화 키 | 5 |
| 유형 자산 | 익스트라넷 데이터 | 공급업체 신용 보고서 | 3 |
| 유형 자산 | 익스트라넷 데이터 | 공급업체 구매 주문서 데이터 | 3 |
| 유형 자산 | 인터넷 데이터 | 웹 사이트 판매 응용 프로그램 | 5 |
| 유형 자산 | 인터넷 데이터 | 웹 사이트 마케팅 데이터 | 3 |
| 유형 자산 | 인터넷 데이터 | 고객 신용 카드 데이터 | 5 |
| 유형 자산 | 인터넷 데이터 | 고객 연락처 데이터 | 3 |
| 유형 자산 | 인터넷 데이터 | 공개 암호화 키 | 1 |
| 유형 자산 | 인터넷 데이터 | 보도 자료 | 1 |
| 유형 자산 | 인터넷 데이터 | 백서 | 1 |
| 유형 자산 | 인터넷 데이터 | 제품 설명서 | 1 |
| 유형 자산 | 인터넷 데이터 | 교육 자료 | 3 |
| 무형 자산 | 평판 | 5 | |
| 무형 자산 | 신용 | 3 | |
| 무형 자산 | 직원 윤리 | 3 | |
| 무형 자산 | 직원 생산성 | 3 | |
| IT 서비스 | 메시징 | 전자 메일/스케줄링(예: Microsoft Exchange) | 3 |
| IT 서비스 | 메시징 | 인스턴트 메시징 | 1 |
| IT 서비스 | 메시징 | Microsoft OWA(Outlook® Web Access) | 1 |
| IT 서비스 | 핵심 인프라 | Active Directory® 디렉터리 서비스 | 3 |
| IT 서비스 | 핵심 인프라 | DNS(Domain Name System) | 3 |
| IT 서비스 | 핵심 인프라 | DHCP(Dynamic Host Configuration Protocol) | 3 |
| IT 서비스 | 핵심 인프라 | 엔터프라이즈 관리 도구 | 3 |
| IT 서비스 | 핵심 인프라 | 파일 공유 | 3 |
| IT 서비스 | 핵심 인프라 | 저장소 | 3 |
| IT 서비스 | 핵심 인프라 | 전화 접속 원격 액세스 | 3 |
| IT 서비스 | 핵심 인프라 | 전화 통신 | 3 |
| IT 서비스 | 핵심 인프라 | VPN(가상 사설망) 액세스 | 3 |
| IT 서비스 | 핵심 인프라 | Microsoft WINS(Windows® Internet Naming Service) | 1 |
| IT 서비스 | 기타 인프라 | 공동 작업 서비스(예: Microsoft SharePoint®) |
| 최고 수준 위협에 대한 설명 | 특정 예 |
|---|---|
| 재해 사고 | 화재 |
| 재해 사고 | 홍수 |
| 재해 사고 | 지진 |
| 재해 사고 | 폭풍 |
| 재해 사고 | 테러 |
| 재해 사고 | 폭동/소동 |
| 재해 사고 | 산사태 |
| 재해 사고 | 눈사태 |
| 재해 사고 | 산업 재해 |
| 기계 고장 | 정전 |
| 기계 고장 | 하드웨어 고장 |
| 기계 고장 | 네트워크 정지 |
| 기계 고장 | 환경 제어 장치 고장 |
| 기계 고장 | 건축 사고 |
| 악의적이지 않은 사용자 | 무지한 직원 |
| 악의적이지 않은 사용자 | 무지한 직원 |
| 악의적인 사용자 | 해커, 크래커 |
| 악의적인 사용자 | 컴퓨터 범죄자 |
| 악의적인 사용자 | 산업 스파이 |
| 악의적인 사용자 | 정부 후원 스파이 |
| 악의적인 사용자 | 사회 공학 |
| 악의적인 사용자 | 불만을 가진 근무 중인 직원 |
| 악의적인 사용자 | 불만을 가진 퇴사한 직원 |
| 악의적인 사용자 | 테러리스트 |
| 악의적인 사용자 | 태만한 직원 |
| 악의적인 사용자 | 부정직한 직원(공갈 표적 또는 매수됨) |
| 악의적인 사용자 | 악성 모바일 코드 |
| 높은 수준의 취약점 종류 | 취약점에 대한 간략한 설명 | 특정 예(해당되는 경우) |
|---|---|---|
| 물리적 | 잠그지 않은 문 | |
| 물리적 | 컴퓨팅 시설에 대한 보호되지 않은 액세스 | |
| 물리적 | 미흡한 화재 방지 시스템 | |
| 물리적 | 잘못 설계된 건물 | |
| 물리적 | 잘못 건축된 건물 | |
| 물리적 | 건축에 사용된 가연성 물질 | |
| 물리적 | 마감재에 사용된 가연성 물질 | |
| 물리적 | 잠기지 않은 창문 | |
| 물리적 | 물리적 공격에 약한 벽 | |
| 물리적 | 실내의 천장과 바닥이 완전하게 막혀 있지 않은 내부 벽 | |
| 자연 | 단층선에 위치한 시설 | |
| 자연 | 홍수 지역에 있는 시설 | |
| 자연 | 눈사태 지역에 있는 시설 | |
| 하드웨어 | 누락된 패치 | |
| 하드웨어 | 오래된 펌웨어 | |
| 하드웨어 | 잘못 구성된 시스템 | |
| 하드웨어 | 물리적으로 보안되지 않은 시스템 | |
| 하드웨어 | 공용 인터페이스에서 허용되는 관리 프로토콜 | |
| 소프트웨어 | 오래된 바이러스 백신 소프트웨어 | |
| 소프트웨어 | 누락된 패치 | |
| 소프트웨어 | 잘못 작성된 응용 프로그램 | 사이트 간 스크립팅 |
| 소프트웨어 | 잘못 작성된 응용 프로그램 | SQL 삽입 |
| 소프트웨어 | 잘못 작성된 응용 프로그램 | 버퍼 오버플로 같은 코드 결함 |
| 소프트웨어 | 고의적으로 만든 결함 | 관리 또는 시스템 복구를 위한 공급업체 백도어 |
| 소프트웨어 | 고의적으로 만든 결함 | 키로거 같은 스파이웨어 |
| 소프트웨어 | 고의적으로 만든 결함 | 트로이 목마 |
| 소프트웨어 | 고의적으로 만든 결함 | |
| 소프트웨어 | 구성 오류 | 구성의 일관성을 떨어뜨리는 수동 구축 |
| 소프트웨어 | 구성 오류 | 시스템이 강화되지 않음 |
| 소프트웨어 | 구성 오류 | 시스템을 감사하지 않음 |
| 소프트웨어 | 구성 오류 | 시스템을 모니터링하지 않음 |
| 미디어 | 전기적 간섭 | |
| 통신 | 암호화되지 않은 네트워크 프로토콜 | |
| 통신 | 여러 네트워크에 연결 | |
| 통신 | 불필요한 프로토콜 허용 | |
| 통신 | 네트워크 세그먼트 간 필터링 미수행 | |
| 인간 | 잘못 정의한 절차 | 미흡한 사고 대처 준비 |
| 인간 | 잘못 정의한 절차 | 수동 구축 |
| 인간 | 잘못 정의한 절차 | 미흡한 재해 복구 계획 |
| 인간 | 잘못 정의한 절차 | 프로덕션 시스템에 대한 테스트 |
| 인간 | 잘못 정의한 절차 | 위반이 보고되지 않음 |
| 인간 | 잘못 정의한 절차 | 잘못된 변경 제어 |
| 인간 | 자격 증명 도난 |