개요

본 프로젝트는 한국인터넷진흥원(KISA)에서 제공하는 취약점 분석 및 평가 방법 상세가이드를 기반으로, Linux 운영체제의 보안 취약점을 진단하고 대응하는 실무형 매뉴얼 및 체크리스트를 제작하는 것을 목표로 한다.
192.168.11.0/24 NAT 네트워크 환경에 FTP, DNS, Apache, NFS, NIS 서비스별로 가상 머신을 구성하고, A/B 클라이언트와의 상호 통신을 구현하여 서비스를 하고 있는 Linux 운영체제에 대한 보안 설정 및 점검을 수행한다.
주요 보안 영역(계정 관리, 파일 및 디렉터리 권한, 서비스 관리, 패치 및 업데이트, 로그 관리)에 대해 발생 가능한 보안 침해사례를 분석하고, 해당 위협을 방지하기 위한 설정 방법 및 점검 항목을 정리한다. 실무자가 즉시 활용 가능한 형식으로 정리함으로써, 보안 관리 역량을 실질적으로 향상시키는 것이 본 프로젝트의 핵심이다.

설계의 주안점

1. 침해사례를 반영한 실무형 보안 설정
- KISA에서 제시한 분석 및 평가 방법론을 기반으로 침해사례를 참고하여 보안 설정.
- 각 보안 항목에 대해 “무엇을, 왜 해야 하는가”를 명확히 하여 이해도 및 현장 활용성 강화.

2. 서비스별 가상 환경 분리 및 통신 구현
- FTP, DNS, Apache, NFS, NIS 등 보안 취약점이 자주 발생하는 핵심 서비스를 별도 가상 머신에 구성하여 실습 환경을 구현.
- NAT 환경(192.168.11.0/24) 내에서 A/B 클라이언트와의 양방향 통신을 통해 실제 운영 환경을 시뮬레이션.

3. 보안 원칙에 따른 계층별 접근 통제
- 계정 관리 → 파일 권한 → 서비스 제한 → 네트워크 방화벽 → 로그 및 추적 관리로 이어지는 계층별 보안 접근 방식 적용.

4. 표준화된 체크리스트 및 설정 가이드화
- 각 보안 항목별 점검 체크리스트와 설정 가이드 문서를 함께 제공하여 반복적 보안 점검 및 교육용 자료로 활용 가능.
- 시스템 관리자 및 보안 담당자가 즉시 참고 가능한 문서화 형태로 구성(스크립트 + 설명).

5. 보안 설정 미흡 시 발생 가능한 위협 시뮬레이션
- 보안 설정을 하지 않았을 때의 실제 침해 시나리오(예: 계정 탈취, 서비스 스니핑, 파일 손상 등)를 함께 제시.
- 단순 설정이 아닌 설정하지 않을 경우의 리스크 인식을 유도하여 교육 및 실무 반영도 향상.

개요

내부 네트워크망을 체계적으로 설계하고, 다양한 보안 위협에 대한 탐지 및 대응이 가능한 통합 보안 시스템을 구축하는 것을 목적으로 한다. 이를 통해 조직 내부 자산에 대한 침입 시도를 식별하고, 사전에 정의된 정책에 따라 자동 대응함으로써 보안 관리의 효율성과 정확성을 향상시키고자 한다.

설계의 주안점

1. 보안정책 적용 여부에 따른 네트워크 구성
:외부 네트워크, DMZ, 내부 네트워크(Internal) 영역으로 구성된 네트워크 설계를 기반으로, 방화벽 SOPHOS UTM9을 통해 외부 접근을 통제하고 영역 간 접근 제어 강화한다.
내부 네트워크의 Oracle DB 서버에 직접 접근은 차단되며, DMZ 영역도 최소 권한 원칙에 따라 서비스 제한 적용한다.

2.실시간 침입 탐지 체계 구축
:Snort 기반 IDS를 통해 내부 네트워크에서 실시간으로 비정상적인 행위를 탐지하고 경고 할 수 있도록 룰을 설정한다. 이 때, 탐지된 이상 행위는 rsyslog 통해 SIEM 서버로 전송될 수 있게 한다.

3.웹서버에서 발생한 취약점 관련 로그를 주기적으로 자동 백업
:웹 서비스의 취약점을 이용한 공격 시도와 관련된 error, access 로그를 파일별로 수집하고, rsync를 통해 내부 네트워크의 Log Backup 서버로 4시간 주기를 기준으로 전송한다. 주기적 전송은 crontab에 등록된 rsyslog 전송 명령어를 이용하여 구성한다.

4.정책 기반 자동 대응 구현
:SIEM 서버는 수집된 로그를 기반으로 자동 분석을 수행하며, 이상 행위 탐지 시 Wazuh의 ossec.conf 에 정의된 룰인 접근 시도 횟수 초과, 특정 포트 스캔 등에 대해 자동으로 차단 스크립트 실행한다.

5.보안 로그 수집 및 가시화 시스템 구축
:SIEM 서버를 중심으로 서버 및 보안 장비의 보안 로그를 수집·통합·시각화할 수 있게 Kibana 대시보드를 통해 침입 시도, 로그인 실패, 시스템 경고 등의 이벤트를 실시간으로 모니터링이 가능하게 한다.

6. 보안 운영의 확장성과 지속 가능성 확보
:시스템 구성요소는 Crontab, rsync, Wazuh 등 자동화 가능한 기술 중심으로 구성되어 있으며, 수동 개입 없이도 보안 탐지-분석-대응이 순환되도록 설계한다.
이를 통해 향후 확장, 정책 업데이트, 백업 서버 교체 등의 유지관리 작업이 간단히 이뤄질 수 있도록 하며, 실제 운영 환경에서도 안정적인 보안 정책 유지가 가능하도록 구현한다.

개요

Sophos utm은 침입 탐지 시스템(IPS: Intrusion Prevention System), Web Filtering, WAF(Web Application Firewall) 등 네트워크 보안, 데이터 베이스 보안, 웹 보안을 위한 통합적인 솔루션을 제공하고 있다. 본 프로젝트는 Sophos utm의 이러한 기능을 분석하여 보안 환경을 구축하고자 한다. 또한 구축한 환경을 토대로 중간자 공격, 서비스 거부 공격, SQL Injection 등의 다양한 공격을 수행하여 구축한 방화벽이 위협을 어떻게 방어하는지 검증하고자 한다. 최종적으로 네트워크와 방화벽을 구축하고 이를 검증하는 일련의 작업을 문서로 총정리하여 매뉴얼화 하고자 한다.
프로젝트를 위해 네트워크는 VMware내 NAT 네트워크를 구축한다. 네트워크는 Sophos UTM에 의해 보안정책을 적용받는 네트워크와 보안정책과 상관 없는 네트워크로 분할된다. 보안정책과 상관 없는 네트워크에는 VM 환경 구현을 위한 Host PC와 모의해킹 수행용 공격자 PC가 위치한다. 보안 정책을 적용 받는 네트워크는 DMZ 네트워크와 Internal 네트워크로 분리된다. DMZ 네트워크는 외부에 공개되어 외부 클라이언트의 요청에 따라 서비스를 제공하는 서버들이 위치한다. 또한 Internal 네트워크에는 외부에 공개되어서는 안되는 서버가 위치한다.
Sophos utm은 보안 정책을 적용 받는 네트워크와 그렇지 않는 네트워크를 분리하면서 Firewall, IPS, WAF, Web Filtering, Load balancing, VPN 등의 기능을 통해 공격을 사전에 예방하고, 침해 발생 시 빠르게 조치하며, 유해 사이트를 차단하고, 서버 트래픽을 분산하여 과부하를 줄이는 등의 역할을 수행한다.

설계의 주안점

본 프로젝트는 Sophos utm의 다양한 기능을 활용하여 안전한 보안 환경을 구축하는 것을 목표로 한다. 이를 위해 Sophos UTM의 방화벽 기능을 넘어 IPS, WAF, VPN, Load balancing, Web filtering 기능을 분석하고 실습하고자 한다. 본 프로젝트에서 활용할 Sophos utm의 주요 기능과 주안점은 아래와 같다.

1.Firewall
보안 정책을 적용 받는 네트워크와 상관 없는 네트워크를 분할한다.
허용 네트워크, 서비스의 접근 제어를 rule에 기반하여 실시한다.
rule이 순차적으로 적용되기 때문에 rule의 순서에 주의하여 설정한다.
허용하지 않은 네트워크, 서비스로의 접근은 원천차단한다.

2.IPS
IPS가 어떤 방식으로 비정상적 트래픽을 판단하는지 분석하고 분석 내용에 따라 IPS 기능을 설정한다.
비정상 트래픽에 대해 네트워크 격리, 프로세스 차단 등의 조치를 취하는 과정을 모의해킹 시연을 통해 검증하고 정리한다.

3.WAF
웹 애플리케이션에 대한 공격 유형과 다양한 패턴을 분석하여 이를 바탕으로 WAF 기능을 구성하고 설정에 반영한다.
SQL 인젝션, XSS, 파일 업로드 공격 등 주요 웹 공격을 탐지하고 차단하는 기능을 구현한다.
사용자 요청을 실시간으로 분석하여 비정상 행위를 탐지하고 웹 서버를 보호한다.

4.VPN
VPN이 암호화된 터널을 생성하여 도청이나 정보 유출을 방지하는 원리를 분석한다.
Sophos UTM에서 지원하는 IPsec, SSL, PPTP, L2TP 프로토콜의 차이를 이해하여 정리하고 프로토콜의 특징에 맞게 Sophos UTM에 VPN기능을 설정 한다.

5.Load Balancing
Load Balancing 다수의 서버로 트래픽을 분산시켜 서버의 과부하를 방지하는 원리를 이해하여 정리한다.
각 서버가 균형 있게 요청을 처리하여 시스템의 성능과 안정성을 높이는 과정을 시연한다.
특정 서버에 문제가 생기면 다른 서버로 자동 전환하여 서비스 중단을 막는 것을 검증한다.

6.Web filtering
유해하거나 비업무용 웹사이트에 대한 접근 차단 기능을 설계한다.
악성코드 유포 사이트 및 피싱 사이트에 대한 접근 제한 정책을 구현한다.
사용자 또는 그룹별 웹 사용 권한 관리 및 통제 기능을 포함하도록 설계한다.
웹 접근 내역을 정확히 기록하고 분석할 수 있는 로그 관리 시스템을 구축한다.

7. 모의해킹
모의 해킹 작업을 통해 각 방화벽의 기능이 정상적으로 작동하는지 검증한다

개요

최근 들어 원격근무의 일상화와 더불어, 사이버 위협이 갈수록 다양화됨에 따라 기업의 업무망을 보다 정밀하게 보호할 수 있는 네트워크 보안 체계의 필요성이 강조되고 있다. 본 프로젝트는 Sophos UTM이 제공하는 다양한 보안 기능 WAF(Web Application Firewall), ACL(Access Control List), IPS(Intrusion Prevention System), 웹 필터링(Web Filtering), VPN(Virtual Private Network)을 종합적으로 사용하여, 외부로부터의 비인가 접근을 효과적으로 차단하고 내부 자산에 대한 침해를 방지할 수 있는 종합 보안환경 구축을 목표로 한다.

설계의 주안점

1. 보안구역을 분리하여 네트워크 설계
- 네트워크를 External, DMZ, Internal 세 영역으로 분리하여 보안 정책을 적용
- Internal, External → DMZ 접근 가능
- External → Internal 직접 접근 불가(VPN을 통한 접근만이 가능하도록 설정)
- DMZ → Internal 직접 접근 불가
(웹 서버만이 Oracle 서버에 Oracle SQL*Net v2 접속 가능)

2. 실사용 환경 고려한 VPN 구축
- 원격근무가 필요한 환경에서 SSL VPN 기반의 안전한 원격접속 통로 마련

3. 실시간 위협 대응 기능 구현
- IPS 기능을 통해 이상 행위 및 실시간 공격 탐지

4. Sophos의 보안 기술의 통합 적용
- ACL, IPS, WAF, VPN, 웹 필터링