• 아티클

Utility SpotlightMicrosoft Security Assessment Tool

Lance Whitney

이 기사의 코드 다운로드: Microsoft Security Assessment Tool 3.0(영어 버전만 제공됨) (10547.2KB)

네트워크 보안 문제를 추적하는 작업은 복잡할 뿐만 아니라 시간도 많이 걸립니다. 이러한 보안 위험을 파악하고 해결하는 데 유용한 도구 중 하나가 바로 Microsoft® Security Assessment Tool(MSAT)입니다. 무료로 제공되는 이 유틸리티는 조직의 보안 환경을 설명하는 데 사용할 수 있는 전자 설문지를 제공합니다. 50~500대의 컴퓨터를 갖춘 중간 규모 조직에 맞게 설계된 MSAT는 범주별로 구성된 172가지의 질문을 통해 현재의 상황을 분석하여 이를 개선할 수 있는 권장 사항을 제시합니다.

MSAT는 사용자의 비즈니스 모델과 관련된 일련의 질문으로 시작하여 이를 기반으로 BRP(비즈니스 위험 프로필)를 만들고 이 BRP를 통해 사용자 조직의 보안 위험을 동종 업계의 다른 조직과 비교 평가합니다. 이 설문지를 작성하는 데는 대개 두 시간 정도 걸리며 언제든지 중단했다가 다시 시작할 수 있습니다. 다음은 질문의 범주 및 각 범주에 해당하는 질문의 예입니다.

기본 정보 조직에서 사용하는 클라이언트 및 서버의 수는 얼마나 됩니까?

인프라 보안 직원이 원격 위치에서 작업합니까? 외부의 계약 직원이 조직 네트워크에 액세스합니까?

응용 프로그램 보안 회사에서 응용 프로그램을 개발합니까? 응용 프로그램에서 처리하는 중요한 데이터를 이러한 응용 프로그램에 저장합니까?

운영 보안 회사 네트워크가 외부 네트워크에 연결됩니까? 조직에서 외부 조직으로부터 데이터 피드를 받습니까?

인적 보안 회사에서 컴퓨터 유지 관리 작업을 외부 용역으로 처리하고 있습니까? 직원이 회사의 중요한 데이터를 자신의 워크스테이션으로 다운로드하는 것이 허용됩니까?

환경 조직의 직원 수는 얼마나 됩니까? IT 부서의 직원 교체 속도가 빠릅니까?

설문을 마치면 MSAT는 조직에서 현재 사용하는 보안 프로세스에 중점을 둔 DiDI(심층 방어 지표)라는 측정 방법을 통해 평가를 진행합니다. 이때도 앞에서와 비슷한 범주를 사용하며 제시되는 질문은 '조직의 각 위치에서 방화벽을 사용하고 있습니까?', 'Microsoft Office 응용 프로그램에서 사용자 지정 매크로를 사용합니까?', '사용자가 자신의 워크스테이션에 대한 관리 권한을 가지고 있습니까?', '패치 및 업데이트를 PC에 배포하기 위한 정책이 있습니까?' 등입니다.

사용자의 답변에 기초하여 MSAT는 세 가지 보고서를 제공합니다. Summary Report(요약 보고서)에서는 결과를 막대 그래프로 표시합니다. 높은 BRP 값은 높은 위험 수준을 나타내는 반면 높은 DiDI 값은 우수한 보안을 나타냅니다. BRP가 낮고 DiDI가 높으면 현재의 보안이 양호한 것처럼 보일 수도 있습니다. 하지만 MSAT에서 지적하듯이 이 수치보다 중요한 것은 개별 영역을 검토하는 것입니다. Complete Report(전체 보고서)에서는 각 영역별로 사용자 조직에서 최선의 방법을 따르고 있는지, 개선이 필요한지, 위험에 대한 대비가 많이 부족한지를 보여 줍니다(그림 1참조).

그림 1 Complete Report(전체 보고서)

그림 1** Complete Report(전체 보고서) **(더 크게 보려면 이미지를 클릭하십시오.)

마지막으로 Comparison Report(비교 보고서)에서는 사용자 조직에 대해 생성된 결과를 다른 조직의 결과와 비교할 수 있도록 안전한 MSAT 웹 사이트에 결과를 익명으로 업로드하도록 요청합니다.

MSAT는 Microsoft Security Guidance 웹 사이트(<A href="http://securityguidance.com">securityguidance.com</A>)나 <I>TechNet Magazine</I> 웹 사이트(<A href="http://technetmagazine.com/code07.aspx">technetmagazine.com/code07.aspx</A>)에서 다운로드할 수 있습니다.

Lance Whitney는 IT 컨설턴트 겸 강사이자 테크니컬 라이터로, Windows 워크스테이션과 서버를 조정하는 데 많은 시간을 할애하고 있습니다. 원래 저널리스트였던 그는 15년 전 IT 업계에 뛰어들었습니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..