은행 기업망
(정보시스템구축) 정보시스템 구축·운영 기반 정보보안 전문가 양성과정A23(4) 1회차
어느날팀장이사라졌다
진태선(팀장) ,
박가연 ,
이세라 ,
이윤지
| 개요 | 최근 해킹으로 인한 개인정보 유출 등 여러 보안 문제가 발생한 태선저축은행은 보안 강화를 위해 KH 시큐리티에 취약점 진단 및 신규 인프라 구축을 의뢰하였습니다. 이에 KH 시큐리티는 Black Box 방식의 모의해킹을 수행하여 보안 취약점을 식별하고, 이를 기반으로 보안이 강화된 WEB, DNS, 원격 서비스를 새롭게 구축하였습니다. 또한, 방화벽(iptables), IPS, WAF, UTM, VPN, ESM, NAC 등의 보안 솔루션을 도입하여 식별된 취약점이 효과적으로 해결되었는지 재진단을 수행하였으며, 보안 설정이 정상적으로 적용되었음을 확인한 후 프로젝트를 완료하였습니다. KH 시큐리티는 본 프로젝트를 통해 태선저축은행의 보안 수준을 한층 강화하고, 안전한 금융 서비스 환경을 구축하는 데 기여하고자 합니다. |
|---|---|
| 구현기능 | 1. 모의해킹 및 취약점 진단 - Black Box 방식의 모의해킹 수행 - 네트워크 및 시스템 보안 취약점 식별(KISA 주요통신기반시설 기술적 취약점 분석 평가 상세 가이드 기준) 2. 보안 강화된 인프라 구축 - 보안 네트워크 설계 - 사용자 존(USER ZONE), 서버팜(SERVER FARM), DMZ 구성 - WEB, DNS, 원격 서비스의 신규 보안 아키텍처 설계 및 구축 3. 보안 솔루션 도입 및 적용 - 방화벽(Firewall) 및 네트워크 보안 - iptables 기반의 방화벽 정책 수립 및 적용 - 서버 및 네트워크 장비 간 허용/차단 정책 설정 - 특정 포트 및 IP 기반 접근 제어 강화 - 침입 탐지 및 방어 시스템 - IPS(침입 방지 시스템): 네트워크 공격 탐지 및 차단 - WAF(웹 방화벽): WAFFLES를 이용한 웹 보안 - UTM(통합 위협 관리): 내부에 존재하는 망들은 외부통신 가능하게 적용 - 보안 네트워크 및 접근 제어 - VPN(가상사설망): Site to Site VPN을 통한 지사<->사설망 통신 가능 / Remote Access VPN을 통해 사설망을 이용한 통신이 가능 - NAC(네트워크 접근 제어): userzone에서 데이터베이스 접근 제어를 통해 차단 - ESM(보안 이벤트 관리): 하나의 화면에서 동시 관제가 가능하도록 기능을 제공 4. 보안 재진단 및 검증 - 강화된 보안 환경에서 추가적인 모의해킹 및 취약점 재진단 수행 - 보안 정책 및 솔루션 적용 결과 분석 - 보안 설정 검증 및 개선 사항 반영 |
| 설계의 주안점 | 1. 네트워크 보안 강화 1-1) 방화벽(iptables) 및 ACL 적용 - 중요 시스템에 대한 접근 제한을 통하여 신뢰할 수 있는 IP/포트만 허용 - 내부망 및 외부망 간 트래픽을 세분화하여 허용/차단 정책 적용 - 불필요한 서비스 및 포트 차단 1-2) 침입 탐지 및 대응 시스템(IPS) 배치 - 네트워크 상의 비정상적인 트래픽을 실시간으로 탐지 및 차단 - IPS를 통한 차단 및 허용 정책 설정 1-3) VPN을 활용한 원격 접속 보안 강화 - 내부 네트워크 접근 시, VPN을 통해 암호화된 통신 채널 제공 2. 서버 및 시스템 보안 2-1) 서버 접근 통제 및 계정 관리 강화 - SSH 원격 접속을 특정 IP로 제한 - 관리자 및 일반 사용자 계정 접근 제어 2-2) 로그 모니터링 및 탐지 로그 저장(ESM 활용) - 시스템 및 네트워크 장비의 보안 이벤트를 관리 3. 웹 및 애플리케이션 보안 3-1) 웹 방화벽(WAF) 적용 - OWASP Top 10 中 SQL Injection, XSS 공격 방어 3-2) DNS 보안 강화 - DNSSEC 적용을 통한 DNS 위변조 방지 - 내부 네트워크에 대한 불필요한 DNS 요청 차단 4. 네트워크 및 시스템 공격 대비책 4-1) 다양한 스캔 기법 활용 - Nmap을 이용한 TCP Connect 스캔, SYN 스텔스 스캔, Fin 스캔, X-mas 스캔, NULL 스캔, Target 스캔, IDLE 스캔 등을 수행하여 시스템의 취약점을 분석 4-2) 네트워크 공격 방지 - ARP Spoofing, ICMP Spoofing, DHCP Starvation, DHCP Spoofing, GRE Sniffing 등을 예방하기 위한 네트워크 보안 설정 강화 - IP Spoofing 방지를 위한 접근 제어 설정 4-3) DNS 공격 방지 - DNS Spoofing 및 DNS Cache Poisoning에 대한 대응책 마련 4-4) 세션 하이재킹 및 악성코드 방지 - TCP Session Hijacking 방지를 위한 네트워크 보안 설정 강화 - 랜섬웨어, 트로이 목마, RAT, 백도어 등의 악성코드 방지 대책 마련 4-5) 웹 보안 강화 - Banner Grabbing, Fingerprinting, WEB Spidering, Vulnerability Scan 등을 통해 웹 애플리케이션의 취약점 분석 - 브루트 포싱, 사전 공격 등의 웹 인증 공격 방지 대책 마련 - WEB 세션 공격 (세션 고정화, 세션 하이재킹) 방지를 위한 보안 설정 강화 - Cross Site Scripting(XSS) 공격 방지를 위해 입력값 검증 및 인가 정책 강화 - SQL Injection 공격 방지를 위해 쿼리 입력값 검증 강화 - SSL Attack (SSL Mitm, SSL Strip) 방지를 위한 SSL/TLS 설정 강화 - DOS (Denial of Service) 공격 방지를 위한 트래픽 관리 및 방화벽 설정 강화 |
| 사용기술 및 개발환경 |
<개발환경> - Physical : Windows 10 Pro 22H2 - 네트워크 가상화 : GNS3 2.2.5 - 서버 가상화 : VMware 17.5.0 <네트워크 환경> - Routing, NAT - GRE Tunneling - Firewall : iptables <서버환경> - 서버 운영체제 : Rocky Linux 9.3 - DNS : bind-9.16.23-24.el9_5.x86_64 - HTTPS : HTTPD 2.4.62-1.el9.x86_64 + openssl 3.0.7-24.el9.x86_64 - WAS : php 8.0.30-1.el9_2.x86_64 - DB: mariaDB 10.5.22-1.el9_2.x86_64 <확인용 프로그램> - SSH 접속 : Windows XP Professional + putty0_60h - FTP서버 접속 : FileZilla 3.64.0 - MAIL서버 접속 : thunderbird-128.4.0-1 - 네트워크 통신 : Wireshark 4.4.3 <취약점 분석/모의해킹> - nmap : 7.95+dfsg-1kali1 - Burpsuite : v2024.10.3 - OpenVAS : 23.13.1 + gvm-libs : 22.14.0 - Metasploit : v6.4.44-dev - John-the-Ripper : 1.9.0 - Hydra : v9.5-3 - hping3 : 3.a2.ds2-11~kali1 - yersinia : 0.8.2-2.2+b1 - nping : Nping 0.7.95 - dnsspoof : Version: 2.4 - arpspoof : Version: 2.4 - fragrouter : 1.7-3kali4 - ettercap : common/graphical 1:0.8.3.1-13 - sqlmap: 1.9-1 <보안> - iptables : iptables-nft-1.8.8-6 - rsyslog : 8.2102.0-117 - IPSec - SNORT : 2.9.16 - UTM : 9.401-11 - Elastic Stack : v8.17.1 - WAF(WAPPLE) : WAPPLES-5.0.0.13 - SELinux : 38.1.23 - PAM : 1.5.1-22 |
이전글 | 합병 기업의 통합 시스템 보안 점검
다음글 | 취약점을 분석하고 보고서를 구성
