securityse lab

 ㅇ IT 재해 발생 시 신속한 복구가 가능하도록 다음과 같은 내용을 포함하여 IT 재해복구 체계를 구축하여야 한다.

- 재해 시 복구조직 및 역할 정의 :  IT 재해 발생 시 복구를 위한 관련부서 및 담당자 역할과 책임 부여

- 비상연락체계 : 조직 내 관련 부서 담당자, 유지보수 업체 등 복구 조직상 연락체계 구축

- 복구전략 및 대책 수립방법론 : 업무영향분석, 복구목표시간 및 복구시점 정의, 핵심 IT 서비스 및 시스템 식별 등

- 복구순서정의 : 복구목표시간별로 정보시스템의 복구순서 정의

- 복구절차 : 재해발생, 복구완료, 사후관리 단계 포함   

 ㅇ IT 재해복구는 각종 재해 및 위험요인으로 인한 IT 서비스 중단 시 정상 기능으로 복구하는 모든 절차와 행위를 말한다. IT 서비스 중단을 초래할 수 있는 IT 재해 위험요인은 다음과 같다. 

- 자연재해 : 화재, 홍수, 지진, 태풍 등

- 외부요인 : 해킹, 통신장애, 전력 수급 중단 등

- 내부요인 : 시스템 결함, 기계적 오류, 사용자 실수, 의도적∙악의적 운영, 핵심 운영자 근무 이탈(사망, 병가, 휴가, 이직 등), 환경설정 오류 등

ㅇ IT 재해 발생으로 조직의 핵심 서비스(업무) 중단 시 피해규모 및 영향을 분석하여 핵심 IT 서비스 및 시스템을 식별하여야 한다. 피해규모 및 업무영향분석 시 다음사항을 고려할 수 있다. 

- 매출감소, 계약위약금 지급 등 재무적 측면

- 손해배상 소송 등 법적 측면

- 대외 이미지 하락 등 

 ㅇ IT 서비스 및 시스템 중단시점부터 복구되어 정상가동 될 때까지의 복구목표시간(RTO : Recovery Time Objective)과 데이터가 복구되어야 하는 복구시점(RPO : Recovery Point Objective)을 정의하여야 한다.

ㅇ IT 재해발생 시 사전 정의한 서비스 및 시스템 복구목표시간 및 복구시점을 달성할 수 있도록 비용효과적인 복구전략 및 대책을 수립하여야 하며 실제로 IT 재해발생 시에는 사전 마련한 복구전략 및 대책에 따라 신속하게 복구를 하여야 한다.

 ㅇ IT 서비스 및 시스템 복구전략 및 대책이 복구 목표를 달성하기에 효과적인 지 여부를 확인하기 위하여 시험 시나리오, 일정, 방법, 절차 등을 포함하는 시험계획을 수립하여야 한다.

또한 시험계획에 따라 정기적인 시험을 실시하여 복구전략 및 대책이 효과를 발휘하는지, 비상시 복구조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검하여야 한다. 

 ㅇ 시험 결과, IT 환경 변화, 법률 등에 따른 변화 등 조직 내외의 변화를 반영하지 못한 복구전략 및 대책은 실효성이 떨어질 수 있으므로, 공식적인 변화관리 절차를 마련하고, 이에 따라 현실을 반영, 보완하도록 하여야 한다.

ㅇ 침해사고의 정의 및 범위, 긴급연락체계 구축, 침해사고 발생시 보고 및 대응 절차, 사고 복구조직의 구성 등을 포함한 침해사고 대응절차를 수립하여야 한다.

 ㅇ 침해사고를 효과적으로 모니터링하고 신속하게 대응하기 위해서는 중앙집중적인 대응체계를 수립하여야 한다.

 ㅇ 침해사고를 유형 및 중요도에 따라 분류하고 분류에 따른 보고체계를 정의하여야 한다.

 ㅇ 침해사고 대응체계를 외부 기관을 통해 구축한 경우 수립된 침해사고 대응절차 및 체계를 계약서에 반영하여야 한다.

 ㅇ 침해사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가, 전문업체, 전문기관(KISA) 등과의 연락 및 협조체계를 수립하여야 한다.

 ㅇ 침해사고 대응절차 및 방법에 대한 적정성과 효과성을 평가하기 위하여 주기적으로 침해사고 대응 훈련을 수행하여야 한다.

 ㅇ 하드웨어 및 소프트웨어상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 신속하게 보고하여야 한다.

 ㅇ 침해사고 발생시 침해사고보고서가 작성되어야 하고, 보고서에는 다음과 같은 사항이 포함하여야 한다.

- 침해사고 발생일시

- 보고자와 보고일시

- 사고내용 (발견사항, 피해내용 등) 

- 사고대응 경과 내용

- 사고대응까지의 소요시간 등 

 ㅇ 조직의 유 ∙ 무형 자산에 심각한 영향을 끼칠 수 있는 침해사고가 발견되거나 발생한 경우 최고경영층까지 보고하여야 한다.

 ㅇ 침해사고 발생 시 법률이나 규정 등에 따라 관계기관에 신고하여야 하며 개인정보와 관련한 침해사고는 이용자(정보주체)에게 신속하게 통지하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3(침해사고의 신고 등)

- 개인정보보호법 제34조(개인정보 유출 통지 등)  

 ㅇ 침해사고 처리와 복구는 수립된 절차에 따라 수행하여야 하며 침해사고 이력관리를 위하여 사고발생부터 처리 및 복구 종료까지의 진행경과를 보고서로 작성하여야 한다.

 ㅇ 침해사고가 처리되고 종결된 후 이에 대한 분석이 수행되어야 하며 그 결과가 보고되어야 한다.

 ㅇ 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하여야 한다.

 ㅇ 침해사고 분석을 통해 얻어진 정보를 활용하여 유사사고가 반복되지 않도록 하는 재발방지 대책을 수립하여야 한다.

ㅇ 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호정책 및 절차 등의 사고대응체계에 대한 변경을 수행하여야 한다. 

ㅇ 바이러스, 웜, 트로이목마 등의 악성코드로부터 내부 정보시스템을 보호하기 위하여 다음항목을 포함한 지침 및 절차를 수립하여야 한다.

- 사용자 PC 사용지침 (불분명한 이메일 및 파일 열람 금지, 허가받지 않은 프로그램 다운로드 및 설치 금지 등)

- 백신프로그램 설치 범위 및 절차

- 백신프로그램을 통한 주기적인 악성코드 감염여부 모니터링 정책

- 사용자 교육 및 정보제공

ㅇ 백신프로그램 설치 범위는 다음사항을 고려하여 정하여야 한다.

- 내부 네트워크에서 사용되는 업무용 단말기 (PC, 노트북 등)

- 정보자산 중요도 평가 과정에서 등급이 높은 정보자산(인증기준 4.2.1 보안등급과 취급 참고)

(예 : DMZ 구간의 공개서버, 공개서버와 연계되어 있는 서버(WAS, DB 등), 중요정보가 저장되어 있는 DB, 기타 중요하다고 판단되는 정보자산 (DNS, DHCP 등))  

- 정보통신망 이용촉진 및 정보보호 등에 관한법률 시행령에 따른 개인정보처리시스템, 개인정보처리에 이용되는 정보기기 (PC, 노트북 등 단말기)

- 윈도우, 리눅스, 유닉스 등 다양한 운영체제

ㅇ 기존 시스템 환경과 충돌이 발생하여 백신프로그램을 설치할 수 없는 경우에는 책임자의 승인을 받고 보완대책을 마련하여 관리하여야 한다. 

※ 참고 ※

- 백신프로그램 이용 안내서 (KISA) 

 ㅇ 악성코드가 정보시스템과 PC 등의 단말기에 유입되어 확산되는 것을 방지하기 위하여 다음 사항을 포함한 예방, 탐지 활동을 수행하여야 한다. 

- 전자우편 등 첨부파일에 대한 악성코드 감염 여부 검사

- 실시간 악성코드 감시 및 치료 

- 주기적인 악성코드 점검 : 자동 바이러스 점검 일정 설정

- 백신엔진 최신버전 유지 : 주기적 업데이트 등 

 ㅇ 악성코드 감염 발견 시 추가적인 확산과 피해 최소화를 위하여 다음과 같은 항목이 포함된 대책을 마련하여야 한다.

- 악성코드 감염 발견 시 대처 절차 (예 : 네트워크케이블 분리 등)

- 비상연락망 (예: 백신업체 담당자, 관련 기관 연락처 등)

- 대응보고서양식 (발견일시, 대응절차 및 방법, 대응자, 방지대책 포함) 등 

 o 운영체제(서버, 네트워크, PC 등) 및 (상용) 소프트웨어(오피스 프로그램, 백신, DBMS 등) 의 경우 지속적으로 취약점이 발견되며 이를 해결하기 위한 패치(patch)파일도 지속적으로 공개된다. 따라서 서버, 네트워크 장비, PC 등에 설치되어 있는 운영체제, 소프트웨어 패치적용을 위한 정책 및 절차를 수립하여 이행하여야 한다.

- 서버, 네트워크 장비, 보안시스템, PC 등 대상별 패치정책 및 절차 : 패치정보 입수 및 적용방법 등

- 패치 담당자 및 책임자 지정

- 패치 관련 업체(제조사) 연락처 등 

 ㅇ 주요 서버, 네트워크 장비, 보안시스템 등에 설치된 운영체제, 소프트웨어 버전 정보, 패치일 등을 확인할 수 있도록 목록 등으로 관리하고 최신 보안패치 여부를 주기적으로 확인하여야 한다

 ㅇ 일반적으로 통제구역(전산실 등)에 위치하고 있는 서버, 네트워크 장비, 정보보호시스템에 관련 패치를 적용하여야 할 경우 공개 인터넷 접속을 통한 패치적용은 원칙적으로 금지하여야 한다. 다만 불가피한 경우 사전 위험분석을 통해 보호대책을 마련한 후 책임자 승인 후 적용하여야 한다.

 ㅇ 패치관리시스템(PMS)의 경우 내부망 서버 또는 PC에 악성코드 유포에 활용될 수 있으므로 패치관리시스템(PMS) 서버, 관리 콘솔에 대한 접근통제(관리자 이외의 비인가자 접근 차단, 패스워드 주기적 변경, 임시계정 삭제 등) 등 충분한 보호대책을 마련하여야 한다.

- 패치관리시스템은 업데이트를 내려 받는 경우 해당 업데이트 파일이 변조되었는지 확인하기 위한 무결성 점검 기능이 있는 지 확인하고 도입하는 것이 좋다. 

 ㅇ 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 패치 적용은 운영시스템의 중요도와 특성을 고려하여 위험도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 책임자 승인 후 적용하여야 한다. 다만 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리하여야 한다. 

ㅇ 로그기록 시간의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위하여 타임서버 등을 이용하여 주기적으로 시각의 설정 및 동기화 여부를 점검하여야 한다. 예를 들어 NTP(Network Time Protocol) 등의 방법을 활용하면 시스템간 시간을 동기화할 수 있다.

 ㅇ 서비스 및 업무 중요도를 고려하여 로그 기록 및 보존이 필요한 주요 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비, DB 등)을 지정하고 각 시스템 및 장비별로 기록하여야 할 로그유형 및 보존기간을 정하여야 한다. 특히 로그유형 및 보존기간(최소 6개월 이상 권고)은 법적요건을 고려하여 정하여야 한다.

-  로그 기록 및 보존이 필요한 시스템 및 장비는 정보자산의 중요도 평가 과정(인증기준 4.2.1 보안등급과 취급 참고)을 통해 정할 수 있으며 서비스 및 업무 지원을 위한 핵심 정보보호시스템은 대상에 포함하여야 한다. 특히 법률(정보통신 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법 등)에서 정하고 있는 개인정보처리시스템은 대상에 포함하여야 한다.  

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제4조(접근권한의 관리) 및 제8조 (접속기록의 보관 및 위 ∙ 변조 방지)

ㅇ 각 정보시스템별 로그유형은 다음과 같이 정할 수 있다.  

- 보안관련 감사로그 : 사용자 접속기록(사용자식별정보 : ID, 접속일시, 접속지 : 단말기 IP, 수행업무 : 정보생성, 수정, 삭제, 검색 출력 등), 인증 성공/실패 로그, 파일 접근, 계정 및 권한 등록/변경/삭제 등

- 시스템 이벤트 로그 : 운영체제 구성요소에 의해 발생되는 로그(시스템 시작, 종료, 상태, 에러코드 등)

- 보안시스템 정책(룰셋 등)등록/변경/삭제 및 이벤트 로그

- 기타 정보보호 관련 로그 

 ㅇ 로그기록은 스토리지 등 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한부여는 최소화하여 비인가자에 의한 로그기록 위변조 및 삭제 등이 발생하지 않도록 하여야 한다. 

 - 위변조 방지대책은 개인정보, 기밀정보 취급 이력 로그에 한해서 적용할 수 있다.

※ 참고 ※

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 (개인정보의 보호조치) 

ㅇ 중요정보(개인정보, 기밀정보 등) 및 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비 등) 사용자 접속기록을 주기적으로 검토하여 중요정보 및 정보시스템 오남용 등의 이상징후를 확인하여야 한다. 다음 사항이 포함된 검토(모니터링)절차를 수립하고 절차에 따라 이행하여야 한다. 

- 검토대상 : 사용자 접속기록을 검토할 중요정보 및 주요 정보시스템 선정

- 검토주기 : 월 1회 이상 권고 

- 검토기준 및 방법 : 업무목적 이외의 중요정보 과다처리(조회, 변경, 삭제 등), 업무시간 외 접속, 비정상적인 접속(미승인 계정 접속 등)등의 기준 및 확인 방법 수립

- 검토 담당자 및 책임자 지정

- 이상징후 대응절차 등

※ 참고 ※

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제5조 (접속기록의 위 ∙ 변조 방지) 

 ㅇ 사용자 접속기록을 검토기준에 따라 검토 한 후 이상징후 여부 등 그 결과를 관련 책임자에게 보고하여야 한다. 또한 이상징후 발견 시 정보유출, 해킹 등 발생 여부를 확인하기 위한 절차를 수립하고 절차에 따라 대응하여야 한다.

 ㅇ 외부로부터의 침해시도가 의심되는 이상징후를 지체없이 인지할 수 있도록 다음과 같은 항목이 포함된 모니터링 절차를 수립하여 이행하여야 한다.

- 모니터링 대상범위 : 침해시도 탐지 및 차단하기 위한 각종 정보보호시스템 이벤트 로그 등

- 모니터링 방법 : 외부 전문업체를 통한 모니터링, 자체 모니터링 체계 구축 등

- 담당자 및 책임자 지정

- 모니터링 결과 보고체계

- 침해시도 발견 시 대응절차 등

ㅇ 조직의 규모 및 정보시스템 중요도가 높은 경우 24시간 침해시도 실시간 모니터링 수행을 고려하여야 한다.