네트워크 보안 체크리스트
네트워크 인프라의 보안 설정 및 정책을 점검하세요. · 2025.02 기준
방화벽의 기본 정책을 모든 트래픽 차단(Deny All)으로 설정하고, 업무에 필요한 트래픽만 명시적으로 허용해야 합니다. 허용 규칙이 없는 트래픽은 자동으로 차단되어야 합니다.
인바운드 및 아웃바운드 방화벽 규칙을 업무상 반드시 필요한 포트, 프로토콜, IP 범위로만 제한하여 최소 권한 원칙을 적용해야 합니다.
방화벽에서 차단된 트래픽과 허용된 주요 트래픽에 대한 로그를 기록하고, 로그를 중앙 집중식으로 수집하여 이상 패턴을 모니터링해야 합니다.
사용하지 않는 규칙, 중복 규칙, 임시 허용 규칙 등을 정기적으로(최소 분기 1회) 검토하여 불필요한 규칙을 제거하고 최적화해야 합니다.
라우터, 스위치 등 네트워크 장비의 관리 인터페이스(SSH, SNMP, 웹 콘솔)에 대한 접근을 ACL로 허용된 관리 IP에서만 가능하도록 제한해야 합니다.
방화벽에서 상태 기반 패킷 검사(Stateful Packet Inspection)를 활성화하여 연결 상태를 추적하고, 비정상적인 패킷(예: SYN 없이 ACK만 전송)을 차단해야 합니다.
방화벽 장비의 펌웨어 및 소프트웨어를 최신 버전으로 유지하여 알려진 취약점을 제거하고, 벤더의 보안 권고사항을 정기적으로 확인해야 합니다.
방화벽 규칙의 추가, 수정, 삭제에 대한 변경 이력을 기록하고, 변경 사유와 승인자를 문서화하여 감사 추적이 가능하도록 해야 합니다.
VPN 연결에 AES-256 이상의 암호화와 IKEv2 또는 WireGuard 등 안전한 프로토콜을 사용해야 합니다. PPTP, L2TP 등 취약한 프로토콜의 사용을 금지해야 합니다.
VPN 접속 시 ID/비밀번호 외에 OTP, 인증서 등 2차 인증을 반드시 적용하여 계정 탈취에 의한 무단 접근을 방지해야 합니다.
분할 터널링 사용 시 업무용 트래픽은 반드시 VPN 터널을 통과하도록 설정하고, 보안 위험이 있는 경우 전체 터널링(Full Tunneling)을 적용해야 합니다.
VPN 세션에 적절한 유휴 타임아웃과 최대 연결 시간을 설정하고, 장시간 연결 시 재인증을 요구하여 방치된 세션을 통한 침입을 방지해야 합니다.
VPN 접속/해제 시각, 접속자 IP, 사용자 계정, 접속 시간 등의 로그를 기록하고, 비인가 접속 시도나 이상 패턴을 모니터링해야 합니다.
VPN 접속 전 클라이언트 단말의 보안 상태(백신 설치, OS 패치 수준, 방화벽 활성화 등)를 검증하는 NAC(Network Access Control) 정책을 적용해야 합니다.
RDP 사용 시 기본 포트(3389) 변경, NLA(Network Level Authentication) 활성화, 접근 IP 제한 등의 보안 조치를 적용하고, 가능하면 VPN을 통해서만 접근을 허용해야 합니다.
침입 탐지/방지 시스템의 시그니처(룰셋)를 최신 상태로 유지하여 새로운 공격 패턴을 탐지할 수 있도록 해야 합니다. 자동 업데이트를 설정하고 업데이트 실패 시 알림을 구성해야 합니다.
인터넷 게이트웨이, DMZ, 내부 핵심 서버 세그먼트 등 주요 네트워크 구간에 IDS/IPS를 배치하여 트래픽을 감시하고, 인라인(IPS) 또는 미러링(IDS) 모드를 적절히 선택해야 합니다.
침입 탐지 시 보안 담당자에게 즉시 알림(이메일, SMS, 메신저 등)이 전달되도록 설정하고, 심각도에 따른 에스컬레이션 절차를 수립해야 합니다.
정상 트래픽이 공격으로 오탐지되는 경우를 정기적으로 분석하여 시그니처를 튜닝하고, 오탐률을 줄여 실제 위협에 대한 탐지 효율을 높여야 합니다.
시그니처 기반 탐지 외에 네트워크 트래픽의 기준선(Baseline)을 설정하고, 비정상적인 트래픽 패턴(대량 데이터 전송, 비정상 포트 사용 등)을 탐지하는 이상 행위 탐지를 활용해야 합니다.
IDS/IPS에서 생성된 모든 탐지 로그와 이벤트를 SIEM(보안 정보 및 이벤트 관리) 시스템으로 전송하여 중앙 집중식으로 관리하고 상관 분석을 수행해야 합니다.
HTTPS 등 암호화된 트래픽 내부의 공격을 탐지하기 위해 SSL/TLS 복호화 검사를 적용해야 합니다. 개인정보 보호 규정을 준수하면서 적절한 범위에서 적용해야 합니다.
DNSSEC(DNS Security Extensions)를 적용하여 DNS 응답의 위변조를 방지하고, 클라이언트가 정상적인 DNS 레코드임을 검증할 수 있도록 해야 합니다.
DNS 서버에서 소스 포트 랜덤화, 트랜잭션 ID 랜덤화, 응답 검증 등을 적용하여 캐시 포이즈닝(Cache Poisoning) 공격을 방지해야 합니다.
알려진 악성 도메인, 피싱 사이트, C&C 서버 도메인 등을 DNS 레벨에서 차단하는 DNS 필터링 솔루션을 적용하여 사전 방어를 수행해야 합니다.
DNS 서버의 질의 로그를 기록하고 분석하여 DGA(도메인 생성 알고리즘) 기반 악성 도메인 접근, DNS 터널링, 대량 NXDOMAIN 응답 등 이상 패턴을 탐지해야 합니다.
내부 DNS 서버에 대한 외부 접근을 차단하고, 재귀 쿼리(Recursive Query)는 내부 클라이언트에서만 허용하여 DNS 증폭 공격에 악용되는 것을 방지해야 합니다.
DNS 질의 내용의 도청을 방지하기 위해 DNS over HTTPS(DoH) 또는 DNS over TLS(DoT)를 적용하여 DNS 트래픽을 암호화해야 합니다.
DNS 영역 전송(AXFR/IXFR)을 허가된 보조 DNS 서버에서만 가능하도록 제한하여 내부 DNS 레코드 전체가 외부에 유출되는 것을 방지해야 합니다.
업무 특성(개발, 운영, 관리, 게스트 등)에 따라 VLAN을 구성하여 네트워크를 논리적으로 분리하고, VLAN 간 불필요한 트래픽을 차단해야 합니다.
웹 서버, 메일 서버 등 외부에 공개된 서비스를 DMZ(비무장지대)에 배치하여 내부 네트워크와 격리하고, DMZ에서 내부 네트워크로의 직접 접근을 제한해야 합니다.
서버 간, 워크로드 간 세밀한 네트워크 분리를 적용하여 측면 이동(Lateral Movement)을 방지해야 합니다. 특히 데이터베이스, 애플리케이션 서버 등 핵심 자산에 대해 마이크로세그멘테이션을 적용해야 합니다.
개발, 테스트, 스테이징, 운영 환경을 물리적 또는 논리적으로 분리하여 개발 환경의 취약점이 운영 환경에 영향을 미치지 않도록 해야 합니다.
IoT 장비, SCADA 등 OT(운영 기술) 장비는 별도의 네트워크 세그먼트에 배치하고, IT 네트워크와의 통신을 엄격히 제어하여 IoT 장비 침해로 인한 내부 네트워크 피해를 방지해야 합니다.
VLAN 호핑 공격을 방지하기 위해 네이티브 VLAN을 사용하지 않는 VLAN으로 변경하고, 사용하지 않는 포트를 비활성화하며, DTP(Dynamic Trunking Protocol)를 비활성화해야 합니다.
세그먼트 간 통과하는 트래픽을 모니터링하여 비인가 통신, 이상 트래픽 패턴, 정책 위반 등을 탐지하고 대응할 수 있어야 합니다.
무선 네트워크에 WPA3 또는 최소 WPA2-Enterprise(802.1X) 인증을 적용해야 합니다. WEP, WPA, WPA2-Personal(PSK) 등 취약한 방식의 사용을 금지해야 합니다.
업무용 SSID와 게스트용 SSID를 분리하고, SSID 이름에서 조직명이나 장비 정보가 노출되지 않도록 해야 합니다. 불필요한 SSID 브로드캐스트를 최소화해야 합니다.
비인가 무선 액세스 포인트(로그 AP)를 탐지하기 위한 WIDS/WIPS(무선 침입 탐지/방지 시스템)를 운영하고, 탐지 시 즉시 차단 및 알림이 이루어져야 합니다.
무선 AP의 관리 인터페이스(웹 콘솔, SSH 등)에 대한 접근을 유선 관리 네트워크에서만 가능하도록 제한하고, 기본 관리자 계정과 비밀번호를 반드시 변경해야 합니다.
게스트용 무선 네트워크는 내부 네트워크와 완전히 격리하고, 인터넷 접근만 허용하며, 대역폭 제한과 사용 시간 제한을 적용해야 합니다.
무선 네트워크 접속 시 802.1X 인증 또는 MAC 주소 인증을 적용하고, 접속/해제 이력을 기록하여 비인가 장비의 접속을 방지하고 추적할 수 있어야 합니다.
무선 AP의 펌웨어를 최신 버전으로 유지하여 알려진 보안 취약점(KRACK, FragAttacks 등)을 제거하고, 벤더의 보안 권고사항을 정기적으로 확인해야 합니다.
무선 AP의 전파 출력을 조정하여 건물 외부로 신호가 불필요하게 유출되지 않도록 관리하고, 외부에서의 무선 네트워크 접근 시도를 최소화해야 합니다.