INFORMATION SECURITY
CONSULTING SERVICE
특정 위협으로부터 서비스를 보호하고 보안 성숙도 수준을 보다 높일 수 있는 방법에 대해 상담합니다.
서비스에 중요한 것이 무엇인지에 대한 철저한 이해를 통해 기업의 정보보안을
실질적으로 변화시킬 수 있습니다.
정보보호 컨설팅 서비스 분야
I
웹/앱
어플리케이션
소스코드 진단
인가 받은 전문
컨설턴트가 실제해커가
사용하는 최신 해킹
기법 및 도구로 웹/앱의
취약점을 통해
침투가능성을 진단합니다.
II
주요정보통신
기반시설
인프라 시스템 진단
정보통신기반보호법에
따른 주요 기반시설에
대한 취약점 분석,평가
III
개인정보보�호
보안 컨설팅
개인정보 이용 환경에
따라 업무현황 분석을 통해
보안 취약점을 진단하고,
관련 산업 표준을 고려한
개인정보보호
관리체계 진단 및 수립
IV
금융 IT 보안 컨설팅
보안 솔루션 SI
정보통신망 보호법,
전자금융 거래법,
개인정보 보호법,
신용정보의 이용 및 보호에
관한 법률등 관련법 기반
정보보호 체계강화
V
정보보호관리체계
ISMS-P 인증 지원
Information Security
Management System
고객사의 특성을 반영하여
인증획득을 위한
관리체계 수립 및 운영지원
정보보호 컨설팅 수행 절차
현황
및
자산 분석
고객 현황 분석
고객 자산 분석
수행 범위 정의
취약점
진단
관리적 진단
물리적 진단
기술적 진단
정보보호 수준평가
위험
분석
위험 평가
위험조치계획
점검결과
공유
진단 결과 공유
및
결과 보고
보안대책 수립
및
수행완료
보안대책 수립
시스템 취약점 진단
주요 정보시스템에 영향을 미칠 수 있는 다양한 위협 요소들을 파악하고,
위협요소들에 대한 취약성 분석 및 대응방안을 제공하여 안전한 시스템을 구축합니다.
Server
관리자,일반 계정의
보안정책 설정 확인
중요파일과 공유폴더의
권한 설정 확인
불필요 서비스 확인 및
보안설정 확인
Unix
계정관리, 서비스관리, 패치관리, 로그관리, 디렉토리 관리
계정관리, 서비스관리, 패치관리,
로그관리, 보안관리, DB 관리
Windows
Network
장비 계정의 패스워드
보안 설정 확인
불필요 서비스 및 미사용
포트 확인
정책에 따른
시스템 로깅 확인
계정관리, 접근관리, 패치관리,
로그관리, 기능관리
DBMS
계정 패스워드 및
정책 설정 확인
시스템 테이블
접근 권한 확인
정책에 따른
감사 기록 확인
계정관리, 접근관리, 패치관리,
로그관리, 기능관리
Security System
장비 계정별 권한 및
보안 설정 확인
원격접속 통제 및
정책관리 확인
최신패치 및
정기적인 로그 확인
계정관리, 서비스관리, 패치관리, 로그관리, 옵션관리
PC
패스워드 정책 및
주기적 변경 확인
백신 실행 및
화면보호기 설정 확인
응용프로그램
최신 보안 패치 확인
계정관리, 접근관리,
패치관리,보안관리
모의해킹 취약점 진단
고객사의 보안담당자와 사전협의 후 모의해킹 전담 컨설턴트에 의해 수행되는
모의해킹 취약점 진단은 내·외부자의 관점에서 침투테스트를 시도하여
발생할 수 있는 해킹위협 및 내부 보안사고를 예방하고 차단하기 위한 대응책을 제시합니다.
웹 어플리케이션
침해사고가 발생할 수 있는 위협요소를 전부 도출하여
발생원인을 분석하고 보호대책을 수립합니다.
외부 공격으로부터 서비스 및 정보를 보호하여 안전한 웹 서비스 환경을 제공해 드립니다.
입력값 검증
SQL, 운영체제 명령어 삽입
크로스사이트스크립트
파일 업로드, 다운로드
Xpath, Xquery 삽입
중요정보 관리
중요데이터 암호화 처리 관리
에러 메시지 처리 관리
패스워드 복구방식 관리
유추 가능한 시스템 자원 관리
접근제어 및
권한관리
불충분한 인증, 인가
프로세스 절차 우회
외부 시스템 파일 접근 가능성
자동화 공격 등
운영환경 관리
보안 패치 적용 관리
부적절한 HTTP Method 사용
디렉토리 리스팅
불필요한 파일 존재 여부 확인
기타 취약점
진단 항목 외 취약점
추가 필요사항 체크
모바일 어플리케이션
모바일 환경에서의 안전성과 무결성, 가용성, 신뢰성에
영향을 미칠 수 있는 다양한 보안 위협 요인을 파악하고 대응방안을 제시해 드립니다.
단말 보안
단말기 내 중요정보 저장 여부
화면 내 중요정보 평문노출 여부
강제 실행에 의한 인증단계 우회
디버그 로그 내 중요정보 노출
서비스 보호
SQL / 운영체제 명령어 삽입
크로스사이트스크립트
악성 파일 업로드 / 다운로드
불필요한 파일 노출 여부 등
데이터 보호
데이터 평문전송 여부
취약한 암호 알고리즘 사용 여부
이용자 인증
이용자 인증정보 재사용
유추가능한 인증정보 이용
비밀번호 오류횟수 제한 여부
불충분한 세션종료 처리 등
기타 취약점
진단 항목 외 취약점
추가 필요사항 체크
소스코드 취약점 진단
소프트웨어 개발 시 시큐어 코딩이 적용돼야 할 취약점 유형을 기준으로 점검하고,
최신 국내/국제 시큐어코딩 기술을 적용하여 SW보안업무의 효율성을 증대시킵니다.
01
검증 및 표현
SQL, 운영체제 명령어 삽입 취약 코드
크로스사이트스트립트 취약코드
파일 업로드 취약 코드
Xpath, Xquery 삽입 취약 코드 등
02
보안기능
적절한 인증 없는 중요기능 허용
부적절한 인가
패스워드 평문 저장
취약한 알고리즘 사용 등
03
에러처리 및
코드오류
오류메세지 통한 정보노출
적절하지 않은 예외처리
널(Null)포인트 역참조
부적절한 자원 해제 등
04
캡슐화
잘못된 세션에 의한 정보 노출
제거되지 않고 남은 디버그 코드
시스템 데이터 정보 노출 등
05
기타 취약점
시간 및 상태
API 악용 등
진단 항목 외 취약점