S-15 정책 관리
가이드라인 원문
| 항목 | 내용 |
|---|
| 항목코드 | S-15 |
| 점검내용 | 보안장비 정책에 미사용 및 중복된 정책이 존재하는지 점검 |
| 점검대상 | 방화벽, VPN, IDS, IPS, Anti-DDoS, 웹방화벽 등 |
| 양호기준 | 정책에 대한 주기적인 검사로 미사용 및 중복된 정책을 확인하고 제거된 경우 |
| 취약기준 | 정책에 대한 주기적인 검사를 하지 않고 미사용 및 중복된 정책을 확인 및 제거되지 않은 경우 |
| 조치방법 | 정책에 대한 주기적인 검사로 미사용 및 중복된 정책을 확인하여 제거 |
상세 설명
1. 판단 기준
기본 판단 기준
양호
- 정책에 대한 주기적인 검사로 미사용 및 중복된 정책을 확인하고 제거된 경우
- 정책 검토 주기 준수 (월간/분기별)
취약
- 정책에 대한 주기적인 검사를 하지 않고 미사용 및 중복된 정책을 확인 및 제거되지 않은 경우
- 정책 관리 절차 미수립
경계 케이스 (Edge Case) 처리 방법
임시 정책 관리
정책 충돌
권장 설정값
- 정책 검토 주기: 월간 (미사용), 분기별 (중복)
- 미사용 정책 기준: 90일 이상 미사용
- 정책 보관 기간: 최소 1년 이상의 변경 이력
2. 점검 방법
Step 1) 정책에 대한 주기적인 검사로 미사용 & 중복된 정책 확인
1
2
3
4
5
6
7
8
9
10
11
| # 방화벽 정책 수 확인
show access-list
# Total access-lists: 500
# Used: 150 (30%)
# Unused: 350 (70%) ← 문제!
# 정책 사용 현황 분석
# 1. 마지막 매칭 시간 확인
show access-list | include "hit count"
# access-list acl_in line 1 extended permit tcp any host 10.0.0.1 eq www
# hitcnt=0 (0초간 미사용) ← 미사용 정책
|
Step 2) 중복된 정책 확인
1
2
3
4
5
6
7
| # 중복 정책 예시
# Rule 1: permit tcp any host 10.0.0.1 eq 80
# Rule 5: permit tcp 192.168.1.0/24 host 10.0.0.1 eq 80
# Rule 1이 Rule 5를 포함하므로 Rule 5는 중복
# 분석 도구 사용
# Firewall Analyzer, Skybox Security 등으로 중복 분석
|
3. 조치 방법
Step 1) 보안 장비 정책의 주기적인 검사 및 미사용 & 중복된 정책 제거
미사용 정책 제거 절차:
1
2
3
4
5
6
7
8
9
10
11
12
| # 1. 정책 사용 현황 분석 (30일 이상 미사용 정책 식별)
# Cisco ASA 예시
show access-list | include "hitcnt=0"
# 2. 미사용 정책 목록 작성
# - 정책 ID
# - 정책 내용
# - 마지막 사용 시간
# - 담당자 확인
# 3. 승인 후 삭제
no access-list acl_in line 10
|
중복 정책 제거 절차:
1
2
3
4
5
6
7
8
9
| # 1. 정책 분석
# - 포함 관계 분석
# - 우선순위 확인
# - 필요한 정책 선택
# 2. 중복 정책 삭제
# 더 범용적인 정책만 남기기
# 예: permit tcp any host 10.0.0.1 eq 80 (유지)
# permit tcp 192.168.1.0/24 host 10.0.0.1 eq 80 (삭제)
|
Step 2) 정책 관리 방법
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| # 1. IP 대신 이름 사용
# 그룹명: OO부서, OO팀, OO팀의 OO서버 등
# 예: permit tcp OO부서 OO서버 eq 80
# 2. 공통 정책은 그룹으로 관리
# object-group network WEB_SERVERS
# network-object host 10.0.0.1
# network-object host 10.0.0.2
# network-object host 10.0.0.3
# 3. 사용빈도가 높은 정책은 상단에 위치
# 자주 사용하는 정책 우선 배치하여 성능 향상
# 4. 주기적인 점검 수립
# - 월간: 미사용 정책 검토
# - 분기별: 중복 정책 검토
# - 반기별: 정책 최적화
|
4. 참고 자료
정책 최적화 체크리스트
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| # 정책 최적화 체크리스트
1. 미사용 정책
□ 90일 이상 미사용 정책 삭제
□ 임시 정책은 사용 즉시 삭제
2. 중복 정책
□ 포함 관계에 있는 정책 정리
□ 동일한 결과를 내는 정책 통합
3. 정책 순서
□ 구체적인 정책이 상단에 위치
□ 일반적인 정책이 하단에 위치
□ deny all이 최종 정책으로 위치
4. 정책 문서화
□ 각 정책의 목적과 담당자 명시
□ 정책 변경 이력 관리
□ 정책 검토 주기 준수
|
RBAC (Role-Based Access Control)
- 역할 기반 접근 통제
- 사용자가 아닌 역할에 권한 부여
- 예: “보안관리자” 역할에 특정 권한 부여 후 해당 역할을 사용자에게 할당
권한 분리 이점
- 보안 강화: 계정 탈취 시 피해 범위 제한
- 책임 소재 명확: 누가 무엇을 했는지 로그로 추적
- 실수 방지: 권한 없는 사용자의 중요 설정 변경 방지
- 내자 위험 감소: 불만 직원의 악의적 행위 피해 최소화
주의사항
- 일반적인 경우 영향이 없습니다.
- 영향도 분석: 정책 삭제 전 반드시 영향도를 분석하세요.
- 백업: 삭제 전 정책을 백업하세요.
- 테스트: 테스트 환경에서 정책 적용을 먼저 검증하세요.
- 승인 절차: 정책 삭제는 반드시 승인 절차를 거치세요.
- 담당자 확인: 해당 정책의 담당자와 협의하세요.
- 단계적 삭제: 한 번에 모든 정책을 삭제하지 말고 단계적으로 진행하세요.
- 로깅: 정책 변경 로그를 반드시 기록하세요.
5. 스크립트
- 취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
- 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.