서버 보안 감사는 공격자가 어디로 침입할 수 있고 침입한 뒤에 무엇을 할 수 있는지를 찾아내기 위해 서버의 노출과 구성을 체계적으로 검토하는 것입니다. 감사를 의뢰하도록 요청받았거나 내부 검토를 수행하려는 경우, 이 가이드는 철저한 감사가 정확히 무엇을 조사하며 각 영역이 왜 중요한지 설명합니다.

감사는 진단적입니다. 즉, 현재 어디에 있는지 알려줍니다. 이는 감사가 발견한 문제를 고치는 작업인 하드닝 과 자연스럽게 짝을 이룹니다.

요약(TL;DR)

  • 서버 감사는 공격 표면, OS와 서비스 구성, 패치 상태, 접근 제어, 네트워크와 방화벽 설정, 모니터링을 검토합니다
  • 일반적으로 CIS Benchmark와 같은 공인된 기준에 대해 서버를 벤치마킹합니다
  • 침입이 실제로 탐지되도록 악성코드와 rootkit 스캔, 그리고 로깅 검토를 포함합니다
  • 결과물은 원시 스캐너 덤프가 아니라, 조치할 수 있는 우선순위가 지정되고 위험 등급이 매겨진 발견 사항 목록이어야 합니다

1. 공격 표면 검토

첫 번째 작업은 서버가 실제로 무엇을 노출하는지 파악하는 것입니다.

  • 수신 대기 중인 모든 서비스와 열린 포트를 열거하고, 각각이 의도된 것인지 확인합니다.
  • 인터넷에 노출된 서비스와 내부 전용이어야 하는 서비스를 식별합니다.
  • 가치를 더하지 않으면서 공격 표면을 넓히는 오래되었거나 불필요한 서비스에 플래그를 지정합니다.

2. 운영체제 및 구성 감사

  • OS 버전과 지원 상태를 확인합니다. end-of-life OS는 상시 위험입니다.
  • 구성을 공인된 기준, 일반적으로 해당 배포판용 CIS Benchmark 에 대해 검토합니다.
  • OS와 설치된 소프트웨어의 패치 상태를 평가하고, 자동 보안 업데이트가 설정되어 있는지 확인합니다.

3. 접근 제어 및 인증

  • 사용자 및 서비스 계정을 검토하여 오래되고 기본값이며 사용하지 않는 계정을 제거합니다.
  • 최소 권한 원칙에 따라 sudo와 권한 할당을 감사합니다.
  • SSH 구성을 점검합니다. 키 기반 인증, root 로그인 비활성화, 비밀번호 인증 비활성화, 무차별 대입(brute-force) 방어입니다.
  • 관리 접근에 대한 다중 인증(MFA)을 확인합니다.

4. 방화벽 및 네트워크 세분화

  • firewall이 기본 거부(default-deny) 정책을 따르고 필요한 포트만 노출하는지 확인합니다.
  • 한 호스트의 침해가 네트워크 전반에서 자유로운 이동을 허용하지 않도록 네트워크 세분화를 검토합니다.
  • 관리 인터페이스가 신뢰할 수 있는 소스나 VPN으로 제한되어 있는지 확인합니다.

5. 악성코드 및 rootkit 탐지

  • 기존 침해를 탐지하기 위해 악성코드와 rootkit 스캔을 실행합니다.
  • 시스템 바이너리와 구성에 대한 예기치 않은 변경을 식별하기 위해 파일 무결성 검사를 수행합니다.

6. 로깅, 모니터링 및 탐지

  • 보안 관련 이벤트가 (예: auditd를 통해) 기록되고 보존되는지 확인합니다.
  • 공격자가 손쉽게 지울 수 없도록 로그가 호스트 밖으로 전송되는지 확인합니다.
  • 의심스러운 활동이 알림을 생성하여 침입이 실제로 인지되도록 하는지 확인합니다.

7. 데이터 보호 및 백업

  • 민감한 데이터가 저장 시와 전송 시 암호화되어 있는지 확인합니다.
  • 백업이 존재하고, 서버 외부에 저장되며, 복원을 통해 테스트되었는지 확인합니다.
  • 복구 프로세스가 존재하고 문서화되어 있는지 확인합니다.

좋은 결과물이란 어떤 모습인가

유용한 감사는 원시 스캐너 보고서를 건네지 않습니다. 무엇을 먼저 고쳐야 하고 그 이유가 무엇인지 알 수 있도록, 명확한 조치 단계와 함께 위험 등급이 매겨지고 우선순위가 지정된 발견 사항을 제공합니다. 누구나 스캐너를 실행할 수 있습니다. 가치는 전문가의 해석, 오탐 제거, 그리고 실제 위험에 대비한 우선순위 지정에 있습니다.

핵심 요점

  • 서버 보안 감사는 공격 표면, 구성, 패치, 접근 제어, 네트워크 설정, 악성코드, 모니터링을 검토합니다.
  • CIS와 같은 공인된 기준에 대해 벤치마킹하고 악성코드와 rootkit 스캔을 포함할 것으로 기대하세요.
  • 산출물은 스캐너 덤프가 아니라 조치 지침이 포함된 우선순위 지정 및 위험 등급 발견 사항이어야 합니다.
  • 감사는 진단하고, 하드닝은 고칩니다. 둘을 함께 사용하세요.

전문적인 서버 보안 감사 받기

철저한 감사는 어떤 발견 사항이 실제로 중요한지 아는 숙련된 시각으로부터 큰 도움을 받습니다. 서버 보안 감사 서비스 는 완전한 공격 표면 검토, CIS Benchmark 정렬, 악성코드와 rootkit 탐지, 네트워크 세분화 검토, 우선순위가 지정된 하드닝 보고서를 다룹니다. 현재 어디에 있는지 파악한 뒤에는 Linux 서버 하드닝 서비스하드닝 가이드 가 수정을 다룹니다.

자주 묻는 질문(FAQ)

서버 보안 감사란 무엇인가요? 보안 취약점을 식별하기 위해 서버의 노출과 구성을 체계적으로 검토하는 것으로, 공격 표면, OS와 서비스 구성, 패치 상태, 접근 제어, 네트워크 설정, 악성코드, 모니터링을 다룹니다. 어디가 취약하고 어떻게 고칠지 알려줍니다.

감사는 하드닝과 어떻게 다른가요? 감사는 진단적입니다. 취약점을 찾아 우선순위를 매깁니다. 하드닝은 그것을 고치는 개선 작업입니다. 현재 위치를 알기 위해 감사하고, 그다음 격차를 메우기 위해 하드닝합니다.

서버 감사에 악성코드 스캔이 포함되나요? 철저한 감사에는 포함됩니다. 구성 검토와 함께, 미래의 위험뿐 아니라 기존 침해를 탐지하기 위해 악성코드와 rootkit 스캔 및 파일 무결성 검사를 포함해야 합니다.

서버 감사는 어떤 기준에 대해 측정해야 하나요? 사용 중인 운영체제에 대한 CIS Benchmark가 일반적인 기준선입니다. 객관적이고 배포판별로 특화된 기준을 제공하므로, 발견 사항이 주관적이지 않고 측정 가능하며 반복 가능해집니다.

서버는 얼마나 자주 감사해야 하나요? 주기적으로, 그리고 중요한 변경 후에 해야 합니다. 구성은 어긋나고 새로운 취약점이 나타나기 때문입니다. 많은 조직은 연간 또는 반기별 심층 감사와 그 사이의 지속적인 자동 패치 및 모니터링을 결합합니다.