securityse lab

ㅇ 전산실, 시스템 운영 및 개발 공간, 통신장비실, 관제센터 등 업무의 중요도 및 정보자산 위치에 따라 물리적 보호 구역을 다음과 같이 구분하고 구역별 보호대책을 수립하고 이행하여야 한다.

- 접견구역 : 외부인이 별다른 출입증 없이 출입이 가능한 구역 (예 : 접견장소 등)

- 제한구역 : 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소 (예 : 부서별 사무실 등)

- 통제구역 : 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳 (예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등)

ㅇ 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도여부를 주기적으로 검토하여야 한다.

ㅇ 보호구역의 중요도와 특성에 따라 화재, 전력이상, 비인가된 외부침입 등을 방지하기 위하여 보호구역별 필요한 다음과 같은 설비를 갖추고 운영절차를 마련하여야 한다.

- 온습도 조절기 (항온항습기 또는 에어컨)

- 화재감지 및 소화설비

- 누수감지기

- UPS, 비상발전기, 전압유지기

- CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 )

- 전력선 이중화

- 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등

ㅇ 특히 통제구역에 해당하는 전산실의 경우 상기설비를 갖추고 화재, 전력이상, 장애 등의 비상 시 신속한 복구 및 대응이 가능하도록 운영절차를 마련하여야 한다.  

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)'

ㅇ 화재 감지기를 적절한 간격으로 설치하고 충분한 용량의 소화기를 비치하여야 한다.

- 보호구역 면적에 대비하여 화재 감지기(예 : 열감지, 연기감지) 및 소화기를 설치하여야 하며 주기적으로 화재감지기 및 소화기 상태를 점검하여야 한다.

※ 참고 ※

- 소방시설 설치 ∙ 유지 및 안전관리에 관한 법률

 ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 누수 발생 시 탐지가 가능하도록 누수감지기를 설치하고 정상적인 작동유무를 주기적으로 점검하여야 한다.

 ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 온도 16~26도, 습도 40~70%를 항시 유지하기 위하여 전산실 규모에 따른 적정한 규모의 항온항습기 또는 에어컨을 설치하고 주기적으로 항온항습기 또는 에어컨 상태를 점검하여야 한다.

ㅇ 정전, 전기사고 등 갑작스러운 전력공급 중단 시 주요 정보시스템이 전력을 안정적으로 공급받을 수 있도록 전산실 및 시스템 규모를 고려하여 다음과 같은 설비를 구축하고 주기적으로 상태를 점검하여야 한다.

- 무정전전원장치 (UPS)

- 비상발전기

- 이중전원선

- 전압유지기

- 접지시설 등

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)'

 ㅇ 화재 등의 재해 발생 시 임직원이 대피할 수 있도록 대피절차를 별도로 마련하고 절차에 따라 신속하게 대피할 수 있도록 비상벨, 비상등, 비상로 안내표지 등을 설치하여야 한다.

ㅇ 주요 정보시스템을 외부 집적정보통신시설(IDC)에 위탁운영하는 경우 화재, 수재, 전력이상, 온도, 습도, 환기 등의 환경적 위협 및 파손, 도난 등 물리적 위협으로부터 보호되도록 보안요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하여야 한다

- 온습도 조절기 (항온항습기 또는 에어컨)

- 화재감지 및 소화설비

- 누수감지기

- UPS, 비상발전기, 전압유지기

- CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 )

- 전력선 이중화

- 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등

- 구조의  안전성 (설비 하중을 견딜 수 있는 구조)

- IDC의 책입보험 가입여부 (미가입 시 1천만원 이하의 과태료 부과)

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조(집적된 정보통신시설의 보호)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제38조(보험가입)

ㅇ 주요 시설 및 정보시스템이 위치한 통제구역(전산실 등)에서 정보시스템 도입 및 폐기, 유지보수(정기점검 포함) 등의 사유로 임직원 및 외부인이 작업을 수행할 경우 다음 사항을 고려하여 작업신청 및 승인, 작업기록 작성, 모바일 기기 반출입 통제 등의 절차를 마련하고 그 기록을 정기적으로 검토하여야 한다.

- 작업신청 시 관련자(예 : 보호구역 출입통제 담당자, 작업신청부서장 등) 검토 ∙ 승인 필요

- 작업기록에는 작업일자, 작업시간, 작업목적, 작업내용, 작업업체 및 담당자명, 검토자 승인자 등 포함

- 작업 수행을 위한 보호구역 출입 절차 마련 및 출입기록의 주기적 검토

- 작업 수행을 위한 모바일기기 반출입 및 모바일 기기 안전성 확보 절차(백신 설치 등) 마련

ㅇ 주요 시설 및 시스템이 위치한 통제구역 내 모바일기기(노트북, 스마트기기 등) 사용은 원칙적으로 금지하는 것이 바람직하다. 다만 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용해야 하는 경우 사전 승인 및 모바일 기기의 보안성 검토를 수행한 후 사용하여야 한다.

ㅇ 각 보호구역별로 출입 가능한 부서, 직무, 업무를 정의하고 출입권한이 부여된 임직원을 식별하여 그 현황을 관리하여야 한다. 

ㅇ 공식적인 출입절차(출입신청, 책임자 승인, 출입권한부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등)를 마련하고 인가된 사람만이 출입할 수 있도록 하여야 한다.

ㅇ 또한 주요 시설 및 시스템이 위치하고 있는 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제하여야 한다.

ㅇ 특히 보호구역에 외부인 출입이 필요한 경우 내부 임직원 출입절차와는 별도의 절차 (방문객 출입증 발급 및 패용, 방문장소로 출입권한 제한, 담당자 동행, 출입대장 작성 등) 를 마련하여 출입을 통제하여야 한다. 

ㅇ 각 보호구역 출입의 책임추적성을 확보할 수 있도록 출입기록을 일정기간 보존하고 출입의 적정성을 확인하기 위하여 다음과 같은 기준으로 출입기록을 주기적으로 검토하여야 한다.

- 업무 목적에 적합한 출입권한 부여 : 업무 목적에 비해 과도한 출입권한 부여 시 권한 조정, 장기간 미출입 시 권한 회수 등 조치

- 절차에 따른 출입권한 부여 : 보호구역 출입절차에 따른 권한 부여 여부 확인 (임의적 출입권한 생성 확인)

- 퇴직자 또는 직무변경자 출입권한 삭제 ∙ 조정 및 출입증 회수 : 퇴직자 출입증 회수 및 출입권한을 삭제, 직무변경에 따른 출입권한 조정

- 업무시간 외 출입 : 일상 업무시간 이외 출입 시 출입사유 확인

- 비인가자의 출입 시도 : 중요한 보호구역인 통제구역의 비인가자 출입시도를 확인하여 그 사유를 확인하고 조치

- 외부자 출입기록 : 유지보수, 비상 시 외부자 출입 적정성 검토

상기 검토 기준 이외에도 조직의 업무특성에 따른 기준을 별도로 마련하여 보호구역 출입 적정성을 검토하는 것이 좋다.

ㅇ 또한 시스템적으로 출입로그를 남기지 않는 단순 잠금장치(자물쇠)를 사용하는 경우에는 반드시 출입대장을 작성하여 출입기록을 확인할 수 있도록 하여야 한다.

ㅇ 보호구역별로 모바일기기(노트북, 탭, 패드 등)의 반출입에 대한 통제절차를 다음과 같이 마련하여야 한다.

- 보호구역 출입통제 책임자 사전승인

- 반출입 관리대장 기록

- 모바일 기기 보안 점검 수행

- 모바일 기기 반출입내역 주기적 점검 등

ㅇ 모바일기기 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방절차 수립 시 다음과 같은 사항을 고려하여야 한다.

- (반입시) 안티바이러스 S/W 통한 악성코드 감염여부 점검

- (반입시) USB 포트 차단 및 USB 반입 금지

- (반입시) 모바일 기기 장착된 카메라 렌즈 봉인 등

- (반출시) 중요정보 저장 여부 확인

ㅇ 주요 시설 및 정보자산이 위치한 통제구역 내 모바일기기(노트북, 탭, 패드 등)의 반입은 원칙적으로 금지하는 것이 바람직하며 업무목적으로 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용하여야 하는 경우 사전 승인을 받고 상기 모바일 기기 보안사고 예방절차를 이행한 후 사용하는 것이 좋다.

- 다만, 개인용 스마트폰의 경우 예외정책을 적용할 수 있으나 내부 네트워크에 연결하여 사용하지 않도록 하여야 한다.

ㅇ 보호구역 내 임직원 혹은 외부자가 업무목적을 위한 모바일 기기를 반출입하는 경우, 모바일기기 반출입 통제 절차에 따라 허가를 받고 '반출입대장' 이력을 기록하여야 한다.

- 반출입 관리대장에 포함될 내용 :  일시, 사용자, 기종(모델), 기기식별번호(MAC, 시리얼 번호 등), 사유,  반출입 장소, 보안점검 결과, 관리자 확인서명 등

ㅇ 모바일 반출입대장은 관리자가 주기적으로 점검하여 반출입이 적정한 절차에 따라 이루어졌는지 검토하여야 한다.

 ㅇ 다음을 주요직무로 분류할 수 있으며 이 업무를 수행하는 임직원을 주요 직무자로 지정하여야 한다.

- 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등)를 취급

- 주요 정보시스템(서버, DB, 응용 프로그램 등) 운영 및 개발

- 정보보호시스템 운영

- 정보보호관리업무 수행

 ㅇ 중요정보를 취급하는 주요 직무자의 경우 업무 범위 및 목적에 벗어나는 정보 처리 권한을 부여하지 않도록 관련 직무자를 최소한으로 지정하여야 한다.

ㅇ 중요정보 처리 권한이 부여된 주요 직무자의 현황을 주기적으로 관리하여 직무자별 업무 성격에 따라 적정한 권한이 부여되었는 지 여부를 검토하여야 한다. 

 ㅇ 직무별 권한과 책임을 분산시켜 직무 간 상호견제를 할 수 있도록 직무 분리 기준을 수립하여야 한다.

- 개발과 운영 직무 분리 (필수)

- 정보시스템(서버, DB, 네트워크 등)간 운영직무 분리

- 정보보호 관리와 정보시스템 운영직무 분리

- 정보보호 관리와 정보시스템 개발직무 분리 등

 ㅇ 조직 규모가 작거나 인적 자원 부족 등의 사유로 인해 불가피하게 직무 분리가 어려운 경우, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토/승인, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.

 ㅇ 신규로 채용된 인력은 조직의 중요정보 취급 및 관리 시 정보보호의 필요성과 책임에 대해 명시된 정보보호서약서에 서명하고 조직에 제출하여야 한다.

ㅇ 정보보호서약서의 제출 의무에 대해 신규 인력 채용 절차 중 기본적인 사항으로 인식하고 관리 부서를 지정하여 정보보호서약서를 관리하여야 한다. (일반적으로 신규 인력 채용 시 인력관리부서에서 정보보호서약서를 수집 및 관리하고 있다.)

 ㅇ 임시직원 혹은 외주용역업체직원과 같은 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 책임, 조직 내 정보보호 규정 준수 의무, 정보보호 의무에 미준수로 인한 사건 ∙ 사고 발생 시 손해배상 책임 등의 내용을 정보보호서약서에 명시하고 서명을 받아야 한다. 

 ㅇ 직무 상 알게 된 조직의 중요정보에 대한 퇴사 후 누출 방지를 위하여 인력 퇴사 절차 내 비밀유지서약서를 받고 누출 발생 시 그에 따르는 법적 책임이 있음을 상기시켜야 한다. 

ㅇ 직무변경과 같이 인력의 고용조건에 변화가 발생한 경우 이전에 습득한 비밀정보를 누출하지 않도록 정보보호서약서의 내용을 환기시키는 것이 좋다.

 ㅇ 정보보호서약서 및 비밀유지서약서는 법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있기 때문에 필요 시 용이하게 찾아볼 수 있는 형태로 보관하여야 한다. 

ㅇ 정보보호서약서 및 비밀유지서약서에 개인정보가 포함될 경우 비인가된 제 3자에게 누출되지 않도록 물리적으로 안전한 장소에 보관하여야 한다.

 ㅇ 부서 및 직무변경, 휴직, 퇴직 등 인사 변경 발생 시 정보자산 반납, 접근권한의 변경 ∙ 회수 조치가 신속하게 이루어질 수 있도록 인사부서는 변경내용을 정보보호부서, 정보시스템 운영부서 등에 공유하여야 한다. 

 ㅇ 조직 내 인력(정규직 임직원, 임시직원, 외주용역업체 직원 등)의 직무 변경 혹은 퇴직 발생 시 정보자산 반납, 접근권한의 조정 ∙ 회수 등을 수립된 절차에 따라 시행하고 결과를 확인하여야 한다. 

ㅇ 직무변경자 혹은 퇴직자가 불가피하게 정보시스템 및 정보보호시스템 계정을 공유 사용하고 있었다면 계정의 비밀번호를 즉시 변경하여야 한다.

ㅇ 임직원이 정보보호 관련 조직 내부 규정(예 : 정책, 지침, 절차 등) 및 비밀유지서약서에 명시된 정보보호 책임을 충실히 이행하지 않고 조직 내 중요정보를 훼손, 누출한 경우, 관계법령상의 책임 및 처벌규정을 인사규정에 포함하고 아울러 정보보호 책임을 충실히 이행한 경우에 대한 보상방안도 함께 마련하여야 한다.

ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다. 

- 교육 시기 (예 : 분기별, 반기별 등)

- 시기별 교육 기간 

- 교육 대상

- 교육 내용

- 교육 방법 (예 : 온라인, 집합교육 등)

 ㅇ 예산 배정 및 집행 권한을 보유하고 있는 경영진(최고경영자)은 연간 정보보호 교육 계획을 검토하고 승인하여 정보보호 교육이 계획에 따라 이행될 수 있도록 적극 지원하여야 한다.

 ㅇ 정보보호 교육대상에는 정보보호 관리체계 범위 내 정보자산에 직 ∙ 간접적으로 접근하는 정규직 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함하여야 한다. 

ㅇ 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다.

ㅇ 교육대상이 하도급에 의해 파견된 직원인 경우 해당 용역업체 담당자가 정보보호 교육을 수행할 수 있도록 관련 자료를 제공하고 지원하여야 한다.

 ㅇ 기본 정보보호교육에는 다음과 같은 내용을 포함하여야 한다.

- 정보보호의 기본 개요

- 정보보호 관리체계 구축 절차 및 방법

- 정보보호 관련 법률의 이해 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법, 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률, 전자상거래 등에서의 소비자보호에 관한 법률 등

- 침해사고 대응 절차 등 임직원이 준수하여야 할 정보보호 관련 내부규정

- 최근 침해사고 사례 및 정보보호 관련 국내외 동향

- 정보보호 규정 위반 시 상벌규정, 법적 책임 등

ㅇ 교육을 효과적으로 시행하기 위하여 집합교육, 온라인교육, 전달교육 등 다양한 교육방법을 정할 수 있다. 

ㅇ 교육의 대상, 내용, 기간 등에 따라 효과적으로 교육을 수행할 수 있는 방법 (예 : 집합교육, 온라인 교육, 전달 교육 등)을 선택하여야 한다.

ㅇ 정보보호 인식제고 위하여 보안의 날 지정, 포스터 또는 뉴스레터를 제작할 수도 있다.

 ㅇ IT 직무자(운영, 개발), 정보보호 직무자는 일반 직원과 별도로 직무별 업무 수행에 필요한 정보보호교육을 받아야 한다. 직무별 교육은 다음과 같은 교육과정을 활용할 수 있다. 

- 정보보호 관련 컨퍼런스, 세미나, 워크샵 참가

- 정보보호 관련 교육 전문기관 내 교육 수료

- 외부 전문가 초빙을 통한 내부 교육 및 세미나

 ㅇ 경영진(최고경영진)의 승인을 받은 정보보호 교육 계획에 따라 정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호 교육을 시행하여야 한다.

ㅇ IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 한다.

ㅇ 개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수하여야 한다. (기본 정보보호 교육에 개인정보보호 내용을 포함할 수 있다.)

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제3조(내부관리계획의 수립 ∙ 시행) 2항

 ㅇ 기본 정보보호 교육 이외에 다음과 같은 상황이 발생할 경우 추가적인 정보보호 교육을 수행하여야 한다. 

- 정보보호(개인정보 포함) 관련 법률 변경

- 조직 내 정보보호 관련 정책 및 절차 변경

- 조직 내 ∙ 외부 보안사고 발생

- 업무 환경의 중대한 변화 발생 (예 : 정보보호 관리체계 범위 변경)

 ㅇ 출장, 휴가 등으로 인해 정기 정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 시행하여야 한다.

 ㅇ 채용으로 인해 신규 인력 발생 시, 업무 투입 전에 정보보호 교육을 실시하여 조직 내 정보보호 관련 사전 지식이 없는 데 따른 보안규정 위반, 보안사고 발생의 위험수준을 낮추도록 하여야 한다. 

 ㅇ 교육 시행 후, 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통해 교육 내용의 적절성과 효과성을 평가하여야 한다.

ㅇ 교육평가 결과 내용에서 도출된 문제점에 대해 개선 대책을 마련하고 차기 교육 계획 수립 시 반영하여야 한다.