네트워크 컴플라이언스란?
네트워크 컴플라이언스는 조직의 네트워크 구성이 보안 정책, 규정, 산업 표준을 준수하는지 지속적으로 검증하는 활동입니다. 네트워크관리사 시험에서는 CIS 벤치마크, DISA STIG, 변경 관리, 감사 절차가 핵심 출제 범위입니다.
CIS 벤치마크(CIS Benchmarks)
Center for Internet Security에서 발행하는 보안 구성 모범 사례입니다.
- 적용 대상: 라우터, 스위치, 방화벽, OS, 클라우드 서비스 등
- Level 1: 기본 보안 구성. 성능 영향 최소
- Level 2: 심층 방어. 민감한 환경용. 일부 기능 제한
- Cisco IOS 주요 항목: 미사용 서비스 비활성화, VTY ACL 적용, SSH 강제, SNMP 커뮤니티 변경, NTP 인증
DISA STIG(Security Technical Implementation Guides)
미국 국방정보시스템국(DISA)이 발행하는 상세 보안 구성 가이드입니다. 군사·정부 기관 필수 준수 기준.
- CAT I: 즉각적인 데이터 누출/침해 가능. 즉시 수정 필요
- CAT II: 데이터 누출 가능성. 30일 내 수정
- CAT III: 위험도 낮음. 90일 내 수정
변경 관리(Change Management)
- RFC(Request for Change): 변경 요청서. 변경 내용, 영향 분석, 롤백 계획 포함
- CAB(Change Advisory Board): 변경 승인 위원회. 중요 변경 사항 검토·승인
- 변경 유형:
- 표준 변경(Standard): 사전 승인된 저위험 변경
- 일반 변경(Normal): CAB 승인 필요
- 긴급 변경(Emergency): 즉각 대응, 사후 승인
- 롤백 계획: 변경 실패 시 이전 상태로 복구하는 절차. 스위치 설정 백업 필수
자동화 컴플라이언스 도구
- Nessus/Tenable.sc: 취약점 스캔. 구성 감사(Audit Policy) 기능으로 CIS/STIG 준수 여부 확인
- OpenSCAP: SCAP(Security Content Automation Protocol) 기반 오픈소스 컴플라이언스 검증
- Ansible Compliance: 네트워크 장비 구성을 원하는 상태(Desired State)로 자동 유지
- Network Configuration Manager(NCM): 구성 백업, 변경 탐지, 컴플라이언스 리포팅
네트워크관리사 기출 핵심 정리
- CIS Level 1 = 기본 보안, Level 2 = 심층 방어
- DISA STIG CAT I = 즉시 수정, CAT II = 30일, CAT III = 90일
- RFC = 변경 요청서, CAB = 변경 승인 위원회
- 긴급 변경 = 즉각 대응 후 사후 승인
- Nessus = 취약점 스캔 + CIS/STIG 감사 기능