네트워크 컴플라이언스 개요
네트워크 컴플라이언스는 조직의 네트워크 장비와 설정이 보안 정책, 법령, 산업 표준을 준수하는지 확인하고 유지하는 프로세스입니다.
주요 컴플라이언스 프레임워크
- CIS(Center for Internet Security) 벤치마크: 운영체제·네트워크 장비별 보안 설정 기준. 가장 광범위하게 사용
- PCI-DSS: 카드 결제 데이터 처리 환경 보안 표준. 네트워크 분리 요구
- NIST Cybersecurity Framework: 식별-보호-탐지-대응-복구 5단계 프레임워크
- ISO 27001: 정보보안 관리체계 국제 표준
- 국내 ISMS-P: 정보보호 및 개인정보보호 관리체계 인증
네트워크 보안 감사 절차
- 감사 계획: 범위·목적·일정 정의, 감사 기준 선택
- 정보 수집: 네트워크 다이어그램, 설정 파일, 변경 이력 수집
- 설정 검토: 장비 설정을 보안 기준(CIS 벤치마크 등)과 비교
- 취약점 스캔: 자동화 도구로 알려진 취약점 탐지
- 침투 테스트: 실제 공격 시뮬레이션으로 취약점 악용 가능성 확인
- 보고서 작성: 발견 사항, 위험도, 개선 권고 사항 정리
- 교정 조치: 발견된 취약점 패치, 설정 변경
네트워크 장비 보안 기준 (CIS 벤치마크)
Cisco 라우터·스위치 주요 체크포인트
- 불필요한 서비스 비활성화: no service finger, no service tcp-small-servers
- 원격 접속 보안: SSH v2만 허용 (Telnet 비활성화)
- SNMP 보안: SNMPv3만 사용, 기본 커뮤니티 문자열(public/private) 변경
- 배너 메시지 설정: 무단 접근 경고문 표시
- 사용하지 않는 포트 shutdown, VLAN 1 미사용
- NTP 인증 활성화
- 로깅 설정: 중앙 Syslog 서버로 전송
취약점 스캔 도구
- Nessus: 가장 많이 사용되는 상용 취약점 스캐너. 플러그인 기반
- OpenVAS: 오픈소스 취약점 스캐너
- Nmap: 포트 스캔 + OS 탐지 + 스크립트 엔진(NSE)으로 취약점 탐지
- Qualys: 클라우드 기반 취약점 관리 플랫폼
변경 관리와 설정 관리
- 설정 베이스라인: 초기 승인된 설정 상태를 기준으로 저장
- 변경 감지: 현재 설정과 베이스라인 비교. 무단 변경 탐지
- 변경 관리 프로세스: 변경 요청 → 승인 → 테스트 → 구현 → 검증
- 설정 관리 DB(CMDB): 모든 IT 자산과 설정 정보를 중앙 관리
시험 핵심 포인트
- CIS 벤치마크: 보안 설정 업계 표준 가이드
- Telnet 비활성화, SSH v2만 허용: 기본 보안 설정
- SNMP 기본값(public/private) 반드시 변경
- 감사 절차: 계획→수집→설정검토→취약점스캔→침투테스트→보고
- Nessus: 가장 많이 사용되는 상용 취약점 스캐너
마무리
네트워크 컴플라이언스는 정기적인 보안 감사와 취약점 관리의 기반입니다. CIS 벤치마크의 주요 체크포인트와 감사 절차 순서를 중심으로 학습하세요.