정답: A
네트워크 취약성 평가는 공격자가 네트워크 또는 리소스의 기밀성, 무결성 또는 가용성을 손상시키기 위해 악용할 수 있는 네트워크의 취약점과 노출을 식별하고 평가하는 프로세스입니다. 네트워크 취약성 평가는 일반적으로 라우터, 스위치, 방화벽, 서버, 워크스테이션과 같은 네트워크 장치를 스캐닝하는 과정을 포함합니다. 이 과정에서 자동화된 도구를 사용하여 장치 구성, 소프트웨어 버전 및 패치 수준을 알려진 취약성 데이터베이스와 비교합니다. 네트워크 취약성 평가에는 네트워크 아키텍처, 설계, 정책 및 절차에 대한 수동 테스트 및 검증도 포함될 수 있습니다. 네트워크 취약성 평가의 주요 목표 중 하나는 보안 위험을 초래할 수 있는 네트워크 장치의 잘못된 구성 및 누락된 업데이트 사항을 감지하고 보고하는 것입니다.
잘못된 구성은 취약한 암호, 열린 포트, 불필요한 서비스, 기본 계정 또는 잘못된 권한 등 네트워크 장치에 권장되거나 모범 사례 설정에서 벗어난 모든 상황을 의미합니다. 업데이트 누락은 공급업체의 최신 보안 패치 또는 개선 사항이 적용되지 않은 오래되었거나 지원되지 않는 소프트웨어 또는 펌웨어를 의미합니다.2 잘못된 구성과 업데이트 누락은 공격자가 무단 액세스, 악성 코드 실행, 서비스 거부 공격 또는 네트워크 장치의 권한 상승을 위해 악용할 수 있는 네트워크 취약점의 일반적인 원인입니다.3
따라서 IS 감사자는 네트워크 취약성 평가에서 잘못된 구성 및 누락된 업데이트가 발견될 것으로 예상해야 합니다. 다른 옵션들은 다음과 같은 이유로 관련성이 낮거나 부정확합니다.
* B. 악성 소프트웨어와 스파이웨어는 일반적으로 네트워크 취약성 평가에서 탐지되지 않습니다. 네트워크 장치의 구성 및 패치 수준보다는 네트워크 트래픽의 내용 및 동작과 더 관련이 있기 때문입니다. 악성 소프트웨어와 스파이웨어는 데이터 도용, 광고 표시, 원격 명령 수행 등 악의적인 목적으로 네트워크 장치 또는 사용자를 감염시키거나 모니터링하는 프로그램입니다. 악성 소프트웨어와 스파이웨어는 바이러스 백신 소프트웨어, 방화벽 또는 침입 탐지 시스템(IDS)과 같은 다른 보안 도구를 통해 탐지될 수 있습니다.
* C. 제로데이 취약점은 일반적으로 네트워크 취약점 평가에서 탐지되지 않습니다. 공급업체나 보안 커뮤니티에서 보고하거나 패치하지 않은 알려지지 않았거나 공개되지 않은 취약점이기 때문입니다. 제로데이 취약점은 악용하기 위해 고급 기술과 기법이 필요하기 때문에 드물고 발견하기 어렵습니다. 제로데이 취약점은 침입 방지 시스템, 이상 탐지 시스템, 인공지능 시스템과 같은 다른 보안 도구를 통해 탐지할 수 있습니다.
* D. 보안 설계 결함은 네트워크 장치의 구성 및 패치 수준보다는 네트워크의 논리 및 기능과 더 관련이 있기 때문에 일반적으로 네트워크 취약성 평가로는 발견되지 않습니다. 보안 설계 결함은 네트워크 아키텍처, 설계, 정책 또는 절차의 오류나 취약점으로, 네트워크의 보안 목표를 손상시킬 수 있습니다. 보안 설계 결함은 보안 검토, 감사 또는 평가와 같은 다른 보안 방법을 통해 발견될 수 있습니다.6
참고문헌: 네트워크 취약성 평가 - ISACA, 네트워크 취약성 스캐닝 - NIST, 네트워크 취약성 - SANS, 맬웨어 - ISACA, 제로데이 공격 - ISACA, 보안 설계 원칙 - NIST
