- 버전
- 다운로드 73
- 파일 크기 19.10 MB
- 파일 수 1
- 생성 날짜 2024년 6월 7일
- 마지막 업데이트 2025년 1월 14일
[한국인터넷진흥원] 클라우드 취약점 점검 가이드
한국인터넷진흥원에서 발간한
클라우드 취약점 점검 가이드입니다.
업무에 참고 바랍니다.
ㅇ 자료명 : 클라우드 취약점 점검 가이드
ㅇ 발행일 : 2024년 6월
ㅇ 주관부처 : 한국인터넷진흥원
1.1 개요
클라우드컴퓨팅서비스 보안인증제도는「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」제23조 제2항에 따라 클라우드컴퓨팅서비스의 정보보호 수준 향상 및 보장을 위하여 보안인증을 수행하는 제도입니다. 클라우드 보안인증은 클라우드컴퓨팅서비스의 보안인증기준 적합 유무를 평가하기 위하여, 서면/현장평가, CCE*, CVE**, 시큐어코딩, 모의침투테스트를 진행합니다. CCE 취약점 점검은 클라우드 서비스를 구성하고 있는 시스템을 대상으로 보안과 관련된 설정을 확인하며, 시스템 담당자의 서비스 이해도 및 기술 숙련도에 따라 인증평가 대응 및 보완조치가 가능하기에, 인증신청기업이 인증평가를 수행하는 과정에서 CCE 취약점 점검에 대해 어려움을 겪고 있습니다. 이에, 본 가이드를 통해 CCE 취약점 점검 및 조치 방법을 공개함으로써, 인증신청기업 및 클라우드 시스템 담당자들에게 인증평가 사전준비와 자발적 보안활동 수행을 돕기 위한 참고자료로 활용 될 수 있도록 클라우드취약점 점검 가이드를 발간하게 되었습니다.
* CCE(Common Configuration Enumeration) : 보안에 취약한 설정에 대한 점검
** CVE(Common Vulnerabilities and Exposures) : OS, Application 고유의 취약점
1.2 목적 및 활용
본 가이드는 클라우드 보안인증(CSAP) 담당자 및 클라우드 담당자의 역량강화를 위한 CCE 취약점에 대한 39종에 대한 기술적 가이드를 제공합니다.
가이드 39종은 각 항목별 진단항목, 항목설명, 진단기준, 진단방법, 조치방법으로 구성되어 있습니다.
본 가이드를 활용할 수 있는 대상으로는 클라우드 보안 인증을 위한 담당자와 클라우드 서비스의 보안수준 향상을 위한 클라우드 정보보호 담당자 등 클라우드 서비스의 보안활동 수행 시 참고자료로
활용할 수 있습니다.
1.3 유의 사항
본 가이드는 클라우드 인증(CSAP) 평가 시 취약점 점검(CCE) 항목별 진단 기준 및 조치 방법에 대한 이해를 돕기 위해 발간된 것으로 수록된 진단 방법은 클라우드인증(CSAP) 평가기준을 의미합니다. 또한, 해당 시스템의 기능, 버전 등 시스템 운영상황에 따라 진단방법과 판단기준은 변경될 수 있으며, 시스템의 전반적인 운영현황을 인증평가원이 확인 후에 진단항목의 양호 유무를 최종적으로 판단합니다.
함께 읽으면 좋은 글
