일부 ISMS 보안결함사항중 기술적으로 통제가 가능한 항목은 취약점 점검/진단 도구에 반영하여 평가하고 보호대책이 적용이 될 수 있도록 하여 잘 사용하여 왔으나, 기술지원 종료 운영체제 및 응용프로그램 등으로 인해 기존 취약점 진단 및 평가 기준으로 보호대책 운영이 어렵다고 판단하여, 최신 운영체제(Windows 10/11)와 이에 따른 보안 트랜드에 맞춰 취약점 평가 기준 연구 및 취약점 점검/진단 도구를 새롭게 개발하게 됨.
2023년도 ISMS 인증심사 준비 및 대응을 문서적으로 하지 않고 실제 업무 수행한 증빙자료로 심사를 준비 및 대응을 하다보니 약간 여유가 생기는 1분기내에 보안정책 및 지침, 보호대책, 정보자산에 대한 취약점 평가 기준 수립 등을 이때 마련하여 인증심사 준비 및 대응도 하면서 회사의 보안 관리 체계를 전파 및 시행을 하므로 이시간을 적극 활용함.
코로나로 인한 재택근무로 인해 외부에서 내부시스템으로의 원격접속등이 빈번함에 따라 이에 대한 보호대책을 강구하게 됨.
PC 취약점 점검 도구 v4.0.x - Dev. History
취약점 점검 도구 v4.0.0 버전 상세 기준 및 변경사항
- 과거 운영체제(Windows 10이하)에 국한된 취약점 점검 및 평가 항목 제외 (PC-6, PC-18)
- 사내 최신 운영체제인 Windows 11 버전에 대한 취약점 점검 평가 반영
- Windows 10/11 버전 운영체제의 보안 위협에 대한 점검 기준 추가 (PC-20 ~ PC-28)
(원격 접속/접근 통제, 시스템에 취약한 구조로 저장되는 암호 관리, 기본 저장소 클라우드 통제 등)
- 취약점 진단 및 보안 설정 조치 방법에 대한 편의성 개선
- 취약한 Internet Explorer 11 웹 브라우저 기술지원 종료(2022.06.15)에 따른 보호 조치 추가
- Internet Explorer 11 버전 영구 비활성화 MS사 조치 예정 (2023.02.14)
- 최신 운영체제 인터넷 웹 브라우저(Edge, Chrome)에 대한 보안 설정 및 취약점 평가 반영
- MS 제품, 한컴 제품에 한해 기술지원이 종료된 제품 사용시 사용자에게 내용 알리도록 개선
- Windows Home 버전 보안 설정 및 조치 방법을 최대한 명령어 기반에서 GUI기반으로 변경
- 별도로 다운로드하는 취약점 조치 가이드 PDF 문서를 다운로드 없이 취약점 점검 도구에 포함하여
점검도구 배포시 최신 가이드라인이 제공되도록 개선
- 제공되는 취약점 조치가이드 라인을 쉽게 접근할 수 있도록 취약점 결과(HTML)에 반영
- 취약점 점검 결과 오픈시 Edge로 동작하도록 변경 (IE 11 제외)
- 최신 빌드 Windows 11 운영체제에서 동작이 되도록 PC 취약점 점검 도구 개선
- 대표적인 문서 응용프로그램인 MS 오피스와 한컴 제품을 통한 악성코드 배포 및 유입이 많아 기술지원
(보안 취약점 패치)이 종료된 제품에 대한 취약점 평가 반영
- MS Office 2013 기술지원 종료 (2023.04.11)
- 한컴 오피스 2014 기술지원 종료 (2021)
- 주요 사항에 대한 사용자 안내 문구 표시되도록 개선 (콘솔 화면, HTML 결과물)
- 취약점 점검 결과(HTML) 내용 개선
- 기타 동작 오류 및 취약점 평가 오류 개선
| Alpha | 2022.10 | - OneDrive 동기화된 윈도우 계정에서 취약점 점검 및 평가 오류 수정을 위한 정보 수집 |
| Alpha | 2022.12 | - v4.x 에 대한 취약점 점검 및 평가 기준 정의 (RDP 강화, 최신 운영체제에 대한 보안 설정 유지, 불필요한 정보 노출 관련) - 취약점 점검 자산에 대한 INFO 정보 개선 (활성화된 네트워크 Interface에 대한 IP/MAC 정보 표시 (기존 MAC 정보 X) - 취약점 점검 결과 생성 파일명 변경 - PC-19 항목 취약점 평가 기준 변경 및 원격데스크탑 서비스(서버) 활성화시 보안강화 조치 점검/평가 기준 추가 - OneDrive을 사용하는 계정에서 바탕화면 경로 변경에 따라 취약점 점검 및 평가가 되지 않는 문제 개선 |
| Alpha | 2022.12 | - PC-20 항목 RDP 접속 유휴 타임에 대한 세션 타임 아웃 설정 강화 추가 - 취약점 평가 항목에 대한 사전 정보 조사 및 취약점 평가 기준 정의 |
| Alpha | 2022.12 | - PC-20 항목 취약점(RDP 접속 유휴타임에 대한 세션 타임 아웃 설정 강화) 점검 평가 추가 (RDP 서버 사용시 IdleTimeout 설정을 점검하고, RDP 서버 비활성화시 양호 평가가 되도록 추가) - PC-20 개별 취약점 -c, -v 옵션 지정시 RDP_Server_Status값이 EMPTY일경우 PC-19 평가 호출하여 RDP_Server_Status 동작상태 확인하여 취약점 평가 오류가 되지 않도록 개선 - PC-21 항목 취약점(사용자 계정 컨트롤 설정(UAC) 끄기 방지) 점검 평가 추가 - PC-19 원격지원 설정 및 RDP 서버 설정에 대한 취약점 평가 테스트 완료 - PC-20 RDP 서버가 동작중일경우만 취약점 점검 및 평가 테스트 완료 - PC-21 사용자 계정 컨트롤(UAC) 활성화 및 UAC 적용 단계(최하위 단계)일 경우 취약점 점검 및 평가 테스트 완료 |
| Alpha | 2023.01 | - 정보추출시 값이 존재하지 않을 경우 취약점 평가가 되지 않는 문제를 원천적으로 해결하기 위하여, 취약점 점검에 대한 정보추출시 NULL, EMPTY등의 데이터 반환시 에러처리로 인한 오류가 발생하지 않도록 개선 (v4.0 취약점 점검 도구 부터 ~) - PC-22 항목 취약점(OneDrive 파일 저장소 사용 방지 설정) 점검 평가 추가 및 테스트 완료 - PC-25 항목 취약점(Windows 10/11 파일탐색기 광고 설정) 점검 평가 추가 및 테스트 완료 - PC-26 항목 취약점(디스크 볼륨이 아닌 장치(MTP 등)에 대한 자동실행 방지) 점검 평가 추가 및 테스트 완료 - PC-23,24 항목 취약점(익명 제한 설정 관리(Null Session),SMB Null Session 인증 방지) 개발 완료 및 테스트 진행중 - 취약점 점검도구 결과물 생성이 기본 윈도우 바탕화면 경로(C드라이브)로 강제화 하다보니. 해당 경로가 아닌 경우 취약점 점검 불가 문제 수정 - 시스템에 적용된 환경 변수를 통해 실제 사용중인 바탕화면 정보를 추출하여 해당 시스템 환경에 맞추어 결과물 생성이 되도록 개선 |
| Beta | 2023.01 | - PC-2 항목에 패스워드 복잡도 점검 항목 추가 (패스워드 복잡도 + 패스워드 길이) - PC-9 항목에 대한 취약점 점검 및 평가 기준 변경 (IE 11 취약점 점검/평가 제외) - IE 11이 활성화된 경우 해당 항목 취약점 평가 취약 판정 로직 개선 - IE 11 대체 브라우저에 대한 웹브라우저 보안 설정 점검 및 평가 (Edge, Chrome) (패스워드 저장, 저장된 패스워드 자동 로그인) |
| Beta | 2023.01 | - IE 11과 Edge 브라우저간 확장 기능 설정 여부를 파악하여 IE 11 사용 유무 체크 로직 추가 (기본적으로 시스템에 IE 11이 비활성화 되어 있지 않고 Edge와 확장기능으로 동작중인 유무와 사용자가 보안조치 IE 11비활성화 미조치를 체크하여 IE 11 사용으로 간주) - IE 11이 활성화된 단말일 경우 위 질의응답 문구 표시 - IE 11 사용에 대해 Yes 인경우 사유를 입력하도록 함 (확장 기능 ON,OFF 값 존재 유무와 및 IE 11 비활성화 설정 유무 모두 체크후 IE 11 사유) - Edge는 기본적으로 보안조치 취약점 점검 및 평가 - Chrome가 설치된 사용자인 경우 Chrome에 대한 보안조치 취약점 점검 및 평가 - IE 11 사용에 대한 질의응답이 yes인 경우 사유 기재와 동시에 기존 IE11에 대한 보안설정이 되도록 로직 변경 - IE 11을 부득이하게 사용하여야 하는 경우 사유 기록과 동시이 IE 비활성화 조치가 안내되지 않도록 변경 - IE 11을 사용하지 않을 경우 비활성화에 대한 조치 여부 체크로 취약점 점검/평가 (IE 11 보안이 설정되지 않고 IE 11 질의시 No일 경우) - Edge 브라우저 기본 보안설정 여부 취약점 점검/평가 - Chrome 브라우저 사용시 기본 보안설정 여부 취약점 점검/평가 (Chrome 설치 여부 체크 루틴 추가) - PC-9 항목에 있던 IE 11 보안설정(2가지) 체크 루틴 분리 ( Sub ie11_check() ) |
| Beta | 2023.01 | - 취약점 점검도구 -c, -v옵션시 대소문자 구분없이 입력하여도 처리가 되도록 수정 - 취약점 점검도구 -c, -v옵션시 PC-9, PC-13, PC-14항목에 대해서 마지막에 Notice(공지)를 콘솔 메시지에 출력되도록 변경 - 취약점 점검도구 - r 옵션시 Notice(공지)를 콘솔에 메시지 기본적으로 출력되도록 변경 - PC-26, PC-27, PC-28 항목 추가 및 취약점 점검 및 평가 반영 |
| V4.0.0 | 2023.01 | - 전체 소스 동작 테스트 및 오류 수정 - 도움말 파일 전체 수정 - 취약점 점검 도구 종료시 취약 결과물을 IE 11로 HTML File Open 되는 부분을 Edge 브라우저로 대체 - Edge, Chrome 브라우저 보안 취약점 점검 방법 및 평가 변경 (캐쉬/기록 삭제 -> 암호 저장, 암호 자동 채우기 삭제 조치) ---> 실제 브라우저내 보안문제가 발생시 중요도가 높은 사항에 대한 보안 점검/조치로 기준 변경 - IE 11 브라우저가 최신 운영체제에 실행시 Edge 브라우저 전환으로 보안 설정이 어려워 조치 방법 및 평가 방법 변경 (그룹정책 편집기) ---> IE 11 실행시 창 강제 종료됨과 동시에 Edge 브라우저로 전환으로 인한 보안설정 조치 불가 (IE 11 UI 상에서 보안 설정 어려움) |
| V4.0.0 | 2023.02 | - PC 취약점 조치가이드 PDF파일 열기 및 페이지 링크 열람 링크 추가 - HTML 보고서 결과물 오류 및 내용 수정 및 개선 - 평가가 PASS인 점검 항목에 대하여 Summary.html 결과물에 생성되지 않도록 수정 - 운영체제가 Home 버전인 경우 취약점 조치(보안 설정 전)전 수행사항에 대한 가이드가 될수 있도록 기능 추가 (Home 버전만 표시) - 패치관리솔루션이 설치가 되지 않은 시스템에서 설치가 된것으로 오판정하는 오류 수정 - 사내 클라이언트 보안솔루션 동작 여부 체크 판별 로직 오류 수정(일부 특정 조건, 동작여부 판단 로직 항목 추가) - Windows 11에서 OS 내장 백신솔루션을 체크하지 못하는 문제 수정, 타사 백신솔루션 및 MS사 Defender AntiVirus 서비스를 인식 못하는 문제 수정 - PC-10, PC-11, PC-12 항목에 대해 Windows 11에서 취약점 점검 및 평가가 되도록 개선 - PC-10, PC-11 항목 PMS 미설치 시스템에 인터넷을 통한 정상적인 취약점 점검 및 평가 오류 개선 - 주요 사항에 대한 사용자 안내 문구 표시되도록 개선 (콘솔 화면, HTML 결과물) ---> 윈도우 10 운영체제 (2014 포함 이하 버전), MS-OFFICE (2013 포함 이하 버전), HWP (2014 포함 이하 버전) - PC-10, PC-11, PC-12 항목 취약점 평가 오류 수정 및 로직 개선 - 취약점 조치 가이드라인 PDF파일(바탕화면)을 비교하여 교체 여부 체크 로직 추가 - Edge, Chrome 취약점 평가 오류 수정 -' PC-13, PC-14 항목 사내 백신솔루션이 설치 및 정상 동작중임도 불구하고, 백신솔루션이 Defender 를 제어하지 못해 동작중으로 나오는 문제 (Defender 체크 루틴 비활성화) |
취약점 점검/진단 도구 v4.0 에 반영된 취약점 점검/진단 평가 기준은 다음과 같음.
- 해외 운영체제별 취약점 연구 및 보안가이드 참고하고,국내 환경에 해당 취약점 및 보안가이드 내용을 테스트하여 반영함.
취약점 점검/진단 도구 v4.0 제공 옵션
(PC용 취약점 점검 도구 실행 시 명령프롬프트(관리자)에서 아래의 옵션 설정하여 실행)
| .exe -h | 도움말 보기 (옵션 입력하지 않을 경우 –r 옵션 기능 적용) |
| .exe –r | 취약점 점검 수행 및 HTML 보고서 생성 (PC-01~29 항목) (기본 옵션 적용) |
| .exe –c pc[숫자] | 예) .exe –c pc01 - 윈도우 PC 취약점 점검 항목(PC-01) 양호/취약 결과 보기 |
| .exe –v pc[숫자] | 예) .exe –v pc01 - 윈도우 PC 취약점 점검 항목(PC-01) 보안위협, 평가 기준, 시스템 설정 값, 설정 값에 대한 양호/취약 결과 상세 보기 |
※ 위 숫자는 01 ~ 28까지 입력 가능
'취약점 점검 도구 개발 히스토리 (과거) > PC 취약점 점검_진단 도구' 카테고리의 다른 글
| PC 취약점 점검/진단 도구 v4.1 개발 히스토리 (2024년도) (0) | 2024.03.20 |
|---|---|
| PC 취약점 점검/진단 도구 v3.5 개발 히스토리 (2020년도) (0) | 2024.03.13 |
| PC 취약점 점검 도구 v3.0 개발 히스토리 (2019년도) (0) | 2024.03.13 |
| PC 취약점 점검 도구 v2.5 ~ v2.7 개발 히스토리 (2017년도 하반기) (0) | 2024.03.13 |
| PC 취약점 점검 도구 v2.x 개발 히스토리 (2017년도) (0) | 2024.03.13 |