Home » ISMS 인증기준 – 정보보호대책 (운영보안)

ISMS 인증기준 – 정보보호대책 (운영보안)

11.1 운영 절차 및 변경 관리

11.1.1 운영절차 수립

정보시스템 동작, 문제 발생 시 재 동작 및 복구, 오류 및 예외사항 처리 등 시스템 운영을 위한 절차를 수립하여야 한다.

  • 정보시스템 운영을 위한 운영절차(또는 매뉴얼)를 수립하고 있는가?
ㅇ “정보시스템”은 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 의미한다. 즉 서버, PC 등 단말기, 보조기억매체, 네트워크 장치, 응용프로그램 등 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신에 필요한 하드웨어 및 소프트웨어를 말한다.

ㅇ 각 정보시스템 특성에 적합한 운영절차(또는 매뉴얼)를 수립하여야 한다. 이는 담당자 부재 시 혹은 신입직원 등이 긴급 상황에서 별다른 인수인계 없이도 정의된 절차에 따라 대응이 가능하도록 하기 위한 것이다.

ㅇ 정보시스템 운영절차에는 다음과 같은 내용을 포함하여야 한다.

– 정보시스템 환경설정(접근통제 : ACL, 패스워드 등) 방법
– 정보시스템 변경 절차
– 정보시스템 보안설정 방법 (인증기준 11.2.1 정보시스템 인수 참고)
– 접근권한 설정 방법
– 오류 및 예외 사항 처리 방법
– 문제 발생 시 긴급종료/재동작/복구 방법
– 시스템 모니터링 방안 : 보안감사로그, 각종 이벤트 로그 확인방법
– 긴급상황 발생 시 비상연락망 등

  • 각종 정보시스템 운영절차(또는 매뉴얼)를 목록으로 관리하고 주기적인 내용 검토를 하고 있는가?
ㅇ 신규 정보시스템 도입, 유지보수업체 변경 등 정보시스템 관련 환경 변화가 있을 경우 운영절차 내용을 검토하여 변경 사항을 반영하여야 한다. 또한 운영절차(매뉴얼)의 작성일자, 변경일자, 검토 및 승인자 등에 대한 이력도 함께 관리하여야 한다.

ㅇ 운영절차(또는 매뉴얼)는 정보시스템 운영과 관련된 중요 자료이므로 조직의 민감한 정보(IP 등 시스템 정보)가 포함된 경우 대외비 문서로 지정(인증기준 4.2.1 보안등급과 취급 참고)하여 해당 업무 관련자만 접근할 수 있도록 통제하고 업무상 재해에 대비하여 복사본을 별도로 마련하여 소산 보관하는 것이 좋다. (인증기준 13. 재해복구 참고)

  • 정보시스템 운영을 외부 위탁하는 경우 운영절차(매뉴얼) 수립 여부를 확인하고 있는가?
ㅇ 정보시스템 운영을 외부 위탁하는 경우 외부 아웃소싱 업체가 정보시스템 운영절차(매뉴얼)를 수립하고 있는지 확인하고 운영절차에 따라 정보시스템 운영을 보장하도록 계약서에 관련 내용을 명시하여야 한다.

– 운영절차(매뉴얼)은 외부 아웃소싱 업체가 자체 수립하거나 위탁사의 절차를 준용하여 수립할 수 있다.

ㅇ 운영 점검항목 등을 통해 외부 아웃소싱 업체가 운영절차를 준수하고 있는 지 주기적으로 확인하여야 한다. (인증기준 3.외부자 보안 참고)

11.1.2 변경관리

정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립하고 변경 전 시스템의 전반적인 성능 및 보안에 미치는 영향을 분석하여야 한다.

  • 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립 ∙ 이행하고 있는가?
ㅇ 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU/메모리/저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경요청, 책임자 검토 ∙ 승인, 변경확인, 변경이력관리 등의 공식적인 절차를 수립하고 이행하여야 한다.
  • 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?
ㅇ 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석하여 변경에 따른 영향을 최소화 할 수 있도록 변경을 이행하고 변경 실패에 따른 복구방안을 사전에 고려하여야 한다.
– 변경의 규모를 고려하여 영향 분석 대상 기준을 자체적으로 정할 수 있다.

11.2 시스템 및 서비스 운영 보안

11.2.1 정보시스템 인수

새로운 정보시스템 도입 또는 개선 시 필수 보안요구사항을 포함한 인수 기준을 수립하고 인수 전 기준 적합성을 검토하여야 한다.

  • 정보시스템 도입 또는 개선 계획을 수립하고 있는가?
ㅇ 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획을 수립하여야 한다.

– 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석
– 추가 자원의 필요성 및 시기에 대한 예상
– 성능, 안전성, 신뢰성, 보안성, 법규 등을 포함한 시스템 자원의 기능적, 운영적 요구사항
– 기존 시스템과의 호환성, 상호운영성, 기술표준에 따른 확장성

ㅇ 이 기준(11.2.1 정보시스템 인수)에서 적용되는 “”정보시스템”” 범위는 서버, 네트워크 장비, 상용 소프트웨어 패키지에 해당하며 “”보안시스템”” 도입 및 인수 시에도 적용하여야 한다.

– 다만 응용프로그램 신규 개발 및 개선 시 보안요구사항 정의, 구현 및 시험 등에 관한 내용은 “”8. 시스템 개발보안””을 참고하여 적용하면 된다.

  • 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준을 수립하고 있는가?
ㅇ 정보시스템 인수 여부를 판단하기 위하여 정보시스템 및 보안시스템의 기본 보안설정 등이 반영된 인수 승인 기준을 수립하여야 한다. 또한 시스템 구매계약서 등에 반영하여 도입 과정에서 인수기준을 준수하도록 함으로써 기본 보안 설정 미흡으로 발생할 수 있는 보안취약점을 최대한 제거한 후 인수할 수 있어야 한다.

※ 기본 보안 설정 : 불필요한 시스템 계정, 디폴트 계정, 임시 계정 등 삭제, 불필요한 서비스 및 포트 차단, 백신프로그램 설치 등

  • 정보시스템 인수 전 인수기준 적합성 여부를 확인하기 위하여 테스트를 수행하고 있는가?
ㅇ 정보시스템을 인수하기 전 사전 정의한 인수기준과의 적합성 여부를 테스트 등을 통해 확인한 후 인수여부를 결정하여야 한다.

11.2.2 보안시스템 운영

보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립하고 보안시스템 별 정책적용 현황을 관리하여야 한다.

  • 조직에서 운영하고 있는 보안시스템 운영절차를 수립하고 있는가?
ㅇ 보안시스템(정보보호시스템)은 정보통신망을 통하여 수집 ∙ 저장 ∙ 검색 및 송 ∙ 수신되는 정보의 훼손 ∙ 변조 ∙ 유출 등을 방지하기 위한 장치로서 침입차단시스템(FW), 침입탐지시스템(IDS), 침입방지시스템(IPS), 웹방화벽, DB 접근통제시스템, 내부정보유출방지시스템(DLP), 가상사설망(VPN), 패치관리시스템(PMS) 등을 포함할 수 있다.

ㅇ 외부침입 탐지 및 차단, 내외부자에 의한 정보유출 방지 등을 위하여 도입 ∙ 운영하고 있는 보안시스템에 대한 운영절차를 수립하여야 한다.

– 보안시스템 유형별 책임자 및 관리자 지정
– 보안시스템 정책(룰셋 등) 적용(등록, 변경, 삭제 등) 절차
– 최신 정책 업데이트 : IDS, IPS 등의 보안시스템의 경우 새로운 공격기법을 탐지하기 위한 최신 패턴(시그너쳐) 및 엔진 지속적 업데이트, 시그너쳐
– 보안시스템 이벤트 모니터링 절차 : 정책에 위배되는 이상징후 탐지 및 확인 등 (인증기준 11.6.4 침해시도 모니터링 참고)
– 보안시스템 접근통제 정책
– 보안시스템 운영현황 주기적 점검 등

  • 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자 접근을 엄격하게 통제하고 있는가?
ㅇ 사용자 인증, 관리자 단말 IP 또는 MAC 접근통제 등의 보호대책을 적용하여 보안시스템 관리자 등 접근이 허용된 인원 이외의 비인가자 접근을 엄격히 통제하여야 한다. 또한 주기적인 보안시스템 접속로그 분석을 통해 비인가자에 의한 접근시도를 확인하고 적절한 조치를 하여야 한다. (11.6.3 접근 및 사용 모니터링 참고)
  • 보안시스템별 정책(룰셋 등) 신규 등록, 변경, 삭제 등 절차를 수립하고 정책의 타당성 검토를 주기적으로 수행하고 있는가?
ㅇ 보안시스템별로 정책(룰셋 등) 신규 등록, 변경, 삭제 등을 위한 공식적인 절차(신청, 승인, 적용 등)를 수립 ∙ 이행하여야 한다. 이는 정책(룰셋 등)의 생성 이력을 확인하기 위한 것이다.

ㅇ 또한 정책의 타당성 및 적정성을 주기적으로 검토하여 다음 사항에 해당하는 경우 정책을 삭제 또는 변경하여야 한다.

– 내부 보안정책 위배 (예 : FW 룰셋 내부망 Inbound Any 정책 허용 등)
– 미승인 정책
– 장기간 미사용 정책
– 중복 또는 사용기간 만료 정책
– 퇴직자 및 직무변경자 관련 정책 등

11.2.3 성능 및 용량관리

정보시스템 및 서비스 가용성 보장을 위해 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링할 수 있는 방법 및 절차를 수립하여야 한다.

  • 정보시스템의 성능 및 용량을 지속적으로 모니터링 하기 위한 절차를 수립 ∙ 이행하고 있는가?
ㅇ 대고객 서비스 및 내부 업무 수행의 연속성을 보장할 수 있도록 주요 정보시스템의 성능 및 용량을 지속적으로 모니터링하여야 하며 다음사항을 포함한 절차를 수립하고 이행하여야 한다.

– 성능 및 용량관리 대상 식별 기준 : 서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템을 식별하여 대상에 포함
– 정보시스템별 성능 및 용량 요구사항(임계치) 정의 : 정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치를 정함
– 모니터링 방법 : 성능 및 용량 임계치 초과여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립 (예 : 알람 등)
– 모니터링 결과 기록, 분석, 보고
– 성능 및 용량 관리 담당자 및 책임자 지정 등

  • 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우 조치절차를 수립 ∙ 이행하고 있는가?
ㅇ 정보시스템의 성능 및 용량 현황을 지속적으로 모니터링하여 요구사항(임계치)을 초과하는 경우 조치방안(예 : 정보시스템, 메모리, 저장장치 증설 등)을 수립하고 이행하여야 한다.

11.2.4 장애관리

정보시스템 장애 발생 시 효과적으로 대응하기 위한 탐지, 기록, 분석, 복구, 보고 등의 절차를 수립하여야 한다.

  • 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립 ∙ 이행하고 있는가?
ㅇ 정보시스템 장애유형 및 심각도를 정의하고 장애 발생 시 유형 및 심각도에 따라 다음과 같은 항목이 포함된 절차를 수립하고 이행하여야 한다.

– 장애유형 및 심각도 정의
– 장애유형 및 심각도별 보고 절차
– 장애유형별 탐지 방법 수립 : NMS(Network Management System) 등 관리시스템 활용
– 장애 대응 및 복구에 관한 책임과 역할 정의
– 장애기록 및 분석
– 대고객 서비스인 경우 고객 안내 절차
– 비상연락체계(유지보수업체, 정보시스템 제조사) 등

  • 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 기록 ∙ 관리하고 있는가?
ㅇ 다음항목이 포함된 ‘장애조치보고서’를 작성하여 장애발생에 관한 이력을 기록하고 관리하여야 한다.

– 장애일시
– 장애심각도 (예 : 상, 중, 하)
– 담당자, 책임자명 (유지보수업체 포함)
– 장애내용 (장애로 인한 피해 또는 영향 포함)
– 장애원인
– 조치내용
– 복구내용
– 재발방지대책 등

  • 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 수립 ∙ 이행하고 있는가?
ㅇ 일상 업무가 중단되는 장애, 과다한 비용(피해)을 초래한 장애, 반복적으로 발생하는 장애 등과 같은 심각한 장애의 경우 원인을 규명하고 재발을 방지하기 위한 대책을 수립하고 이행하여야 한다.

11.2.5 원격운영관리

내부 네트워크를 통하여 정보시스템을 관리하는 경우 특정 단말에서만 접근을 할 수 있도록 제한하고, 원격지에서 인터넷 등 외부 네트워크를 통하여 정보시스템을 관리하는 것은 원칙적으로 금지하고 부득이한 사유로 인해 허용하는 경우에는 책임자 승인, 접속 단말 및 사용자 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등의 보호대책을 수립하여야 한다.

  • 내부 네트워크를 통해서 원격으로 시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
ㅇ 내부 네트워크를 통해 정보시스템(서버, 네트워크 장비, 정보보호시스템 등)을 운영하거나 웹관리자 페이지에 접속하는 경우 관리자는 지정된 단말을 통해서만 접근 할 수 있도록 통제(IP 또는 MAC 인증 등)하여야 한다. 특히 패드, 스마트폰 등 스마트기기를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 한다. 다만 부득이한 경우 스마트기기에 대한 보안대책을 마련하고 책임자의 승인 후 사용하여야 한다.
  • 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 있으며 부득이하게 허용하는 경우 다음과 같은 대책을 마련하고 있는가?
    • 정보보호 최고책임자 승인
    • 접속 단말 및 사용자 인증
    • 한시적 접근권한 부여
    • VPN 등의 전송구간 암호화
    • 접속 단말 보안
    • 원격운영 현황 지속적인 모니터링 등
ㅇ 인터넷과 같은 외부네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 하며 긴급 장애 대응, 유지보수 등과 같이 부득이한 경우 다음과 같은 보안대책을 마련하여야 하여야 한다.

– 원격운영에 대한 정보보호 최고책임자 승인절차
– 접속 단말 및 사용자 인증절차 : ID/PW 이외의 강화된 인증방식(공인인증서, OTP 등) 적용 권고. 법적 요구사항 의무적 반영 필요.
– 한시적 접근권한 부여 : VPN 계정, 시스템 접근권한 등
– VPN 등의 전송구간 암호화
– 접속 단말 보안 (예 : 백신 설치, 보안패치 적용 등)
– 원격운영 현황(원격운영 인가자, VPN 계정 발급 현황 등) 지속적인 모니터링
– 원격 접속 기록 로깅 및 주기적 분석
– 원격운영 관련 보안인식교육 등

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치(고시)’ 제4조(접근통제)
– 개인정보보호법 ‘개인정보의 안전성 확보기준(고시)’ 제6조(접근통제 시스템 설치 및 운영)

11.2.6 스마트워크 보안

재택근무, 원격협업 등과 같은 원격 업무 수행 시 이에 대한 관리적 ∙ 기술적 보호대책을 수립하고 이행하여야 한다.

  • 재택근무, 원격협업 등과 같은 원격업무 수행, 클라우드 환경을 이용한 스마트워크 환경에서 주요정보자산을 보호하기 위한 정책 및 절차가 수립 ∙ 이행하고 있는가?
ㅇ “스마트워크”란 정보통신망을 활용하여 언제, 어디서나 편리하게 효율적으로 업무에 종사할 수 있도록 하는 업무형태를 말한다. (스마트워크 활성화를 위한 정보보호 권고 제2조)

– 스마트워크 업무형태에는 재택근무, 스마워크센터, 원격협업(영상회의 등), 모바일오피스(BYOD 포함) 등이 있다.
※ “모바일오피스”란 스마트폰, 스마트패드, 노트북 등 모바일기기를 이용하여 시간적, 공간적 제약없이 업무를 수행하는 근무환경을 말함

ㅇ 조직이 구축하고 있는 스마트워크 업무형태에 따라 위협요인을 분석하여 중요정보 유출, 해킹 등의 침해사고 예방을 위한 절차 및 보호대책을 다음과 같이 수립 ∙ 이행하여야 한다.

– 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경
– 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위
※ 스마트워크 서비스 영역과 내부네트워크 영역을 분리하고 스마트워크용 단말에서 내부네트워크 영역 직접 연결 차단 필요(중계서버 구축 등)
– 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
– 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화 (예 : VPN, SSL 인증서 등), 사용자 인증(예 : ID/PW이외 OTP, 공인인증서 등 강화된 인증방식 도입 권고) 등
– 접속 단말(PC, 모바일기기 등) 보안 : 백신 설치, 보안패치 적용, 단말 인증, 분실/도난 시 대책(신고절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요 시 암호화 조치) 등
– 스마트워크 업무 환경에서의 이용자 정보보호 지침 마련 등

※ 참고 ※
– 스마트워크 활성화를 위한 정보보호 권고 해설서 (KISA)

11.2.7 무선네트워크 보안

무선랜 등을 통해 무선인터넷을 사용하는 경우 무선 네트워크 구간에 대한 보안을 강화하기 위해 사용자 인증, 송수신 데이터 암호화 등의 보호대책을 수립하여야 한다.

  • 조직 내 무선네트워크 환경을 구축(AP 설치)할 경우 허가(승인), 보안성 검토 등 절차를 마련하고 구축에 따른 다음 (주요) 보호대책을 적용하고 있는가?
    • 무선네트워크 장비(AP) 접속 단말 인증(MAC 인증 등)
    • 무선네트워크 장비(AP) 정보 송수신 시 암호화 기능 설정(WPA2 이상 권고)
    • 무선네트워크 장비(AP) SSID 숨김(브로드캐스팅 중지) 기능 설정
ㅇ 조직 내부네트워크에 연결이 가능한 무선네트워크 환경 구축 시에는 내부 승인절차를 마련하여 비인가된 (사설)무선네트워크 장비(Rogue AP : Access Point)를 운영하지 않도록 하여야 하며 사전 보안성 검토를 수행하여 다음과 같은 보호대책을 적용하여야 한다.

– 무선네트워크 장비 접속 단말기 인증 및 보안
– 무선네트워크 장비 (예 : AP, Access Point) 보안 및 허용 장비 리스트
– 무선 네트워크를 통하여 접근 할 수 있는 정보시스템 범위 정의
– 무선네트워크 사용권한 신청/변경/삭제 절차
– 사용자 식별 및 인증
– 무선네트워크 서비스 거리 제한 (주파수 세기 조정)
– 정보송수신 시 무선망 암호화 기준 (예 : WPA2)
– 전산실 등 통제구역 내 무선네트워크 사용 제한
– SSID(Service Set IDentification) 브로드캐스팅 중지 및 추측 어려운 SSID 사용 등

ㅇ 내부네트워크에 무선네트워크 환경을 구축하는 것은 업무의 편리성을 증대할 수는 있으나 충분한 보호대책 마련 없이 적용할 경우 내부 정보유출, 해킹 등의 심각한 상황을 초래할 수 있으므로 업무상 반드시 필요한 경우를 제외하고는 매우 신중하게 접근하여야 한다.

※ 참고 ※
– 알기쉬운 무선랜 보안 안내서 및 무선랜 보안안내서 (KISA)

  • 정상적인 절차에 따라 무선네트워크 사용을 허가한 경우 인가된 임직원만 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립하고 있는가?
ㅇ 외부인이 무선네트워크 통해 내부네트워크(업무망)에 접속할 수 없도록 인가받은 임직원만 무선네트워크을 사용할 수 있도록 필요한 절차를 마련하여야 한다.
  • 외부인에게 제공하는 무선네트워크를 내부네트워크(업무망)와 분리하고 있는가?
ㅇ 회의실, 교육장, 기자실, 민원실 등 외부인의 접근이 빈번한 장소인 경우 외부인에게 무선네트워크 사용을 허용할 수 있으나 내부네트워크(업무망)과 분리하여 무선네트워크를 통한 내부네트워크 침투 및 내부 정보유출을 방지하여야 한다.

11.2.8 공개서버 보안

웹사이트 등에 정보를 공개하는 경우 정보 수집, 저장, 공개에 따른 허가 및 게시절차를 수립하고 공개서버에 대한 물리적, 기술적 보호대책을 수립하여야 한다.

  • 웹서버 등 공개 서버를 운영하는 경우 이에 대한 보호대책을 마련하고 있는가?
ㅇ 공개서버(웹서버, 메일서버 등)를 운영하는 경우 다음과 같은 보호대책을 마련하여야 한다.

– 공개서버 전용서버로 운영
– 웹서버를 통한 개인정보 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축
– 접근권한 설정
– 백신설치 및 OS 최신 패치
– 불필요한 서비스 제거 및 포트 차단
– 불필요한 소프트웨어 ∙ 스크립트 ∙ 실행파일 등 설치 금지 등
– 불필요한 페이지(테스트 페이지) 및 에러처리 미흡에 따른 시스템 정보 노출 방지
– 주기적인 취약점 점검 등

  • 공개서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone)영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가?
ㅇ 공개서버(웹서버, 메일서버 등)는 DMZ 영역에 설치하고 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용하여야 한다.

– DMZ의 공개서버가 내부 네트워크에 위치한 DB, WAS(Web Application Server) 등의 정보시스템과 접속이 필요한 경우 엄격하게 접근통제 정책을 적용하여야 한다.

  • 공개서버의 취약점 점검을 주기적으로 수행하고 발견된 취약점을 조치하고 있는가?
ㅇ 웹서버의 경우 최소한 OWASP TOP 10 웹취약점은 기본적으로 점검하여 취약점이 발견된 경우 신속하게 조치를 하여야 한다. (인증기준 11.2.10 취약점 점검 참고)

※ 참고 ※
– 전자금융거래법 ‘전자금융감독규정(고시)’ 제17조(홈페이지 등 공개용 웹서버 관리대책)
– 웹서버구축 보안점검 안내서 (KISA)

  • 웹사이트에 중요정보를 게시하거나 웹서버에 중요정보를 저장하여야 할 경우 책임자 승인 등 게시절차를 수립∙이행하고 중요정보 노출 여부를 주기적으로 확인하고 있는가?
ㅇ 웹서버의 보안설정 미흡, 기술적 취약점, 담당자의 실수 등으로 인해 조직의 중요정보(개인정보, 기밀정보 등)가 외부로 누출되는 경우(무단게시 등)가 빈번하게 발생하고 있다. 이를 예방하기 위하여 웹사이트에 정보를 공개하거나 업무상 웹서버에 중요정보를 저장하여야 할 경우 허가 및 게시절차를 수립하여 이행하여야 한다. 다만 원칙적으로 DMZ 구간내 웹서버에 조직의 중요정보(개인정보, 기밀정보 등)를 저장 관리하지 않는 것이 바람직하다.

ㅇ 또한 게시절차 위반 등으로 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다.

11.2.9 백업관리

데이터의 무결성 및 정보시스템의 가용성을 유지하기 위해 백업 대상, 주기, 방법 등의 절차를 수립하고 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

  • 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립 ∙ 이행하고 있는가?
ㅇ IT 재해, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 및 복구 절차를 수립하고 이행하여야 한다.

– 백업대상 선정기준 수립
– 백업담당자 및 책임자 지정
– 백업대상별 백업 주기 및 보존기한 정의
– 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등
– 백업매체 관리 (예 : 라벨링, 보관장소, 접근통제 등)
– 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해복구 측면(인증기준 13. IT재해복구 참고)에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요
– 백업관리대장 관리 등

ㅇ 백업대상은 중요정보(개인정보, 기밀정보 등), 문서, 각종 로그(정보시스템 보안감사로그, 이벤트 로그, 정보보호시스템 이벤트 로그 등), 환경설정파일 등 대상 정보 및 정보시스템의 중요도를 고려하여 선정하여야 하며 정해진 절차에 따라 백업관리를 수행하여야 한다.

  • 중요정보가 저장된 백업매체의 경우 재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
ㅇ 중요정보가 저장된 백업매체는 운영중인 정보시스템 혹은 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리하여야 한다.

– 소산일자 (반출, 반입 등)
– 소산 백업매체 및 백업정보 내용

ㅇ 주기적으로 관리대장에 따라 소산 여부를 실사하여야 한다.

ㅇ 소산장소에 대해 다음과 같은 보안대책을 마련하여야 한다.

– 화재, 홍수와 같은 자연재해에 대한 대책 (예 : 내화금고, 방염처리 등)
– 접근통제 등

11.2.10 취약점 점검

정보시스템이 알려진 취약점에 노출되어 있는 지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치하여야 한다.

  • 정보시스템 취약점 점검 절차를 수립하여 정기적으로 점검을 수행하고 있는가?
ㅇ 정보시스템 취약점 점검 정책과 절차를 다음과 같은 내용을 포함하여 수립하여야 한다.

– 취약점 점검 대상 (예 : 서버, 네트워크 장비 등)
– 취약점 점검 주기
– 취약점 점검 담당자 및 책임자 지정
– 취약점 점검 절차 및 방법 등

ㅇ 정보시스템 중요도에 따라 주기적으로 다음과 같은 내용을 포함하여 취약점 점검을 실시하여야 한다.

– 라우터, 스위치 등 네트워크 장비 구성, 설정 취약점
– 서버 OS, 보안 설정 취약점
– 방화벽 등 정보보호시스템 취약점
– 어플리케이션 취약점
– 웹서비스 취약점
– 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점

ㅇ 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려하여야 한다.

ㅇ 취약점 점검 시 이력관리가 될 수 있도록 ‘점검일시’, ‘점검대상’, ‘점검방법’, ‘점검내용 및 결과’, ‘발견사항’, ‘ 조치사항’ 등이 포함된 보고서를 작성하여야 한다.

  • 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?
ㅇ 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치결과를 문서화하여야 하며 조치결과서를 작성하여 책임자에게 보고하여야 한다.

– 불가피하게 조치를 할 수 없는 취약점의 경우 그 사유를 명확하게 확인하고 책임자에게 보고하여야 한다.

11.3 전자거래 및 정보전송 보안

11.3.1 전자거래 보안

전자거래 서비스 제공 시 정보유출, 데이터 조작, 사기 등의 침해사고를 예방하기 위해 사용자 인증, 암호화, 부인방지 등의 보호대책을 수립하고 결제시스템 등 외부 시스템과의 연계가 필요한 경우 연계 안전성을 점검하여야 한다.

  • 전자(상)거래서비스를 제공하는 경우 전자(상)거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립 ∙ 이행하고 있는가?
ㅇ “전자거래”는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말한다. (전자문서 및 전자거래 기본법 제2조)

ㅇ “전자상거래”는 전자거래의 방법으로 상행위를 하는 것을 말한다. (전자상거래 등에서의 소비자보호에 관한 법률 제2조)

ㅇ 전자(상)거래사업자는 전자(상)거래의 안정성과 신뢰성을 확보하기 위하여 전자(상)거래이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해사고를 예방하기 위한 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 한다. 보호대책 수립 시에는 다음과 같은 법률 등을 고려하여야 한다.

※ 참고 ※
– 전자문서 및 전자거래 기본법
– 전자상거래 등에서의 소비자 보호에 관한 법률
– 정보통신 이용촉진 및 정보보호 등에 관한 법률
– 개인정보보호법
– 전자금융거래법 등

  • 전자(상)거래 서비스 제공을 위하여 전자적 수단의 거래대금 지급방법을 이용하는 경우 전자(상)거래사업자와 전자결제업자간에 송 ∙ 수신되는 결제관련 정보의 보호를 위한 대책을 수립 ∙ 이행하고 있는가?
ㅇ “전자결제업자”는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조) 다음에 해당하는 자를 말한다.

– 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록저장하였다가 재화 등의 구매 시 지급하는 자), PG사

※ PG(Payment Gateway)사는 인터넷 상에서 금융 기관과 하는 거래를 대행해 주는 서비스. 신용 카드, 계좌 이체, 핸드폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사

ㅇ 전자(상)거래사업자와 전자결제업자간에 송 ∙ 수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자간 피해가 발생하지 않도록 적절한 보호대책을 수립하여 이행하여야 한다.

11.3.2 정보전송 정책 수립 및 협약 체결

타 조직에 중요정보를 전송할 경우 안전한 전송을 위한 정책을 수립하고 조직 간 정보전송 합의를 통해 관리 책임, 전송 기술 표준, 중요정보의 보호를 위한 기술적 보호조치 등을 포함한 협약서를 작성하여야 한다.

  • 업무상 조직 간에 중요정보(개인정보, 기밀정보 등)를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립 ∙ 이행하고 있는가?
ㅇ 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호 교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 한다.

– 관련 업무 정의 : DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등
– 정보전송 범위 정의 : 법규 준수 또는 정보유출 위험을 예방하기 위해 업무상 필요한 최소한의 정보만을 송·수신
– 담당자 및 책임자 지정
– 정보 전송 기술 표준 정의 (예 : 정보 전송 시 협의 등)
– 정보 전송, 저장, 파기 시 관리적∙기술적 ∙ 물리적 보호대책 등

※ DM(Direct Mail advertising) : 우편물을 통한 홍보활동을 의미하며 편지, 엽서, 안내장, 리플렛, 카다롤그, 청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단

11.4 매체 보안

11.4.1 정보시스템 저장매체 관리

정보시스템 폐기 또는 재사용 시 중요정보를 담고 있는 하드디스크, 스토리지, 테잎 등의 저장매체 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요정보는 복구 불가능하도록 완전히 삭제하여야 한다.

  • 정보시스템 폐기 또는 재사용 발생 시 중요정보를 담고 있는 저장매체 처리(폐기, 재사용) 절차를 수립 ∙ 이행하고 있는가?
ㅇ 사용연한 경과, 고장 등의 사유로 정보시스템을 폐기 또는 재사용(양도, 내부판매, 재활용 등)할 경우 저장매체 처리에 관한 절차를 수립하여 저장매체에 저장된 중요정보 유출을 방지하여야 한다.

– 저장매체 확인 및 승인 : 정보시스템 폐기 또는 재사용 시 저장매체 확인하고 폐기 또는 재사용 여부 결정
– 저장매체 폐기, 재사용에 따른 처리방법 정의 (예 : 폐기 → 물리적 폐기 ∙ 디가우징 등, 재사용 → 완전 포맷)
– 저장매체 처리 확인 및 기록

  • 저장매체 폐기 또는 재사용 시 정보가 복구되지 않는 방법으로 처리하고 있는가?
ㅇ 저장매체의 폐기 시 물리적, 전자적으로 완전파괴하고 재사용 시에는 완전포맷 방식으로 정보를 삭제하여야 한다. “완전포맷”은 저장매체 전체의 자료저장 위치에 새로운 자료를 중복하여 저장하는 것을 의미하여 완전포맷 횟수는 조직이 스스로 정하여 적용할 수 있다.
  • 자체적으로 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인증적을 함께 보관하고 있는가?
ㅇ조직이 자체적으로 저장매체 폐기할 경우 폐기이력에 대한 감사증적을 확보할 수 있도록 다음항목이 포함된 관리대장을 작성하고 관련 책임자가 확인하여야 한다.

– 폐기일자
– 폐기 담당자, 확인자명
– 폐기방법
– 폐기확인증적(사진 등) 등

  • 외부업체를 통해 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전한 폐기에 대한 확인을 하고 있는가?
ㅇ 아웃소싱등 외부업체를 통해 저장매체를 폐기할 경우, 내부 폐기정책과 절차 내용을 계약서에 명시하고 폐기 시 가능하면 외부업체와 함께 현장에서 함께 폐기현장을 실사하고 폐기증적을 사진, 동영상 등으로 받아 확인하여야 한다.
  • 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?
ㅇ 정보시스템, PC 등 유지보수, 수리과정에서 저장매체 교체, 복구 등의 상황 발생 시 저장매체 내 중요정보를 보호하기 위하여 유지보수 신청 전 데이터 이관 및 파기, 암호화, 계약 시 비밀유지서약 등과 같은 보호대책을 마련하여야 한다.

11.4.2 휴대용 저장매체 관리

조직의 중요정보 유출을 예방하기 위해 외장하드, USB, CD 등 휴대용 저장매체 취급, 보관, 폐기, 재사용에 대한 절차를 수립하여야 한다. 또한 매체를 통한 악성코드 감염 방지 대책을 마련하여야 한다.

  • 외장하드, USB, CD 등 휴대용 저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립 ∙ 이행하고 있는가?
ㅇ “휴대용 저장매체”라 함은 디스켓, 외장형 하드디스크, USB 메모리, CD, DVD 등 자료를 저장할 수 있는 일체의 것으로 PC 등의 정보통신시스템과 분리할 수 있는 기억장치를 말한다.

ㅇ 업무용으로 개인 휴대용 저장매체를 사용하는 것은 원칙적으로 금지하여야 하며 업무 목적상 외장하드, USB 메모리, CD 등 휴대용 저장매체를 사용하여야 하는 경우 허가된 저장매체만 사용할 수 있도록 다음과 같은 정책 및 절차를 수립하고 이행하여야 한다.

– 휴대용 저장매체 취급(사용)범위 : 통제구역, 제한구역 등 보호구역별 저장매체 사용 정책 및 절차 수립
– 휴대용 저장매체 사용허가 및 등록절차
– 휴대용 저장매체 반출, 반입 절차
– 휴대용 저장매체 폐기, 재사용에 대한 절차
– 휴대용 저장매체 보호대책 등

  • 주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 휴대용 저장매체 사용을 제한하고 있는가?
ㅇ 주요 정보시스템이 위치한 통제구역(전산실 등), 조직 내 중요정보에 접근이 가능한 제한구역(운영실, 관제실 등)에서는 휴대용 저장매체의 사용 및 반입을 엄격하게 제한하여야 한다. 불가피하게 사용할 경우 책임자의 허가절차를 거친 후 적법한 절차에 따른 사용여부 확인을 위하여 지속적인 점검을 수행하여야 한다.
  • 휴대용 저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가?
ㅇ 휴대용 저장매체를 통해 바이러스, 악성코드가 유포되지 않도록 휴대용 저장매체가 연결되는 단말기에 다음과 같은 대책을 적용하고 주기적으로 점검하여야 한다.

– 휴대용 저장매체 자동실행 기능 해지
– 휴대용 저장매체 이용 시 바이러스 및 악성코드 사전(자동) 검사
– 휴대용 저장매체 내 숨김파일 및 폴더 등이 표시되도록 PC 등 단말기 옵션 변경 등

ㅇ 조직의 중요정보(개인정보, 기밀정보 등)의 경우 휴대용 저장매체 저장을 제한하고 업무상 저장이 필요한 경우에는 암호화 등의 보호대책을 마련하여 매체 분실, 도난 등에 따른 중요정보 유출을 방지하여야 한다.

  • 휴대용 저장매체 보유현황 및 관리실태를 주기적으로 점검하고 있는가?
ㅇ 업무목적으로 사용이 허용된 휴대용 저장매체의 경우 식별번호, 유형, 사용목적, 관리자, 책임자 등이 명시된 보유목록을 작성하고 주기적인 자산실사를 통해 목록을 현행화하여야 한다.

11.5 악성코드 관리

11.5.1 악성코드 통제

바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위해 악성코드 예방, 탐지, 대응 등의 보호대책을 수립하여야 한다.

  • 바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위하여 보호대책을 수립 ∙ 이행하고 있는가?
ㅇ 바이러스, 웜, 트로이목마 등의 악성코드로부터 내부 정보시스템을 보호하기 위하여 다음항목을 포함한 지침 및 절차를 수립하여야 한다.

– 사용자 PC 사용지침 (불분명한 이메일 및 파일 열람 금지, 허가받지 않은 프로그램 다운로드 및 설치 금지 등)
– 백신프로그램 설치 범위 및 절차
– 백신프로그램을 통한 주기적인 악성코드 감염여부 모니터링 정책
– 사용자 교육 및 정보제공

ㅇ 백신프로그램 설치 범위는 다음사항을 고려하여 정하여야 한다.
– 내부 네트워크에서 사용되는 업무용 단말기 (PC, 노트북 등)
– 정보자산 중요도 평가 과정에서 등급이 높은 정보자산(인증기준 4.2.1 보안등급과 취급 참고)
(예 : DMZ 구간의 공개서버, 공개서버와 연계되어 있는 서버(WAS, DB 등), 중요정보가 저장되어 있는 DB, 기타 중요하다고 판단되는 정보자산 (DNS, DHCP 등))
– 정보통신망 이용촉진 및 정보보호 등에 관한법률 시행령에 따른 개인정보처리시스템, 개인정보처리에 이용되는 정보기기 (PC, 노트북 등 단말기)
– 윈도우, 리눅스, 유닉스 등 다양한 운영체제

ㅇ 기존 시스템 환경과 충돌이 발생하여 백신프로그램을 설치할 수 없는 경우에는 책임자의 승인을 받고 보완대책을 마련하여 관리하여야 한다.

※ 참고 ※
– 백신프로그램 이용 안내서 (KISA)

  • 백신프로그램 등을 통한 최신 악성코드 예방, 탐지 활동을 지속적으로 수행하고 있는가?
ㅇ 악성코드가 정보시스템과 PC 등의 단말기에 유입되어 확산되는 것을 방지하기 위하여 다음 사항을 포함한 예방, 탐지 활동을 수행하여야 한다.

– 전자우편 등 첨부파일에 대한 악성코드 감염 여부 검사
– 실시간 악성코드 감시 및 치료
– 주기적인 악성코드 점검 : 자동 바이러스 점검 일정 설정
– 백신엔진 최신버전 유지 : 주기적 업데이트 등

  • 악성코드 감염 발견 시 악성코드 확산 및 피해 최소화 등의 대응절차를 수립 ∙ 이행하고 있는가?
ㅇ 악성코드 감염 발견 시 추가적인 확산과 피해 최소화를 위하여 다음과 같은 항목이 포함된 대책을 마련하여야 한다.

– 악성코드 감염 발견 시 대처 절차 (예 : 네트워크케이블 분리 등)
– 비상연락망 (예: 백신업체 담당자, 관련 기관 연락처 등)
– 대응보고서양식 (발견일시, 대응절차 및 방법, 대응자, 방지대책 포함) 등

11.5.2 패치관리

소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인해 발생할 수 있는 침해사고를 예방하기 위해 최신 패치를 정기적으로 적용하고 필요한 경우 시스템에 미치는 영향을 분석하여야 한다.

  • 서버, 네트워크 장비, 보안시스템, PC 등 자산 중요도 또는 특성에 따라 OS, 소프트웨어 패치관리 정책 및 절차를 수립 ∙ 이행하고 있는가?
o 운영체제(서버, 네트워크, PC 등) 및 (상용) 소프트웨어(오피스 프로그램, 백신, DBMS 등) 의 경우 지속적으로 취약점이 발견되며 이를 해결하기 위한 패치(patch)파일도 지속적으로 공개된다. 따라서 서버, 네트워크 장비, PC 등에 설치되어 있는 운영체제, 소프트웨어 패치적용을 위한 정책 및 절차를 수립하여 이행하여야 한다.

– 서버, 네트워크 장비, 보안시스템, PC 등 대상별 패치정책 및 절차 : 패치정보 입수 및 적용방법 등
– 패치 담당자 및 책임자 지정
– 패치 관련 업체(제조사) 연락처 등

  • 주요 서버, 네트워크 장비 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 관리하고 있는가?
ㅇ 주요 서버, 네트워크 장비, 보안시스템 등에 설치된 운영체제, 소프트웨어 버전 정보, 패치일 등을 확인할 수 있도록 목록 등으로 관리하고 최신 보안패치 여부를 주기적으로 확인하여야 한다.
  • 주요 서버, 네트워크 장비, 정보보호시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
ㅇ 일반적으로 통제구역(전산실 등)에 위치하고 있는 서버, 네트워크 장비, 정보보호시스템에 관련 패치를 적용하여야 할 경우 공개 인터넷 접속을 통한 패치적용은 원칙적으로 금지하여야 한다. 다만 불가피한 경우 사전 위험분석을 통해 보호대책을 마련한 후 책임자 승인 후 적용하여야 한다.
  • 패치관리시스템(PMS)를 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
ㅇ 패치관리시스템(PMS)의 경우 내부망 서버 또는 PC에 악성코드 유포에 활용될 수 있으므로 패치관리시스템(PMS) 서버, 관리 콘솔에 대한 접근통제(관리자 이외의 비인가자 접근 차단, 패스워드 주기적 변경, 임시계정 삭제 등) 등 충분한 보호대책을 마련하여야 한다.

– 패치관리시스템은 업데이트를 내려 받는 경우 해당 업데이트 파일이 변조되었는지 확인하기 위한 무결성 점검 기능이 있는 지 확인하고 도입하는 것이 좋다.

  • 운영시스템 경우 패치 적용하기 전 시스템 가용성에 미치는 영향을 분석하여 패치를 적용하고 있는가?
ㅇ 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 패치 적용은 운영시스템의 중요도와 특성을 고려하여 위험도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 책임자 승인 후 적용하여야 한다. 다만 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리하여야 한다.

11.6 로그관리 및 모니터링

11.6.1 시각 동기화

로그기록의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위해 정보시스템 시각을 공식 표준시각으로 정확하게 동기화 하여야 한다.

  • 각 정보시스템 시각을 표준시각으로 동기화하고 있는가?
ㅇ 로그기록 시간의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위하여 타임서버 등을 이용하여 주기적으로 시각의 설정 및 동기화 여부를 점검하여야 한다. 예를 들어 NTP(Network Time Protocol) 등의 방법을 활용하면 시스템간 시간을 동기화할 수 있다.

11.6.2 로그기록 및 보존

정보시스템, 응용프로그램, 보안시스템, 네트워크 장비 등 기록해야 할 로그유형을 정의하여 일정기간 보존하고 주기적으로 검토하여야 한다. 보존기간 및 검토주기는 법적요구사항을 고려하여야 한다.

  • 주요 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 로깅하고 있는가?
    • 로그기록 및 보존이 필요한 주요 정보시스템 지정
    • 각 시스템 및 장비별 로그유형 및 보존기간 정의
    • 로그기록 보존(백업) 방법
ㅇ 서비스 및 업무 중요도를 고려하여 로그 기록 및 보존이 필요한 주요 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비, DB 등)을 지정하고 각 시스템 및 장비별로 기록하여야 할 로그유형 및 보존기간을 정하여야 한다. 특히 로그유형 및 보존기간(최소 6개월 이상 권고)은 법적요건을 고려하여 정하여야 한다.

– 로그 기록 및 보존이 필요한 시스템 및 장비는 정보자산의 중요도 평가 과정(인증기준 4.2.1 보안등급과 취급 참고)을 통해 정할 수 있으며 서비스 및 업무 지원을 위한 핵심 정보보호시스템은 대상에 포함하여야 한다. 특히 법률(정보통신 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법 등)에서 정하고 있는 개인정보처리시스템은 대상에 포함하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치(고시)’ 제4조(접근권한의 관리) 및 제8조 (접속기록의 보관 및 위 ∙ 변조 방지)

ㅇ 각 정보시스템별 로그유형은 다음과 같이 정할 수 있다.

– 보안관련 감사로그 : 사용자 접속기록(사용자식별정보 : ID, 접속일시, 접속지 : 단말기 IP, 수행업무 : 정보생성, 수정, 삭제, 검색 출력 등), 인증 성공/실패 로그, 파일 접근, 계정 및 권한 등록/변경/삭제 등
– 시스템 이벤트 로그 : 운영체제 구성요소에 의해 발생되는 로그(시스템 시작, 종료, 상태, 에러코드 등)
– 보안시스템 정책(룰셋 등)등록/변경/삭제 및 이벤트 로그
– 기타 정보보호 관련 로그

  • 로그기록은 별도 저장장치를 통해 백업하고 로그기록에 대한 접근권한 부여를 최소화 하고 있는가?
ㅇ 로그기록은 스토리지 등 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한부여는 최소화하여 비인가자에 의한 로그기록 위변조 및 삭제 등이 발생하지 않도록 하여야 한다.

– 위변조 방지대책은 개인정보, 기밀정보 취급 이력 로그에 한해서 적용할 수 있다.

※ 참고 ※
– 정보통신 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 (개인정보의 보호조치)

11.6.3 접근 및 사용 모니터링

중요정보, 정보시스템, 응용프로그램, 네트워크 장비에 대한 사용자 접근이 업무상 허용된 범위에 있는 지 주기적으로 확인하여야 한다.

  • 중요정보 및 주요 정보시스템에 대한 사용자 접속 기록을 주기적으로 검토(모니터링)하고 있는가?
ㅇ 중요정보(개인정보, 기밀정보 등) 및 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비 등) 사용자 접속기록을 주기적으로 검토하여 중요정보 및 정보시스템 오남용 등의 이상징후를 확인하여야 한다. 다음 사항이 포함된 검토(모니터링)절차를 수립하고 절차에 따라 이행하여야 한다.

– 검토대상 : 사용자 접속기록을 검토할 중요정보 및 주요 정보시스템 선정
– 검토주기 : 월 1회 이상 권고
– 검토기준 및 방법 : 업무목적 이외의 중요정보 과다처리(조회, 변경, 삭제 등), 업무시간 외 접속, 비정상적인 접속(미승인 계정 접속 등)등의 기준 및 확인 방법 수립
– 검토 담당자 및 책임자 지정
– 이상징후 대응절차 등

※ 참고 ※
– 정보통신 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치(고시)’ 제5조 (접속기록의 위 ∙ 변조 방지)

  • 사용자 접속기록 검토결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?
ㅇ 사용자 접속기록을 검토기준에 따라 검토 한 후 이상징후 여부 등 그 결과를 관련 책임자에게 보고하여야 한다. 또한 이상징후 발견 시 정보유출, 해킹 등 발생 여부를 확인하기 위한 절차를 수립하고 절차에 따라 대응하여야 한다.

11.6.4 침해시도 모니터링

외부로부터의 침해시도를 모니터링 하기 위한 체계 및 절차를 수립하여야 한다.

  • 외부로부터의 침해시도가 의심되는 이상징후를 지체 없이 인지할 수 있도록 모니터링 체계 및 절차를 수립하고 있는가?
ㅇ 외부로부터의 침해시도가 의심되는 이상징후를 지체없이 인지할 수 있도록 다음과 같은 항목이 포함된 모니터링 절차를 수립하여 이행하여야 한다.

– 모니터링 대상범위 : 침해시도 탐지 및 차단하기 위한 각종 정보보호시스템 이벤트 로그 등
– 모니터링 방법 : 외부 전문업체를 통한 모니터링, 자체 모니터링 체계 구축 등
– 담당자 및 책임자 지정
– 모니터링 결과 보고체계
– 침해시도 발견 시 대응절차 등

ㅇ 조직의 규모 및 정보시스템 중요도가 높은 경우 24시간 침해시도 실시간 모니터링 수행을 고려하여야 한다.