01. [OAuth 기반 인프라 취약점 진단] 취약점 점검 계획

1.점검목적

본 계획서는 구축된 인프라 환경의 보안 취약점을 체계적으로 분석하고, 고위험군 리스크를 사전에 제거하는 데 목적이 있다. 특히 KISA 가이드의 핵심 항목을 중심으로 실질적인 보안 강화를 이행하여 인프라 운영 역량을 확보하고자 한다.

취약점 진단 계획은 아래와 같다.

[진단 대상 식별 -> 점검 기준 수립 -> 점검 수행 계획 -> 상세 항목 수립]

 

 

2. 진단 대상 식별 및 환경 분석

 

■ 하이퍼바이저

• Proxmox VE: KVM 기반 오픈소스 하이퍼바이저. 가상 머신 생성·관리 및 가상 브릿지 네트워크 구성에 활용

 

■ 가상 머신 OS

• Rocky Linux 8.10: RHEL 계열 엔터프라이즈 리눅스. 모든 서비스 VM의 공통 운영체제로 채택하여 패키지 호환성 및 실무 환경 일관성 확보
• OPNSense :경계 방화벽 전용 VM에 설치

 

■ 네트워크

• OPNSense: 방화벽 룰, NAT, 포트포워딩 설정. WAN/DMZ/Internal 구간 간 트래픽 통제
• Proxmox가상 브릿지: vmbr0(WAN, 192.168.10.0/24), vmbr1(DMZ, 192.168.11.0/24), vmbr2(Internal, 192.168.12.0/24)

 

■ 인증 / 디렉토리

• FreeIPA: LDAP(389-ds) + Kerberos + DNS 통합 인증 서버. 중앙 계정 관리 및 SSO 구현
• SSSD: 각 Rocky Linux VM의 FreeIPA 연동 클라이언트

■ 웹 서버

• Apache(httpd): DMZ 구간 웹 서버. FreeIPA SSSD 연동 및 가상 호스트 설정

 

■ 웹 애플리케이션
OAuth 인증 시스템

 

 

■ 데이터베이스

• MySQL: Internal 구간 DB 서버. 외부 직접 접근 차단, 웹 서버에서만 접근 허용

 

■ 컨테이너 / 인트라넷

• Docker / docker-compose: 인트라넷 서비스 컨테이너화
• Wiki.js: 사내 문서 공유
• Nextcloud: 사내 파일 공유
• Mattermost: 사내 채팅

 

■관제 서버(SIEM) 베이스캠프 구축 (ELK 설치)

• 환경: Rocky Linux 8.10 VM (관제 전용 서버)
• 구성 : IDS,IPS,Syslogd

3.점검 기준 및  우선순위 선정

• 표준 가이드: 「주요정보통신기반시설 기술적 취약점 분석·평가 가이드」를 준용한다.
• 항목 선정: 전체 점검 항목 중 침해 사고와 직결되는 중요도 '상' 항목을 우선순위로 선정하여 진단 효율성을 극대화한다.
• 점검 방법: 대상 서버에 직접 접속하여 설정 파일 및 정책을 확인하는 수동 점검과 점검 스크립트를 활용한 자동 점검을 병행한다.
• 기술적 예외: 실습 환경상 점검이 불가능한 항목은 사유를 명시하고 '해당 없음(N/A)' 처리한다.

 

1순위: DMZ Zone

외부 인터넷에서 가장 먼저 노출되는 지점으로, 침투의 첫 관문을 방어하는 단계이다.

2순위: OPNsense Firewall 

외부에서 들어오는 인바운드 트래픽과 영역 간 내부 트래픽 흐름을 제어하여 인트라넷 침투를 차단하는 단계이다

 

3순위: Internal Zone

조직의 실제 데이터와 핵심 서비스가 모여 있는 가장 중요한 영역이다

 

 

4순위: Client Zone

실제 사용자 PC의 보안과 침해 사고 발생 시 대응 능력을 확인하는 단계이다.

 

 

4.점검 결과 분석 및 조치방향

• 기술적 조치 (Hardening): 발견된 취약점에 대해 가이드에서 권고하는 최적의 설정값으로 즉시 수정 조치한다.
• 이행 검증: 조치 완료 후 재점검을 실시하여 설정의 유효성을 검증하고, 조치 전/후의 상태를 비교 분석하여 기록한다.

 

 

 

5.점검 대상

 

-시간 관계상 Proxmox,Apache,MySQL,OPNSense만 점검을 수행 할 예정이다.

■ 하이퍼바이저 Proxmox		XII. 클라우드
DMZ	■ 웹 서버 Apache(httpd)	I. Unix 서버, III. 웹 서비스
	■ 웹 애플리케이션 OAuth 인증 시스템	I. Unix 서버
	■ SMB Rocky Linux	I. Unix 서버
Internal	■ 인증 서버 FreeIPA(LDAP, DNS 등)	-
	■ 데이터베이스 MySQL	VIII. DBMS
	■ Windows Server AD DS/DS/DC	II. Windows 서버
	■ 컨테이너 / 인트라넷 Docker, Wiki.js 등	-
	■ 관제 서버(SIEM) IDS/IPS	IV. 보안 장비
Firewall	■ 방화벽 OPNSense	IV. 보안 장비
Client	■ Windows 10 / 11 사용자 PC	II. Windows 서버