---

시스템이란?

• 시스템
  • 보안 공격의 대상이 될 수 있는 단위
  • 보안 공격자의 공격 대상
  • 대표적으로 서버용 운영체제(Server OS) 시스템
• 최근의 많은 보안 사고들은 네트워크를 통해 외부에서 침입한 공격에 의해 일어남
• 시스템의 보안성을 평가하는 4가지 항목
  • 계정 관리
  • 서비스 관리
  • 패치 관리
  • 로그 관리

---

윈도우 서버 보안

• 서버
  • 서비스를 제공하는 시스템
  • 서버용 운영체제(Server OS)가 설치된 컴퓨터
    (예: 웹서버, DB서버, 파일서버 등)
• 대표적인 서버 OS

🔗 2024 행정 및 공공기관의 정보자원 통계 보기

---

계정 관리

• 계정(Account)
  시스템에 접근하는 것이 허가된 사용자인지를 검증하기 위한 정보

  • 아이디(ID, Identification)
  • 패스워드(Password, 암호 혹은 비밀번호)

• 관리자 계정(Administrator)
  • 컴퓨터를 전체적으로 관리할 수 있는 막강한 권한이 있는 계정
    • 일반 사용자 계정 생성, 소프트웨어 설치, 운영체제 환경 설정 변경, 로그 제거 등 가능
  • 엄격한 관리가 필요함
  • (참고) 리눅스에서의 관리자 계정: root

---

계정 관리 지침 1

• 가능한 관리자 계정의 개수 최소화
  • 관리자 계정의 개수가 증가하면,
    • 관리자 계정에 대한 보안 위험 범위 확대
    • 보안상의 관리 비용 증가
  • 최소 관리자 계정 개수 유지

• 관리자 계정 확인 방법
  • 계정을 탈취한 해커가 관리자 계정 그룹에 등록했을 수 있음
  • 실행 위치 :
    제어판 > 시스템 및 보안 > 관리 도구 > 컴퓨터 관리
  • 메뉴 :
    로컬 사용자 및 그룹 > 그룹

---

계정 관리 지침 1

✅ 표 2-2. 윈도우 운영체제에서의 대표적 그룹의 예

구분	특징
Administrators	관리자 그룹, 윈도우 시스템의 모든 권한을 가지고 있음. 사용자 계정을 만들거나 없앨 수 있으며, 디렉터리와 프린터를 공유하는 명령을 내릴 수 있고, 자원에 대한 권한을 설정할 수 있음.
Power users	Administrators 그룹이 가진 권한을 대부분 가짐. 로컬 컴퓨터에서만 관리할 능력을 가지고 있으며, 해당 컴퓨터 외의 네트워크에서는 일반 사용자로 존재함.
Backup operators	윈도우 시스템에서 시스템 파일을 백업하는 권한을 가짐. 로컬 컴퓨터에 로그인하고 시스템을 종료할 수 있음.
Users	사용자 대부분이 속한 그룹. 네트워크를 통해 서버나 다른 도메인 구성요소에 로그인할 수 있음. 관리자 계정보다는 제한된 권한만 가짐.
Guests	Users 그룹과 같은 권한을 가짐. 네트워크를 통해 서버에는 로그인할 수 있지만, 서버로의 로컬 로그인은 금지됨.

---

계정 관리 지침 2

• 관리자 아이디 변경
  • 윈도우 관리자 계정은 여러 번 로그인 실패해도 계정이 잠기지 않음!
  • 관리자 계정 아이디를 Administrator 대신에 다른 이름으로 변경
    →‘무차별 공격’ (브루트 포스, Brute Force) 대비 : 충분한 시간과 가능한 암호 조합을 모두 시도하면 풀림
  • 실행 위치 :
    제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책 혹은, 실행 > secpol.msc <Enter>

---

🔐 암호 관리 요약

• 암호: 로그인 시 사용되는 비밀번호(Password)

• 기본 인증 방법: 비밀번호 기반 인증(Authentication)

• 문제점: 비밀번호가 많아지면 기억 및 관리 어려움 → 비밀번호 관리자, 다단계 인증(MFA) 필요

• 보안 위협: 공격자는 자주 사용되는 비밀번호를 모아둔 암호 사전(Dictionary) 을 사용

• 많이 쓰이는 위험한 비밀번호 예시:
  123456, 123456789, qwerty, password, 111111, abc123 등

• 비밀번호 미설정 계정: 🔓 대문 열어둔 집과 같음

---

✅ 좋은 암호의 특징

• 길이: 최소 8자 이상
• 복잡성: 영어(대·소문자), 숫자, 특수문자 조합
• 보안 정책: '로컬 보안 정책'을 통해 강제 설정 가능

---

💡 추천 암호 조합 방식

쉬운 단어 2개 + 4자리 숫자 + 특수기호 2개 조합
예시:

• BlueRed1347&*
• Blue1347&Red*

---

🔎 털린 내 정보 찾기 서비스

• 개인정보 유출 여부 확인 가능
• 본인 인증 후, 유출된 아이디 / 비밀번호 / 이름 / 연락처 / 주소 등 확인 가능
• 한국인터넷진흥원(KISA) 제공

👉 털린 내 정보 찾기 서비스 바로가기

---

알겠어! 요청대로 문단 제목을 #로 수정해서 정리해줄게:

---

🛡️ 암호 관리 (보안 정책 설정)

• 비밀번호 강제 정책 설정 가능
• 실행 경로:
  시작 > 제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책
  또는 시작 > 실행 > secpol.msc
• 윈도우 운영체제 기준 복잡성 규칙:
  • 2가지 종류 조합 (예: 문자 + 숫자) → 최소 길이: 10자리
  • 3가지 이상 조합 (예: 대문자 + 숫자 + 특수문자) → 최소 길이: 8자리

🔠 비밀번호 구성 요소

• 가. 영어 대문자 (26개): 예) A, B, …, Z
• 나. 영어 소문자 (26개): 예) a, b, …, z
• 다. 숫자 (10개): 예) 0, 1, …, 9
• 라. 특수문자 (32개): 예) !, @, #, $, %, 등

---

🔐 암호 관리 사례

✅ 윈도우 운영체제에서 정의된 복잡성을 만족하는 비밀번호

• a012345678 → 소문자 + 숫자 구성 (2가지 종류), 길이 10자리
• a012345* → 소문자 + 숫자 + 특수문자 구성 (3가지 종류), 길이 8자리

---

🔐 암호 관리 지침 1

• 잘못된 비밀번호를 계속 입력하면 계정은 잠겨야 한다.
  • 무차별 공격(Brute Force): 가능한 모든 암호를 하나씩 대입
  • 사전(dictionary) 공격: 사전에 있는 단어를 우선 시도해 시간 절약
  • 계정이 잠기면 추가적인 비밀번호 시도 불가능

---

🔐 암호 관리 지침 1

• 잘못된 비밀번호를 계속 입력하면 계정은 잠겨야 한다.
  • 로그인 실패 횟수 제한 설정
  • 계정 잠금 시간은 길수록 보안성 ↑ (60시간 이상 권장)
  • 실행 위치:
    제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책
    또는 실행 > secpol.msc

---

🔐 암호 관리 지침 2

• 비밀번호는 정기적으로 변경해주어야 한다
  • 공격자가 무차별 공격 등으로 비밀번호를 찾아낸 경우에 대해서도 보호 가능
  • 권장 최대 암호 사용 기간: 90일 이하
  • 실행 위치 : 제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책
    혹은, 실행 > secpol.msc
  • 그 외 : Guest 계정 기본 잠금, 사용중지 등 설정

---

🛠️ 서비스 관리 지침 1

• 공유 폴더에 대한 익명 사용자의 접근을 막아라
  • 일반 기업이나 공공기관에서는 파일 서버로 윈도우 서버를 많이 사용

• 인가(Authorization)되지 않은 익명의 사용자가 네트워크를 통하여 중요한 문서에 접근할 수 있다면
  보안적으로 상당히 심각한 문제가 발생할 수 있음

---

서비스 관리 지침 1

• 공유 폴더에 대한 익명 사용자의 접근을 막아라
  • 윈도우에서는 시스템에서 공유되고 있는 폴더를
    확인할 수 있도록 GUI로 제공
  • 폴더에 대한 공유 설정 시, Everyone 계정을 포함하면 안 됨

---

서비스 관리 지침 1

• 공유 폴더에 대한 익명 사용자의 접근을 막아라
  • 현재 시스템에서 공유되고 있는 폴더 확인
  • 실행 위치 :
    제어판 > 관리 도구 > 컴퓨터 관리 > 공유 폴더 혹은, 실행 > fsmgmt.msc

---

서비스 관리 지침 2

• 하드디스크의 기본 공유를 제거하라
  • 기본 공유 폴더 : 운영체제를 설치할 때 자동으로 생성하는 공유 폴더
    • 목적 : 네트워크 등을 이용하여 원격으로 컴퓨터를 관리하기 위한 목적
  • C$와 D$ 같은 기본 공유 폴더를 통해서 인가받지 않은 사용자가 하드디스크 내의 모든 폴더나
    파일에 접근할 수도 있음

---

서비스 관리 지침 3

• 불필요한 서비스를 제거하라
  • 보안 공격자들은 아주 사소한 운영체제의 약점을 집요하게 공격
    → 보안 관리자는 서버의 사소한 약점에 대해서도 철저히 준비해야 함
• 윈도우 서비스
  • 일반 사용자의 간섭 없이 백그라운드로 특정한 기능을 수행하는 프로그램
  • 윈도우 시작시 자동 실행됨
    • 유닉스의 데몬(Daemon)과 같은 역할

---

서비스 관리 지침 3

• 불필요한 서비스를 제거하라
  • [프로세스] 탭의 사용자 이름에 SYSTEM, LOCAL SERVICE, NETWORK로 되어 있는 것
    • 단, SYSTEM으로 된 프로세스는 서비스 프로세스, 혹은 운영 체제 자체 프로세스(커널 프로세스

---

서비스 관리 지침 3

• 불필요한 서비스를 제거하라
  • 보안 가이드에서 보통 권고되는 '중지 대상' 서비스
  • Windows Server 2008부터는 지원하지 않도록 조치됨
  • 다만, Windows 2000 Server와 같은 옛날 운영체제를 사용하는 사이트에서는 관리자가 수동 설정!

📋 표 2-3 보안 권고 사항: 중지 대상 서비스 목록

구분	기능	비고
Alerter	서버에서 클라이언트로 경고 메시지를 보냄	Windows Server 2008부터 지원 안 됨
Clipbook	서버의 Clipbook을 다른 클라이언트로 공유	Windows Server 2008부터 지원 안 됨
Messenger	서버에서 클라이언트로 메시지를 보냄	Windows Server 2008부터 지원 안 됨
Simple TCP/IP Services	Echo(포트 7), Discard(포트 9) 등의 TCP/IP 서비스 제공

---

서비스 관리 지침 3

• 불필요한 서비스를 제거하라
  • 윈도우 서비스 관리 도구
    • 불필요한 서비스 중지 : 시작 유형을 ‘사용 안 함’으로 설정

---

서비스 관리 지침 4

• FTP 서비스를 가능한 사용하지 않거나 접근 제어를 엄격하게

  • FTP(File Transfer Protocol) 서비스
    • 원격의 서버와 클라이언트 사이의 파일 전송을 위한 통신 프로토콜 중 하나
    • 윈도우 서버 운영체제에서는 FTP 서비스 제공

  

  • FTP 서비스 기본 운영 사항
    • FTP 서비스 대상이 되는 파일 시스템의 접근 권한 설정 : Everyone 계정 제거
    • 익명 인증(Anonymous FTP) 금지
    • FTP 접근 제어 설정 : 접속 가능한 IP 주소 대역 설정

  ---

  서비스 관리 지침 4

• FTP 서비스를 가능한 사용하지 않거나 접근 제어를 엄격하게

  • FTP 서비스 기본 운영 사항(1)
    • 대상이 되는 파일 시스템의 접근 권한 설정 : Everyone 계정 제거
    • 설정 : ‘인터넷정보서비스 관리자’에서 FTP의 사용자 권한 편집
      • Windows 기능 켜기/끄기에서 FTP 서버 체크 부분을 체크하면 FTP 서버 활성화 됨

---

서비스 관리 지침 4

• FTP 서비스를 가능한 사용하지 않거나 접근 제어를 엄격하게
  • FTP 서비스 기본 운영 사항(2)
    • 익명 인증(Anonymous FTP) 금지
      • ID가 anonymous, 비밀번호는 아무 이메일 주소만 입 하기만 하면 로그인이 성공하는 계정
      • 일반 기업이나 공공 기관에서 익명 인증을 허용 하면, 원격에서 인증받지 않은 사용자 아무나 파일에 접근 가능
        → 심각한 보안 위협

---

서비스 관리 지침 4

• FTP 서비스를 가능한 사용하지 않거나 접근 제어를 엄격하게
  • FTP 서비스 기본 운영 사항(3)
    • FTP 접근 제어 설정 : 접속 가능한 IP 주소 대역 설정
      • FTP 서비스는 계정과 비밀번호가 암호화되지 않은 채로 전송
      • 간단한 스니퍼(Sniffer)에 의해서도 중간에서 탈취가 가능
        → 최악의 경우에는 ID와 비밀번호의 유출 가정
        → 접속 가능한 IP 대역 자체를 아예 제한
      • 예) 회사 내부의 IP 대역으로 한정
        → 외부 IP에서 FTP 접속 시도에 대한 강제적 접속 거부

---

서비스 관리 지침 4

• FTP 서비스를 가능한 사용하지 않거나 접근 제어를 엄격하게
  • FTP 서비스 기본 운영 사항(3)
    • FTP IP 주소 및 도메인 제한 설정

---

서비스 관리 지침 4

• SFTP란
  • SFTP (Secure File Transfer Protocol 혹은 SSH File Transfer Protocol)가 권장
  • SSL 암호화 통신 프로토콜을 사용(SSL 인증서 필요)
  • 스니핑을 통해서도 ID와 비밀번호의 유출 가능성 낮음
    • FTP는 평문으로 전송
  • Windows Server 2008부터 제공되는 IIS 7.0 이상 버전에서는 지원

---

패치 관리 지침 1

• 윈도우 운영체제의 패치
  • 보안은 보안 정책 수립, 훈련, 실행/통제를 통해 지속적으 로 관리가 필요
  • 운영체제의 버그 및 취약점에 대한 패치(patch)가 공지되면, 가능한 신속한 적용 필요
    • 소프트웨어는 항상 버그 및 취약점을 내포하고 있다는 것을 염두!
  • 자동 업데이트 권장

---

패치 관리 지침 1

• 핫픽스 vs. 서비스 팩
  • 핫픽스(hot-fix)
    • 컴퓨터 소프트웨어의 버그에 대한 수정이나 보안 취약점 보완을 위해 긴급히 배포하는 패치
    • 보통 하나의 핫픽스는 1개의 보안 취약점 혹은 1개의 버그에 대해서만 다룸
    • 핫픽스 후, 잘 동작하던 응용 프로그램이 오류가 발생할 수 있음(응용 프로그램의 새 버전 필요)
  • 서비스 팩(service pack)
    • 하나의 설치 패키지에 여러 개의 패치 및 개선 사항이 모여 있는 프로그램
    • 기존에 없던 새로운 기능이 추가되거나 성능 개선 등의 내용이 포함되기도 함
    • 운영체제의 핵심인 커널이 변경되기도 함
  • 패치를 따로따로 설치하는 것보다 서비스 팩을 설치하는 것을 권장
    • 설치가 간단, 오류 발생 가능성 낮음
    • 최근에는 사용자가 업데이트 설정을 하지 않더라도, PMS(Patch Management System)과 같은 보안소프트웨어로 강제로 패치가 되도록 설정하기도 함

---

패치 관리 지침 2

• 백신 프로그램의 업데이트
  • 주기적 업데이트의 필요성
    • 계속 새로운 바이러스가 만들어짐 → 최신 바이러스 정보에 대한 주기적인 업데이트 필요
  • 자동 업데이트 설정 및 주기
    • 백신 프로그램의 자동 업데이트 기능 권장 : 대부분 매주 1 회 이상 정기 업데이트 제공
    • 예약 업데이트 기능: 점심 시간등 사용자가 PC를 사용하지 않는 시간을 이용
  • 기업이나 공공기관에서는 사용자의
    업데이트 여부를 모니터링 필요

---

로그 관리

• 로그란?
  • 책임 추적성(Accountability ): 사용자의 행위에 대해 나중에 추적할 수 있게 한다
    • 누가, 언제, 무엇을 했는지 파악할 수 있는 보안 시스템의 기본적인 요소
    • 로그 : 책임 추적성을 가능하게 하는 기반 자료
• 로그 관리
  • 전자금융거래법 등의 법규 및 지침을 통해 강제적으로 로그를 저장하고 관리
  • 데이터 종류, 파일 저장 위치, 보관 기간 등에 주의
  • 로그 백업

---

로그 관리

• 로그 분석의 목적
  • 외부로부터의 침입 감지 및 추적
  • 시스템 성능 관리 및 시스템의 장애 원인 분석
  • 시스템 취약점 분석 및 이상징후 파악
  • 침해 사고 시 근거 자료로 활용(포렌식 분석)
  • 각종 법규 및 지침에서의 관리 의무화 항목
• 금융기관에서 로그 관리 사례
  • 고객의 금융 거래 내역과 정보를 추적과 보관
    • 입출금 내역, 이체 내역, 대출 신청 이력 등
• 전자 상거래에서 로그 관리 사례
  • 온라인 쇼핑몰에서 다양한 고객의 행동들을 로그로 남겨 분석(개인화된 상품 추천)
    • 고객의 구매 이력, 클릭한 제품, 장바구니에 담은 제품 등

---

로그 관리

• 로그 보기
  • 이벤트 뷰어
    • 실행 위치:
      제어판 > 관리 도구 > 컴퓨터 관리 > 이벤트 뷰어 혹은, 실행 > eventvwr.msc

---

로그 관리

• 로그 보기
  • 응용 프로그램(application)
    • 일반 응용 프로그램(예: 오피스)에서 발생한 이벤트
    • 로그 기록은 소프트웨어 개발사에 의해 결정
  • 보안(security)
    • 로그온 시도(성공/실패)
    • 사용자 계정 추가/삭제(권한 변경)
    • 로그 기록은 관리자에 의한 감사 로그 설정에 의해 결정(유일하게 기록할 이벤트 유형을 사용자가 변경 가능)
  • 설정(setup)
    • 윈도우에 응용 프로그램 설치 및 설정 관련 이벤트
  • 시스템(system)
    • 윈도우 시스템 구성요소에서 기록한 이벤트 (기록 유형이 정해져 있음)
      • 장치 드라이버의 로드 여부
      • 시스템 서비스의 시작 여부

---

로그 관리

• 보안 로그 사례

---

로그 관리

• 이벤트 로그 속성

📋 표 2-5 이벤트 속성 정리

속성 이름	설명
키워드	이벤트를 필터링하거나 검색하는 데 사용할 수 있는 범주 또는 태그의 집합이다. 예를 들면 "감사 실패", "네트워크", "보안", "리소스를 찾을 수 없습니다."가 있다.
날짜 및 시간	이벤트가 기록된 날짜 및 시간을 나타낸다.
원본	이벤트를 기록한 소프트웨어로 "SQL Server" 등의 프로그램 이름이거나 드라이버 이름 등의 시스템 구성요소 또는 대형 프로그램의 구성요소일 수 있다. 예를 들어 "Enklii"는 EtherLink II 드라이버를 나타낸다.
이벤트 ID	특정 이벤트 유형을 식별하는 번호. 설명의 첫 줄에는 대개 이벤트 유형의 이름이 나온다. 예를 들면 6005는 이벤트 로그 서비스가 시작될 때 발생하는 이벤트 ID이다. 이런 이벤트 설명의 첫 줄은 "이벤트 로그 서비스가 시작되었습니다."이다. 이벤트 ID와 원본은 제품 지원 담당자가 시스템 문제를 해결하는 데 사용할 수 있다.
작업 범주	"로그온" 혹은 "로그오프"와 같이 어떤 동작 혹은 작업을 하다가 발생한 이벤트인지 알려준다.

---

로그 관리

• 감사(audit)
  • 단체 규율과 구성원의 행동, 업무에 문제가 있는지 조사하고 감찰하는 직무 - 나무위키
• 감사 정책 설정
  • 로그 ‘감사 정책’ : 어떤 로그를 남길지 정의한 규칙
    • 감사자와 IT 담당자가 사용자의 작업 내역을 추적하기 용이하도록 지원
  • 실제 서버에서 운영되는 서비스 및 보안 수준 등에 따라 어떤 로그를 남겨야 하는지 결정
• 감사 로그의 활용
  • 시스템 내에서 비정상적이거나 불법적인 행위를 인지
  • 잠재적인 보안 문제 식별에 대한 증거 및 분석 자료
  • 포렌식 증거(법적 근거자료)로 활용

---

로그 관리

• 로그 분석 방법: 필터링
  • 대용량의 로그에서 의미 있는 정보를 찾아 내는 방법
    → 이벤트 필터링 기법

---

로그 관리

• 로그 분석 방법 : 필터링
  • 중요 보안 관련 이벤트 ID

📋 표 2-6 중요 보안 관련 이벤트 ID

범주	이벤트 ID	설명
계정 로그인	4624	계정에 성공적으로 로그인했습니다.
	4625	계정에 로그인하지 못했습니다.
자격 증명 유효성 검사	4768	컴퓨터 계정에 대해 자격 증명의 유효성을 검사하려고 했습니다.
	4777	도메인 컨트롤러 계정 자격 증명의 유효성을 검사하지 못했습니다.
계정 관리	4720	사용자가 계정을 만들었습니다.
	4722	사용자가 계정을 사용할 수 있습니다.
	4723	계정의 암호를 변경하려고 했습니다.
	4724	계정의 암호를 원래대로 했습니다.
	4725	사용자가 계정을 사용하지 않도록 설정했습니다.
	4726	사용자가 계정이 삭제되었습니다.
	4740	사용자가 계정이 잠겼습니다.
시스템	512	Windows를 시작하고 있습니다.
	513	Windows를 종료하고 있습니다.
	517	보안 로그를 수정하였습니다.
	612	보안 로그를 삭제하였습니다.

---

로그 관리

• 로그 관리 방안
  • 최대 이벤트 로그 크기 산정
    • 너무 크게 설정 → 너무 많은 로그 저장 → 시스템 장애 발생
    • 너무 작게 설정 → 중요 로그가 삭제
  • 최대 로그 크기 결정의 예
    • 보통 평균 이벤트는 약 500바이트 소비
    • 1일 약 1000개의 이벤트가 발생한다고 가정
    • 1달(30일) 동안 로그가 저장되어야 한다고 기준 설정
    • 최대 로그 크기 = 500 1,000 30 = 15,000,000 byte = 약 14.3Mbyte
  • 중요 로그는 백업 수행
    • 예상하지 못한 대량의 로그로 중요 로그 삭제 가능성은 여전히 존재!
    • 자동 로그 백업, 원격 로그 서버 구성, 관리자의 수동 백업 등
  • 주기적으로 쌓인 로그 분석 및 검토 수행
    • 로그를 많이 남기더라도 분석하지 않으면 무의미한 데이터가 됨
    • 침입 유무나 침입 시도 의심 사례들을 분석해야 접근 차단 등의 조치를 수행할 수 있음

---

로그 관리

• 로그 관리 방안
  • 최대 로그 크기 설정