securityse lab

 ㅇ IT 재해 발생 시 신속한 복구가 가능하도록 다음과 같은 내용을 포함하여 IT 재해복구 체계를 구축하여야 한다.

- 재해 시 복구조직 및 역할 정의 :  IT 재해 발생 시 복구를 위한 관련부서 및 담당자 역할과 책임 부여

- 비상연락체계 : 조직 내 관련 부서 담당자, 유지보수 업체 등 복구 조직상 연락체계 구축

- 복구전략 및 대책 수립방법론 : 업무영향분석, 복구목표시간 및 복구시점 정의, 핵심 IT 서비스 및 시스템 식별 등

- 복구순서정의 : 복구목표시간별로 정보시스템의 복구순서 정의

- 복구절차 : 재해발생, 복구완료, 사후관리 단계 포함   

 ㅇ IT 재해복구는 각종 재해 및 위험요인으로 인한 IT 서비스 중단 시 정상 기능으로 복구하는 모든 절차와 행위를 말한다. IT 서비스 중단을 초래할 수 있는 IT 재해 위험요인은 다음과 같다. 

- 자연재해 : 화재, 홍수, 지진, 태풍 등

- 외부요인 : 해킹, 통신장애, 전력 수급 중단 등

- 내부요인 : 시스템 결함, 기계적 오류, 사용자 실수, 의도적∙악의적 운영, 핵심 운영자 근무 이탈(사망, 병가, 휴가, 이직 등), 환경설정 오류 등

ㅇ IT 재해 발생으로 조직의 핵심 서비스(업무) 중단 시 피해규모 및 영향을 분석하여 핵심 IT 서비스 및 시스템을 식별하여야 한다. 피해규모 및 업무영향분석 시 다음사항을 고려할 수 있다. 

- 매출감소, 계약위약금 지급 등 재무적 측면

- 손해배상 소송 등 법적 측면

- 대외 이미지 하락 등 

 ㅇ IT 서비스 및 시스템 중단시점부터 복구되어 정상가동 될 때까지의 복구목표시간(RTO : Recovery Time Objective)과 데이터가 복구되어야 하는 복구시점(RPO : Recovery Point Objective)을 정의하여야 한다.

ㅇ IT 재해발생 시 사전 정의한 서비스 및 시스템 복구목표시간 및 복구시점을 달성할 수 있도록 비용효과적인 복구전략 및 대책을 수립하여야 하며 실제로 IT 재해발생 시에는 사전 마련한 복구전략 및 대책에 따라 신속하게 복구를 하여야 한다.

 ㅇ IT 서비스 및 시스템 복구전략 및 대책이 복구 목표를 달성하기에 효과적인 지 여부를 확인하기 위하여 시험 시나리오, 일정, 방법, 절차 등을 포함하는 시험계획을 수립하여야 한다.

또한 시험계획에 따라 정기적인 시험을 실시하여 복구전략 및 대책이 효과를 발휘하는지, 비상시 복구조직 구성원이 복구절차에 따라 신속하게 대응하는지 등을 점검하여야 한다. 

 ㅇ 시험 결과, IT 환경 변화, 법률 등에 따른 변화 등 조직 내외의 변화를 반영하지 못한 복구전략 및 대책은 실효성이 떨어질 수 있으므로, 공식적인 변화관리 절차를 마련하고, 이에 따라 현실을 반영, 보완하도록 하여야 한다.

ㅇ 침해사고의 정의 및 범위, 긴급연락체계 구축, 침해사고 발생시 보고 및 대응 절차, 사고 복구조직의 구성 등을 포함한 침해사고 대응절차를 수립하여야 한다.

 ㅇ 침해사고를 효과적으로 모니터링하고 신속하게 대응하기 위해서는 중앙집중적인 대응체계를 수립하여야 한다.

 ㅇ 침해사고를 유형 및 중요도에 따라 분류하고 분류에 따른 보고체계를 정의하여야 한다.

 ㅇ 침해사고 대응체계를 외부 기관을 통해 구축한 경우 수립된 침해사고 대응절차 및 체계를 계약서에 반영하여야 한다.

 ㅇ 침해사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가, 전문업체, 전문기관(KISA) 등과의 연락 및 협조체계를 수립하여야 한다.

 ㅇ 침해사고 대응절차 및 방법에 대한 적정성과 효과성을 평가하기 위하여 주기적으로 침해사고 대응 훈련을 수행하여야 한다.

 ㅇ 하드웨어 및 소프트웨어상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 신속하게 보고하여야 한다.

 ㅇ 침해사고 발생시 침해사고보고서가 작성되어야 하고, 보고서에는 다음과 같은 사항이 포함하여야 한다.

- 침해사고 발생일시

- 보고자와 보고일시

- 사고내용 (발견사항, 피해내용 등) 

- 사고대응 경과 내용

- 사고대응까지의 소요시간 등 

 ㅇ 조직의 유 ∙ 무형 자산에 심각한 영향을 끼칠 수 있는 침해사고가 발견되거나 발생한 경우 최고경영층까지 보고하여야 한다.

 ㅇ 침해사고 발생 시 법률이나 규정 등에 따라 관계기관에 신고하여야 하며 개인정보와 관련한 침해사고는 이용자(정보주체)에게 신속하게 통지하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3(침해사고의 신고 등)

- 개인정보보호법 제34조(개인정보 유출 통지 등)  

 ㅇ 침해사고 처리와 복구는 수립된 절차에 따라 수행하여야 하며 침해사고 이력관리를 위하여 사고발생부터 처리 및 복구 종료까지의 진행경과를 보고서로 작성하여야 한다.

 ㅇ 침해사고가 처리되고 종결된 후 이에 대한 분석이 수행되어야 하며 그 결과가 보고되어야 한다.

 ㅇ 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하여야 한다.

 ㅇ 침해사고 분석을 통해 얻어진 정보를 활용하여 유사사고가 반복되지 않도록 하는 재발방지 대책을 수립하여야 한다.

ㅇ 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호정책 및 절차 등의 사고대응체계에 대한 변경을 수행하여야 한다. 

ㅇ 바이러스, 웜, 트로이목마 등의 악성코드로부터 내부 정보시스템을 보호하기 위하여 다음항목을 포함한 지침 및 절차를 수립하여야 한다.

- 사용자 PC 사용지침 (불분명한 이메일 및 파일 열람 금지, 허가받지 않은 프로그램 다운로드 및 설치 금지 등)

- 백신프로그램 설치 범위 및 절차

- 백신프로그램을 통한 주기적인 악성코드 감염여부 모니터링 정책

- 사용자 교육 및 정보제공

ㅇ 백신프로그램 설치 범위는 다음사항을 고려하여 정하여야 한다.

- 내부 네트워크에서 사용되는 업무용 단말기 (PC, 노트북 등)

- 정보자산 중요도 평가 과정에서 등급이 높은 정보자산(인증기준 4.2.1 보안등급과 취급 참고)

(예 : DMZ 구간의 공개서버, 공개서버와 연계되어 있는 서버(WAS, DB 등), 중요정보가 저장되어 있는 DB, 기타 중요하다고 판단되는 정보자산 (DNS, DHCP 등))  

- 정보통신망 이용촉진 및 정보보호 등에 관한법률 시행령에 따른 개인정보처리시스템, 개인정보처리에 이용되는 정보기기 (PC, 노트북 등 단말기)

- 윈도우, 리눅스, 유닉스 등 다양한 운영체제

ㅇ 기존 시스템 환경과 충돌이 발생하여 백신프로그램을 설치할 수 없는 경우에는 책임자의 승인을 받고 보완대책을 마련하여 관리하여야 한다. 

※ 참고 ※

- 백신프로그램 이용 안내서 (KISA) 

 ㅇ 악성코드가 정보시스템과 PC 등의 단말기에 유입되어 확산되는 것을 방지하기 위하여 다음 사항을 포함한 예방, 탐지 활동을 수행하여야 한다. 

- 전자우편 등 첨부파일에 대한 악성코드 감염 여부 검사

- 실시간 악성코드 감시 및 치료 

- 주기적인 악성코드 점검 : 자동 바이러스 점검 일정 설정

- 백신엔진 최신버전 유지 : 주기적 업데이트 등 

 ㅇ 악성코드 감염 발견 시 추가적인 확산과 피해 최소화를 위하여 다음과 같은 항목이 포함된 대책을 마련하여야 한다.

- 악성코드 감염 발견 시 대처 절차 (예 : 네트워크케이블 분리 등)

- 비상연락망 (예: 백신업체 담당자, 관련 기관 연락처 등)

- 대응보고서양식 (발견일시, 대응절차 및 방법, 대응자, 방지대책 포함) 등 

 o 운영체제(서버, 네트워크, PC 등) 및 (상용) 소프트웨어(오피스 프로그램, 백신, DBMS 등) 의 경우 지속적으로 취약점이 발견되며 이를 해결하기 위한 패치(patch)파일도 지속적으로 공개된다. 따라서 서버, 네트워크 장비, PC 등에 설치되어 있는 운영체제, 소프트웨어 패치적용을 위한 정책 및 절차를 수립하여 이행하여야 한다.

- 서버, 네트워크 장비, 보안시스템, PC 등 대상별 패치정책 및 절차 : 패치정보 입수 및 적용방법 등

- 패치 담당자 및 책임자 지정

- 패치 관련 업체(제조사) 연락처 등 

 ㅇ 주요 서버, 네트워크 장비, 보안시스템 등에 설치된 운영체제, 소프트웨어 버전 정보, 패치일 등을 확인할 수 있도록 목록 등으로 관리하고 최신 보안패치 여부를 주기적으로 확인하여야 한다

 ㅇ 일반적으로 통제구역(전산실 등)에 위치하고 있는 서버, 네트워크 장비, 정보보호시스템에 관련 패치를 적용하여야 할 경우 공개 인터넷 접속을 통한 패치적용은 원칙적으로 금지하여야 한다. 다만 불가피한 경우 사전 위험분석을 통해 보호대책을 마련한 후 책임자 승인 후 적용하여야 한다.

 ㅇ 패치관리시스템(PMS)의 경우 내부망 서버 또는 PC에 악성코드 유포에 활용될 수 있으므로 패치관리시스템(PMS) 서버, 관리 콘솔에 대한 접근통제(관리자 이외의 비인가자 접근 차단, 패스워드 주기적 변경, 임시계정 삭제 등) 등 충분한 보호대책을 마련하여야 한다.

- 패치관리시스템은 업데이트를 내려 받는 경우 해당 업데이트 파일이 변조되었는지 확인하기 위한 무결성 점검 기능이 있는 지 확인하고 도입하는 것이 좋다. 

 ㅇ 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 패치 적용은 운영시스템의 중요도와 특성을 고려하여 위험도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 책임자 승인 후 적용하여야 한다. 다만 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리하여야 한다. 

ㅇ 로그기록 시간의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위하여 타임서버 등을 이용하여 주기적으로 시각의 설정 및 동기화 여부를 점검하여야 한다. 예를 들어 NTP(Network Time Protocol) 등의 방법을 활용하면 시스템간 시간을 동기화할 수 있다.

 ㅇ 서비스 및 업무 중요도를 고려하여 로그 기록 및 보존이 필요한 주요 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비, DB 등)을 지정하고 각 시스템 및 장비별로 기록하여야 할 로그유형 및 보존기간을 정하여야 한다. 특히 로그유형 및 보존기간(최소 6개월 이상 권고)은 법적요건을 고려하여 정하여야 한다.

-  로그 기록 및 보존이 필요한 시스템 및 장비는 정보자산의 중요도 평가 과정(인증기준 4.2.1 보안등급과 취급 참고)을 통해 정할 수 있으며 서비스 및 업무 지원을 위한 핵심 정보보호시스템은 대상에 포함하여야 한다. 특히 법률(정보통신 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법 등)에서 정하고 있는 개인정보처리시스템은 대상에 포함하여야 한다.  

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제4조(접근권한의 관리) 및 제8조 (접속기록의 보관 및 위 ∙ 변조 방지)

ㅇ 각 정보시스템별 로그유형은 다음과 같이 정할 수 있다.  

- 보안관련 감사로그 : 사용자 접속기록(사용자식별정보 : ID, 접속일시, 접속지 : 단말기 IP, 수행업무 : 정보생성, 수정, 삭제, 검색 출력 등), 인증 성공/실패 로그, 파일 접근, 계정 및 권한 등록/변경/삭제 등

- 시스템 이벤트 로그 : 운영체제 구성요소에 의해 발생되는 로그(시스템 시작, 종료, 상태, 에러코드 등)

- 보안시스템 정책(룰셋 등)등록/변경/삭제 및 이벤트 로그

- 기타 정보보호 관련 로그 

 ㅇ 로그기록은 스토리지 등 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한부여는 최소화하여 비인가자에 의한 로그기록 위변조 및 삭제 등이 발생하지 않도록 하여야 한다. 

 - 위변조 방지대책은 개인정보, 기밀정보 취급 이력 로그에 한해서 적용할 수 있다.

※ 참고 ※

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 (개인정보의 보호조치) 

ㅇ 중요정보(개인정보, 기밀정보 등) 및 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비 등) 사용자 접속기록을 주기적으로 검토하여 중요정보 및 정보시스템 오남용 등의 이상징후를 확인하여야 한다. 다음 사항이 포함된 검토(모니터링)절차를 수립하고 절차에 따라 이행하여야 한다. 

- 검토대상 : 사용자 접속기록을 검토할 중요정보 및 주요 정보시스템 선정

- 검토주기 : 월 1회 이상 권고 

- 검토기준 및 방법 : 업무목적 이외의 중요정보 과다처리(조회, 변경, 삭제 등), 업무시간 외 접속, 비정상적인 접속(미승인 계정 접속 등)등의 기준 및 확인 방법 수립

- 검토 담당자 및 책임자 지정

- 이상징후 대응절차 등

※ 참고 ※

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제5조 (접속기록의 위 ∙ 변조 방지) 

 ㅇ 사용자 접속기록을 검토기준에 따라 검토 한 후 이상징후 여부 등 그 결과를 관련 책임자에게 보고하여야 한다. 또한 이상징후 발견 시 정보유출, 해킹 등 발생 여부를 확인하기 위한 절차를 수립하고 절차에 따라 대응하여야 한다.

 ㅇ 외부로부터의 침해시도가 의심되는 이상징후를 지체없이 인지할 수 있도록 다음과 같은 항목이 포함된 모니터링 절차를 수립하여 이행하여야 한다.

- 모니터링 대상범위 : 침해시도 탐지 및 차단하기 위한 각종 정보보호시스템 이벤트 로그 등

- 모니터링 방법 : 외부 전문업체를 통한 모니터링, 자체 모니터링 체계 구축 등

- 담당자 및 책임자 지정

- 모니터링 결과 보고체계

- 침해시도 발견 시 대응절차 등

ㅇ 조직의 규모 및 정보시스템 중요도가 높은 경우 24시간 침해시도 실시간 모니터링 수행을 고려하여야 한다. 

 ㅇ   전자거래  는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말한다. (전자문서 및 전자거래 기본법 제2조)

ㅇ   전자상거래  는 전자거래의 방법으로 상행위를 하는 것을 말한다. (전자상거래 등에서의 소비자보호에 관한 법률 제2조)

ㅇ 전자(상)거래사업자는 전자(상)거래의 안정성과 신뢰성을 확보하기 위하여 전자(상)거래이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해사고를 예방하기 위한 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 한다. 보호대책 수립 시에는 다음과 같은 법률 등을 고려하여야 한다.

※ 참고 ※

- 전자문서 및 전자거래 기본법

- 전자상거래 등에서의 소비자 보호에 관한 법률

- 정보통신 이용촉진 및 정보보호 등에 관한 법률

- 개인정보보호법

- 전자금융거래법 등 

ㅇ   전자결제업자  는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조) 다음에 해당하는 자를 말한다.

- 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록저장하였다가 재화 등의 구매 시 지급하는 자), PG사

※ PG(Payment Gateway)사는 인터넷 상에서 금융 기관과 하는 거래를 대행해 주는 서비스. 신용 카드, 계좌 이체, 핸드폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사

ㅇ 전자(상)거래사업자와 전자결제업자간에 송 ∙ 수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자간 피해가 발생하지 않도록 적절한 보호대책을 수립하여 이행하여야 한다. 

ㅇ 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호 교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 한다.

- 관련 업무 정의 : DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등 

- 정보전송 범위 정의 : 법규 준수 또는 정보유출 위험을 예방하기 위해 업무상 필요한 최소한의 정보만을 송·수신

- 담당자 및 책임자 지정

- 정보 전송 기술 표준 정의 (예 : 정보 전송 시  협의 등)

- 정보 전송, 저장, 파기 시 관리적∙기술적 ∙ 물리적 보호대책 등

※ DM(Direct Mail advertising) : 우편물을 통한 홍보활동을 의미하며 편지, 엽서, 안내장, 리플렛, 카다롤그, 청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단 

ㅇ 사용연한 경과, 고장 등의 사유로 정보시스템을 폐기 또는 재사용(양도, 내부판매, 재활용 등)할 경우 저장매체 처리에 관한 절차를 수립하여 저장매체에 저장된 중요정보 유출을 방지하여야 한다. 

- 저장매체 확인 및 승인 : 정보시스템 폐기 또는 재사용 시 저장매체 확인하고 폐기 또는 재사용 여부 결정

- 저장매체 폐기, 재사용에 따른 처리방법 정의 (예 : 폐기 → 물리적 폐기 ∙ 디가우징 등, 재사용 → 완전 포맷)

- 저장매체 처리 확인 및 기록  

 ㅇ 저장매체의 폐기 시 물리적, 전자적으로 완전파괴하고 재사용 시에는 완전포맷 방식으로 정보를 삭제하여야 한다.  완전포맷 은 저장매체 전체의 자료저장 위치에 새로운 자료를 중복하여 저장하는 것을 의미하여 완전포맷 횟수는 조직이 스스로 정하여 적용할 수 있다.

 ㅇ조직이 자체적으로 저장매체 폐기할 경우 폐기이력에 대한 감사증적을 확보할 수 있도록 다음항목이 포함된 관리대장을 작성하고 관련 책임자가 확인하여야 한다.

- 폐기일자

- 폐기 담당자, 확인자명

- 폐기방법

- 폐기확인증적(사진 등) 등 

 ㅇ 아웃소싱등 외부업체를 통해 저장매체를 폐기할 경우, 내부 폐기정책과 절차 내용을 계약서에 명시하고 폐기 시 가능하면 외부업체와 함께 현장에서 함께 폐기현장을 실사하고 폐기증적을 사진, 동영상 등으로 받아 확인하여야 한다.

ㅇ 정보시스템, PC 등 유지보수, 수리과정에서 저장매체 교체, 복구 등의 상황 발생 시 저장매체 내 중요정보를 보호하기 위하여 유지보수 신청 전 데이터 이관 및 파기, 암호화, 계약 시 비밀유지서약 등과 같은 보호대책을 마련하여야 한다.

 ㅇ 휴대용 저장매체  라 함은 디스켓, 외장형 하드디스크, USB 메모리, CD, DVD 등 자료를 저장할 수 있는 일체의 것으로 PC 등의 정보통신시스템과 분리할 수 있는 기억장치를 말한다.

ㅇ 업무용으로 개인 휴대용 저장매체를 사용하는 것은 원칙적으로 금지하여야 하며 업무 목적상 외장하드, USB 메모리, CD 등 휴대용 저장매체를 사용하여야 하는 경우 허가된 저장매체만 사용할 수 있도록 다음과 같은 정책 및 절차를 수립하고 이행하여야 한다.

- 휴대용 저장매체 취급(사용)범위 : 통제구역, 제한구역 등 보호구역별 저장매체 사용 정책 및 절차 수립

- 휴대용 저장매체 사용허가 및 등록절차

- 휴대용 저장매체 반출, 반입 절차 

- 휴대용 저장매체 폐기, 재사용에 대한 절차

- 휴대용 저장매체 보호대책 등 

 ㅇ 주요 정보시스템이 위치한 통제구역(전산실 등), 조직 내 중요정보에 접근이 가능한 제한구역(운영실, 관제실 등)에서는 휴대용 저장매체의 사용 및 반입을 엄격하게 제한하여야 한다. 불가피하게 사용할 경우 책임자의 허가절차를 거친 후 적법한 절차에 따른 사용여부 확인을 위하여 지속적인 점검을 수행하여야 한다.     

 ㅇ 휴대용 저장매체를 통해 바이러스, 악성코드가 유포되지 않도록 휴대용 저장매체가 연결되는 단말기에 다음과 같은 대책을 적용하고 주기적으로 점검하여야 한다.

- 휴대용 저장매체 자동실행 기능 해지

- 휴대용 저장매체 이용 시 바이러스 및 악성코드 사전(자동) 검사

- 휴대용 저장매체 내 숨김파일 및 폴더 등이 표시되도록 PC 등 단말기 옵션 변경 등

ㅇ 조직의 중요정보(개인정보, 기밀정보 등)의 경우 휴대용 저장매체 저장을 제한하고  업무상 저장이 필요한 경우에는 암호화 등의 보호대책을 마련하여 매체 분실, 도난 등에 따른 중요정보 유출을 방지하여야 한다. 

ㅇ 업무목적으로 사용이 허용된 휴대용 저장매체의 경우 식별번호, 유형, 사용목적, 관리자, 책임자 등이 명시된 보유목록을 작성하고 주기적인 자산실사를 통해 목록을 현행화하여야 한다. 

 ㅇ 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획을 수립하여야 한다. 

- 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석

- 추가 자원의 필요성 및 시기에 대한 예상

- 성능, 안전성, 신뢰성, 보안성, 법규 등을 포함한 시스템 자원의 기능적, 운영적 요구사항

- 기존 시스템과의 호환성, 상호운영성, 기술표준에 따른 확장성

ㅇ 이 기준(11.2.1 정보시스템 인수)에서 적용되는   정보시스템   범위는 서버, 네트워크 장비, 상용 소프트웨어 패키지에 해당하며   보안시스템   도입 및 인수 시에도 적용하여야 한다.

- 다만 응용프로그램 신규 개발 및 개선 시 보안요구사항 정의, 구현 및 시험 등에 관한 내용은   8. 시스템 개발보안  을 참고하여 적용하면 된다. 

 ㅇ 정보시스템 인수 여부를 판단하기 위하여 정보시스템 및 보안시스템의 기본 보안설정 등이 반영된 인수 승인 기준을 수립하여야 한다. 또한 시스템 구매계약서 등에 반영하여 도입 과정에서 인수기준을 준수하도록 함으로써 기본 보안 설정 미흡으로 발생할 수 있는 보안취약점을 최대한 제거한 후 인수할 수 있어야 한다.

※ 기본 보안 설정 : 불필요한 시스템 계정, 디폴트 계정, 임시 계정 등 삭제, 불필요한 서비스 및 포트 차단, 백신프로그램 설치 등 

ㅇ 정보시스템을 인수하기 전 사전 정의한 인수기준과의 적합성 여부를 테스트 등을 통해 확인한 후 인수여부를 결정하여야 한다.

 ㅇ 보안시스템(정보보호시스템)은 정보통신망을 통하여 수집 ∙ 저장 ∙ 검색 및 송 ∙ 수신되는 정보의 훼손 ∙ 변조 ∙ 유출 등을 방지하기 위한 장치로서 침입차단시스템(FW), 침입탐지시스템(IDS), 침입방지시스템(IPS), 웹방화벽, DB 접근통제시스템, 내부정보유출방지시스템(DLP), 가상사설망(VPN), 패치관리시스템(PMS) 등을 포함할 수 있다.

ㅇ 외부침입 탐지 및 차단, 내외부자에 의한 정보유출 방지 등을 위하여 도입 ∙ 운영하고 있는 보안시스템에 대한 운영절차를 수립하여야 한다.

- 보안시스템 유형별 책임자 및 관리자 지정

- 보안시스템 정책(룰셋 등) 적용(등록, 변경, 삭제 등) 절차

- 최신 정책 업데이트 : IDS, IPS 등의 보안시스템의 경우 새로운 공격기법을 탐지하기 위한 최신 패턴(시그너쳐) 및 엔진 지속적 업데이트, 시그너쳐 

- 보안시스템 이벤트 모니터링 절차 : 정책에 위배되는 이상징후 탐지 및 확인 등 (인증기준 11.6.4 침해시도 모니터링 참고)

- 보안시스템 접근통제 정책

- 보안시스템 운영현황 주기적 점검 등 

 ㅇ 사용자 인증, 관리자 단말 IP 또는 MAC 접근통제 등의 보호대책을 적용하여 보안시스템 관리자 등 접근이 허용된 인원 이외의 비인가자 접근을 엄격히 통제하여야 한다. 또한 주기적인 보안시스템 접속로그 분석을 통해 비인가자에 의한 접근시도를 확인하고 적절한 조치를 하여야 한다. (11.6.3 접근 및 사용 모니터링 참고)

 ㅇ 보안시스템별로 정책(룰셋 등) 신규 등록, 변경, 삭제 등을 위한 공식적인 절차(신청, 승인, 적용 등)를 수립 ∙ 이행하여야 한다. 이는 정책(룰셋 등)의 생성 이력을 확인하기 위한 것이다. 

ㅇ 또한 정책의 타당성 및 적정성을 주기적으로 검토하여 다음 사항에 해당하는 경우 정책을 삭제 또는 변경하여야 한다.

- 내부 보안정책 위배 (예 : FW 룰셋 내부망 Inbound Any 정책 허용 등)

- 미승인 정책

- 장기간 미사용 정책

- 중복 또는 사용기간 만료 정책

- 퇴직자 및 직무변경자 관련 정책 등 

 ㅇ 대고객 서비스 및 내부 업무 수행의 연속성을 보장할 수 있도록 주요 정보시스템의 성능 및 용량을 지속적으로 모니터링하여야 하며 다음사항을 포함한 절차를 수립하고 이행하여야 한다.

- 성능 및 용량관리 대상 식별 기준 : 서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템을 식별하여 대상에 포함 

- 정보시스템별 성능 및 용량 요구사항(임계치) 정의 : 정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치를 정함

- 모니터링 방법 : 성능 및 용량 임계치 초과여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립 (예 : 알람 등)

- 모니터링 결과 기록, 분석, 보고

- 성능 및 용량 관리 담당자 및 책임자 지정 등 

ㅇ 정보시스템의 성능 및 용량 현황을 지속적으로 모니터링하여 요구사항(임계치)을 초과하는 경우 조치방안(예 : 정보시스템, 메모리, 저장장치 증설 등)을 수립하고 이행하여야 한다.

 ㅇ 정보시스템 장애유형 및 심각도를 정의하고 장애 발생 시 유형 및 심각도에 따라 다음과 같은 항목이 포함된 절차를 수립하고 이행하여야 한다.

- 장애유형 및 심각도 정의

- 장애유형 및 심각도별 보고 절차

- 장애유형별 탐지 방법 수립 : NMS(Network Management System) 등 관리시스템 활용 

- 장애 대응 및 복구에 관한 책임과 역할 정의

- 장애기록 및 분석

- 대고객 서비스인 경우 고객 안내 절차

- 비상연락체계(유지보수업체, 정보시스템 제조사) 등 

 ㅇ 다음항목이 포함된 '장애조치보고서'를 작성하여 장애발생에 관한 이력을 기록하고 관리하여야 한다. 

- 장애일시

- 장애심각도 (예 : 상, 중, 하)

- 담당자, 책임자명 (유지보수업체 포함)

- 장애내용 (장애로 인한 피해 또는 영향 포함)

- 장애원인

- 조치내용

- 복구내용

- 재발방지대책 등 

 ㅇ 일상 업무가 중단되는 장애, 과다한 비용(피해)을 초래한 장애, 반복적으로 발생하는 장애 등과 같은 심각한 장애의 경우 원인을 규명하고 재발을 방지하기 위한 대책을 수립하고 이행하여야 한다.

 ㅇ 내부 네트워크를 통해 정보시스템(서버, 네트워크 장비, 정보보호시스템 등)을 운영하거나 웹관리자 페이지에 접속하는 경우 관리자는 지정된 단말을 통해서만 접근 할 수 있도록 통제(IP 또는 MAC 인증 등)하여야 한다.  특히 패드, 스마트폰 등 스마트기기를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 한다. 다만 부득이한 경우 스마트기기에 대한 보안대책을 마련하고 책임자의 승인 후 사용하여야 한다.

 ㅇ 인터넷과 같은 외부네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 하며 긴급 장애 대응, 유지보수 등과 같이 부득이한 경우 다음과 같은 보안대책을 마련하여야 하여야 한다.

- 원격운영에 대한 정보보호 최고책임자 승인절차

- 접속 단말 및 사용자 인증절차 : ID/PW 이외의 강화된 인증방식(공인인증서, OTP 등) 적용 권고. 법적 요구사항 의무적 반영 필요.

- 한시적 접근권한 부여 : VPN 계정, 시스템 접근권한 등

- VPN 등의 전송구간 암호화

- 접속 단말 보안 (예 : 백신 설치, 보안패치 적용 등)

- 원격운영 현황(원격운영 인가자, VPN 계정 발급 현황 등) 지속적인 모니터링

- 원격 접속 기록 로깅 및 주기적 분석 

- 원격운영 관련 보안인식교육 등

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제4조(접근통제)

- 개인정보보호법 '개인정보의 안전성 확보기준(고시)' 제6조(접근통제 시스템 설치 및 운영)

 ㅇ   스마트워크  란 정보통신망을 활용하여 언제, 어디서나 편리하게 효율적으로 업무에 종사할 수 있도록 하는 업무형태를 말한다. (스마트워크 활성화를 위한 정보보호 권고 제2조)

- 스마트워크 업무형태에는 재택근무, 스마워크센터, 원격협업(영상회의 등), 모바일오피스(BYOD 포함) 등이 있다.

  ※   모바일오피스  란 스마트폰, 스마트패드, 노트북 등 모바일기기를 이용하여 시간적, 공간적 제약없이 업무를 수행하는 근무환경을 말함

ㅇ 조직이 구축하고 있는 스마트워크 업무형태에 따라 위협요인을 분석하여 중요정보 유출, 해킹 등의 침해사고 예방을 위한 절차 및 보호대책을 다음과 같이 수립 ∙ 이행하여야 한다.

- 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경

- 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위

※ 스마트워크 서비스 영역과 내부네트워크 영역을 분리하고 스마트워크용 단말에서 내부네트워크 영역 직접 연결 차단 필요(중계서버 구축 등) 

- 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등 

- 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화 (예 : VPN, SSL 인증서 등), 사용자 인증(예 : ID/PW이외 OTP, 공인인증서 등 강화된 인증방식 도입 권고) 등

- 접속 단말(PC, 모바일기기 등) 보안 :  백신 설치, 보안패치 적용, 단말 인증, 분실/도난 시 대책(신고절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요 시 암호화 조치) 등   

- 스마트워크 업무 환경에서의  이용자 정보보호 지침 마련 등

※ 참고 ※

- 스마트워크 활성화를 위한 정보보호 권고 해설서 (KISA) 

 ㅇ 조직 내부네트워크에 연결이 가능한 무선네트워크 환경 구축 시에는 내부 승인절차를 마련하여 비인가된 (사설)무선네트워크 장비(Rogue AP : Access Point)를 운영하지 않도록 하여야 하며 사전 보안성 검토를 수행하여 다음과 같은 보호대책을 적용하여야 한다. 

- 무선네트워크 장비 접속 단말기 인증 및 보안

- 무선네트워크 장비 (예 : AP, Access Point) 보안 및 허용 장비 리스트

- 무선 네트워크를 통하여 접근 할 수 있는 정보시스템 범위 정의

- 무선네트워크 사용권한 신청/변경/삭제 절차

- 사용자 식별 및 인증

- 무선네트워크 서비스 거리 제한 (주파수 세기 조정)

- 정보송수신 시 무선망 암호화 기준 (예 : WPA2)

- 전산실 등 통제구역 내 무선네트워크 사용 제한

- SSID(Service Set IDentification) 브로드캐스팅 중지 및 추측 어려운 SSID 사용 등

ㅇ 내부네트워크에 무선네트워크 환경을 구축하는 것은 업무의 편리성을 증대할 수는 있으나 충분한 보호대책 마련 없이 적용할 경우 내부 정보유출, 해킹 등의 심각한 상황을 초래할 수 있으므로 업무상 반드시 필요한 경우를 제외하고는 매우 신중하게 접근하여야 한다. 

※ 참고 ※

- 알기쉬운 무선랜 보안 안내서 및 무선랜 보안안내서 (KISA)  

 ㅇ 외부인이 무선네트워크 통해 내부네트워크(업무망)에 접속할 수 없도록 인가받은 임직원만 무선네트워크을 사용할 수 있도록 필요한 절차를 마련하여야 한다.  

 ㅇ 회의실, 교육장, 기자실, 민원실 등 외부인의 접근이 빈번한 장소인 경우 외부인에게 무선네트워크 사용을 허용할 수 있으나 내부네트워크(업무망)과 분리하여 무선네트워크를 통한 내부네트워크 침투 및 내부 정보유출을 방지하여야 한다.

 ㅇ 공개서버(웹서버, 메일서버 등)를 운영하는 경우 다음과 같은 보호대책을 마련하여야 한다.

- 공개서버 전용서버로 운영 

- 웹서버를 통한 개인정보 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축

- 접근권한 설정

- 백신설치 및 OS 최신 패치

- 불필요한 서비스 제거 및 포트 차단

- 불필요한 소프트웨어 ∙ 스크립트 ∙ 실행파일 등 설치 금지 등

- 불필요한 페이지(테스트 페이지) 및 에러처리 미흡에 따른 시스템 정보 노출 방지

- 주기적인 취약점 점검 등 

 ㅇ 공개서버(웹서버, 메일서버 등)는 DMZ 영역에 설치하고 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용하여야 한다.

 - DMZ의 공개서버가 내부 네트워크에 위치한 DB, WAS(Web Application Server) 등의 정보시스템과 접속이 필요한 경우 엄격하게 접근통제 정책을 적용하여야 한다.

 ㅇ 웹서버의 경우 최소한 OWASP TOP 10 웹취약점은 기본적으로 점검하여 취약점이 발견된 경우 신속하게 조치를 하여야 한다. (인증기준 11.2.10 취약점 점검 참고)

※ 참고 ※ 

- 전자금융거래법 '전자금융감독규정(고시)' 제17조(홈페이지 등 공개용 웹서버 관리대책)

- 웹서버구축 보안점검 안내서 (KISA)  

 ㅇ 웹서버의 보안설정 미흡, 기술적 취약점, 담당자의 실수 등으로 인해 조직의 중요정보(개인정보, 기밀정보 등)가 외부로 누출되는 경우(무단게시 등)가 빈번하게 발생하고 있다. 이를 예방하기 위하여 웹사이트에 정보를 공개하거나 업무상 웹서버에 중요정보를 저장하여야 할 경우 허가 및 게시절차를 수립하여 이행하여야 한다. 다만 원칙적으로 DMZ 구간내 웹서버에 조직의 중요정보(개인정보, 기밀정보 등)를 저장 관리하지 않는 것이 바람직하다.

ㅇ 또한 게시절차 위반 등으로 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다. 

 ㅇ IT 재해, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 및 복구 절차를 수립하고 이행하여야 한다.

- 백업대상 선정기준 수립

- 백업담당자 및 책임자 지정

- 백업대상별 백업 주기 및 보존기한 정의

- 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등

- 백업매체 관리 (예 : 라벨링, 보관장소, 접근통제 등)

- 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해복구 측면(인증기준 13. IT재해복구 참고)에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요 

- 백업관리대장 관리 등

ㅇ 백업대상은 중요정보(개인정보, 기밀정보 등), 문서, 각종 로그(정보시스템 보안감사로그, 이벤트 로그, 정보보호시스템 이벤트 로그 등), 환경설정파일 등 대상 정보 및 정보시스템의 중요도를 고려하여 선정하여야 하며 정해진 절차에 따라 백업관리를 수행하여야 한다. 

 ㅇ 중요정보가 저장된 백업매체는 운영중인 정보시스템 혹은 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리하여야 한다.

- 소산일자 (반출, 반입 등)

- 소산 백업매체 및 백업정보 내용

ㅇ 주기적으로 관리대장에 따라 소산 여부를 실사하여야 한다.

ㅇ 소산장소에 대해 다음과 같은 보안대책을 마련하여야 한다.

- 화재, 홍수와 같은 자연재해에 대한 대책 (예 : 내화금고, 방염처리 등)

- 접근통제 등 

 ㅇ 정보시스템 취약점 점검 정책과 절차를 다음과 같은 내용을 포함하여 수립하여야 한다.

- 취약점 점검 대상 (예 : 서버, 네트워크 장비 등)

- 취약점 점검 주기

- 취약점 점검 담당자 및 책임자 지정

- 취약점 점검 절차 및 방법 등

ㅇ 정보시스템 중요도에 따라 주기적으로 다음과 같은 내용을 포함하여 취약점 점검을 실시하여야 한다.

- 라우터, 스위치 등 네트워크 장비 구성, 설정 취약점 

- 서버 OS, 보안 설정 취약점 

- 방화벽 등 정보보호시스템 취약점

- 어플리케이션 취약점

- 웹서비스 취약점

- 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점

ㅇ 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려하여야 한다.

ㅇ 취약점 점검 시 이력관리가 될 수 있도록 '점검일시', '점검대상', '점검방법', '점검내용 및 결과', '발견사항', ' 조치사항' 등이 포함된 보고서를 작성하여야 한다. 

 ㅇ 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치결과를 문서화하여야 하며 조치결과서를 작성하여 책임자에게 보고하여야 한다. 

- 불가피하게 조치를 할 수 없는 취약점의 경우 그 사유를 명확하게 확인하고 책임자에게 보고하여야 한다. 

 ㅇ 정보시스템  은 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 의미한다. 즉 서버, PC 등 단말기, 보조기억매체, 네트워크 장치, 응용프로그램 등 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신에 필요한 하드웨어 및 소프트웨어를 말한다.

ㅇ 각 정보시스템 특성에 적합한 운영절차(또는 매뉴얼)를 수립하여야 한다. 이는 담당자 부재 시 혹은 신입직원 등이 긴급 상황에서 별다른 인수인계 없이도 정의된 절차에 따라 대응이 가능하도록 하기 위한 것이다.

ㅇ 정보시스템 운영절차에는 다음과 같은 내용을 포함하여야 한다.

- 정보시스템 환경설정(접근통제 : ACL, 패스워드 등) 방법

- 정보시스템 변경 절차

- 정보시스템 보안설정 방법 (인증기준 11.2.1 정보시스템 인수 참고)

- 접근권한 설정 방법

- 오류 및 예외 사항 처리 방법

- 문제 발생 시 긴급종료/재동작/복구 방법

- 시스템 모니터링 방안 : 보안감사로그, 각종 이벤트 로그 확인방법

- 긴급상황 발생 시 비상연락망 등 

ㅇ 신규 정보시스템 도입, 유지보수업체 변경 등 정보시스템 관련 환경 변화가 있을 경우 운영절차 내용을 검토하여 변경 사항을 반영하여야 한다. 또한 운영절차(매뉴얼)의 작성일자, 변경일자, 검토 및 승인자 등에 대한 이력도 함께 관리하여야 한다.

ㅇ 운영절차(또는 매뉴얼)는 정보시스템 운영과 관련된 중요 자료이므로 조직의 민감한 정보(IP 등 시스템 정보)가 포함된 경우 대외비 문서로 지정(인증기준 4.2.1 보안등급과 취급 참고)하여 해당 업무 관련자만 접근할 수 있도록 통제하고 업무상 재해에 대비하여 복사본을 별도로 마련하여 소산 보관하는 것이 좋다. (인증기준 13. 재해복구 참고) 

 ㅇ 정보시스템 운영을 외부 위탁하는 경우 외부 아웃소싱 업체가 정보시스템 운영절차(매뉴얼)를 수립하고 있는지 확인하고 운영절차에 따라 정보시스템 운영을 보장하도록 계약서에 관련 내용을 명시하여야 한다. 

- 운영절차(매뉴얼)은 외부 아웃소싱 업체가 자체 수립하거나 위탁사의 절차를 준용하여 수립할 수 있다.

ㅇ 운영 점검항목 등을 통해 외부 아웃소싱 업체가 운영절차를 준수하고 있는 지 주기적으로 확인하여야 한다. (인증기준 3.외부자 보안 참고) 

 ㅇ 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU/메모리/저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경요청, 책임자 검토 ∙ 승인, 변경확인, 변경이력관리 등의 공식적인 절차를 수립하고 이행하여야 한다.

 ㅇ 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석하여 변경에 따른 영향을 최소화 할 수 있도록 변경을 이행하고 변경 실패에 따른 복구방안을 사전에 고려하여야 한다.

- 변경의 규모를 고려하여 영향 분석 대상 기준을 자체적으로 정할 수 있다. 

ㅇ 정보시스템, PC 등에 IP를 부여하는 경우 승인 절차에 따라 부여하고 허가되지 않은 IP의 사용은 통제하여야 하며 인가된 사용자/단말만이 네트워크에 접근할 수 있도록 하여야 한다.

ㅇ 특별히 업무를 위하여 필요하지 않은 경우 네트워크 장비에 설치된 포트, 서비스를 제거 또는 차단하여야 한다. 

 ㅇ 네트워크 신규 생성 및 변경은 조직의 정보보호 환경에 많은 영향을 미치기 때문에 주요 변경에 대해서는 보안성을 검토하고 책임자의 승인을 받아야 한다. (인증기준 11.1.2 변경관리 참고)

 ㅇ 네트워크를 구성하는 주요자산목록, 구성도, IP 현황 등을 최신으로 유지하고 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리하여야 한다.

- 최소한의 인력만 접근, 전자 문서 형태로 관리할 경우 암호 설정 등 

 ㅇ 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 내부 주소체계를 외부에 유출되지 않도록 하여야 하며 외부 네트워크와의 연결지점에 NAT(Network Address Translation) 기능을 적용하여야 한다. 

ㅇ 사설 IP 주소를 할당하는 경우 국제표준에 따른 사설IP 주소대역을 사용하여야 한다.

※ 사설 IP 주소대역 ※

- 10.0.0.0 ~ 10.255.255.255

- 172.16.0.0 ~ 172.31.255.255

- 192.168.0.0 ~ 192.168.255.255) 

 ㅇ 핵심 업무영역의 네트워크는 위험평가를 통해 물리적 또는 논리적으로 영역을 분리하고 영역간 접근통제를 하여야 한다.

- (DMZ) 외부로부터의 접근이 불가피한 웹서버, 메일서버 등의 공개용 서버는 DMZ 영역에 위치시키고 공개서버를 경유하여 내부 업무망으로의 접근이 이루어지지 않도록 접근통제를 수행하여야 한다.

- (서버팜) 서버들이 위치하는 영역(서버팜)은 다른 네트워크 영역과 구분되고 인가받은 내부사용자의 접근만을 허용하도록 접근통제 정책을 적용하여야 한다.

- (DB팜) 조직의 중요정보가 저장된 DB가 위치한 네트워크 영역은 다른 네트워크 영역과 분리하여야 한다.

- (운영환경) 서버, 보안장비, 네트워크장비 등을 운영하는 인력이 사용하는 네트워크 영역은 별도로 분리하여야 한다. 

- (개발환경) 개발업무(개발자PC, 개발서버, 테스트서버 등)에 사용되는 네트워크는 별도망으로 구성하여 운영에 사용되는 네트워크와 분리하여야 한다. 

- (외부자) 외부 사용자에게 서비스를 제공하는 네트워크(외주용역, 민원실, 교육장 등)는 내부 업무용 네트워크와 분리하여야 한다.

- (기타) 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영하여야 한다.

※ 다만 기업의 규모 등을 고려하여 서버팜/DB팜을 세부적으로 분리하기 어려운 경우 추가적인 보완대책을 마련하여야 한다. (호스트 기반 접근통제 등) 

 ㅇ 칩임차단시스템, ACL(Access Control List) 설정이 가능한 네트워크 장비 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제하여야 한다.

- 특히 외부(인터넷)로부터의 불법적인 접근 및 침해시도를 방지하기 위해 침입차단 시스템 등을 통하여 내부 네트워크 접근은 더욱 엄격하게 통제하여야 한다.   

 ㅇ 물리적으로 떨어진 장소와 네트워크 연결이 필요한 경우 전용회선 또는 VPN을 활용하여 보안성을 강화하여야 한다.

 ㅇ 서버별로 접근이 허용된 사용자를 명확하게 식별하여 접속 시 인증하고 원격 접근 시 암호화된 통신 수단(ssh 등)을 사용하여야 한다.

 ㅇ 서버 사용자 접속 후 일정시간 사용이 없으면 연결을 종료(세션 타임아웃 시간 설정)하여야 한다.

 ㅇ 서버의 사용목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다.

ㅇ 시스템관리를 위한 프로그램의 설치 및 사용에 대해서는 인가 및 통제 절차를 수립하여야 한다.  

 ㅇ DNS 서버의 부하분산 방안(DNS서버 이중화 또는 공개된 외부 DNS 서버)을 수립하여 적용하여야 한다.

ㅇ DNS 서버의 환경변수 설정 및 설정 파일 정보에 대한 기록을 정기적으로 백업하고 DNS 스푸핑, DDoS 공격 등을 예방하기 위한 보호대책을 수립하여야 한다. 

ㅇ 외부에 서비스를 제공하는 웹, 민감한 정보를 보관 ∙ 처리하고 있는 DB와 응용프로그램 등은 공용 장비로 사용하지 않고 독립된 서버를 사용하여야 한다.

 ㅇ 사용자의 업무(직무)에 따라 응용프로그램 접근권한을 분류하여 업무(직무)별 권한의 차등 부여가 가능하여야 하며 업무 목적에 맞게 접근권한 부여를 최소화하여야 한다.

ㅇ 사용자 권한과 법적 요구사항에 따라 중요정보의 필요한 부분만 표시되도록 하는 기능을 구현하여 중요정보의 노출을 통제하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제8조(출력 ∙ 복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치) 

 ㅇ 일정시간 동안 입력이 없는 세션은 타임아웃 설정을 통해 연결을 차단하여야 한다. 단, 세션 타임아웃의 예외가 있는 경우 충분히 타당성을 검토하고 관련 책임자의 승인을 받아야 한다.

ㅇ 주요 응용프로그램은 동일 사용자가 동시 접속할 수 없도록 하여야 한다.  

ㅇ 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 외부 오픈을 차단하고 특정 위치의 단말에서만 접근 가능하도록 접근을 통제하고 로깅하여야 한다.

ㅇ DB서버 및 DBMS 접속에 대한 권한은 데이터베이스 관리자(DBA : Database Administrator), 사용자 등으로 구분하고 직무별 접근 통제 정책을 수립하여 이행하여야 한다.

ㅇ 데이터베이스 관리자(DBA) 및 사용자의 활동을 감사추적할 수 있도록 유일한 식별자를 할당하여야 한다. (인증기준 10.3.2 사용자 식별 참고) 

 ㅇ 중요정보(개인정보, 기밀정보 등)를 저장하고 있는 데이터베이스 및 WAS(WebApplication Server)는 외부에 서비스를 제공하는 공개 네트워크 영역(DMZ)에 위치하여서는 안된다. (웹서버와 분리)

- 단 WAS가 웹서버와 일체형으로 구성되어 분리가 어려운 경우에는 예외로 할 수 있다. 

ㅇ 일반 사용자는 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 하여야 하며 DBMS에 직접 접속하는 경우 DB 관리용 프로그램(DB 툴 등) 및 사용자(데이터베이스 관리자(DBA) 등)를 통제하여야 한다.

ㅇ DMZ 구간에 위치한 웹서버에서 내부 네트워크 DB로 접근할 경우 관련 포트 이외의 서비스포트(ftp, telnet, 터미널 등)는 차단하여야 한다. 

 ㅇ 중요정보(개인정보, 인사정보, 급여정도 등)가 포함된 테이블 또는 컬럼에 대해서는 업무상 취급 권한이 있는 자(개인정보취급자 등)만이 사용할 수 있도록 제한하여야 한다.

ㅇ DBMS 관리를 위한 계정은 데이터베이스 관리자(DBA)만이 사용할 수 있도록 하여야 한다.

ㅇ 사용하지 않는 계정, 테스트 계정, 기본 계정 등은 삭제 또는 접근이 불가능하도록 조치하여야 한다. 

ㅇ 응용프로그램(웹 등)용으로 부여된 데이터베이스 계정의 경우 데이터베이스 관리자(DBA), 사용자 등이 공용으로 사용하지 않아야 한다. 

ㅇ DB 접근의 타당성을 최소 월 1회 이상 주기적으로 검토하는 것이 바람직하다. 개인정보처리시스템(DB)의 경우 개인정보취급자가 접속한 기록을 월 1회 정기적으로 확인감독하도록 하고 있다. (인증기준 11.6.3 접근 및 사용 모니터링 참고) 

ㅇ 모바일 기기를 업무 목적으로 사용하는 경우 다음을 고려하여 모바일기기 허용기준을 마련하고 모바일기기정보(MAC, 시리얼 번호, 사용자 등)을 목록화하여 관리하여야 한다.

- 내 ∙ 외부 자산 (법인스마트폰, 개인스마트폰 등)

- 기기종류 (노트북, 스마트패드, 스마트폰 등) 

ㅇ 모바일기기를 통한 업무를 허용할 경우 범위를 명확히 하고 접근을 통제하여야 한다.

ㅇ 모바일기기를 통한 업무를 허용할 경우 기기이용에 대한 승인절차를 거쳐야 하며 접속시 기기인증을 수행하는 방안을 마련하고 이행하여야 한다.

※ 기기인증 : 네트워크 장비를 통한 인증, 전용장비(NAC 등)을 통한 인증, AP 인증 등

ㅇ 모바일 기기 이용에 따른 보안정책 및 모니터링 대책을 마련하여야 한다.

- 모바일 기기에 대한 이용자 보안 설정 정책 (백신설치, 보안패치, 공공장소에서의 사용주의, 분실시 데이터초기화 등)

- 내부자료 유출 방지를 위한 정책, 교육, 책임부여, 처벌기준

- 모바일 기기의 오남용 여부를 파악할 수 있는 모니터링 대책

- 모바일 장비에 설치되는 소프트웨어의 안전성을 점검대책 

 ㅇ 인터넷 접속에 대한 보안정책을 수립하여야 한다. 보안정책에는 인터넷 연결 시의 네트워크 구성 정책, 사용자 접속정책을 포함하여야 한다.

 ㅇ 중요정보를 취급∙운영하는 주요 직무자(개인정보취급자, 시스템관리자 등)의 경우 인터넷 접속 또는 서비스(P2P, 웹하드, 웹메일, 메신저 등)를 제한하는 등의 보호대책을 수립하고 이에 따라 이행하여야 한다. (인증기준 6.1.1 주요 직무자 지정 및 감독 참조)

- 다만 일정규모 이상의 정보통신서비스제공자는 개인정보를 처리(다운로드, 파기, 접근권한 설정)하는 개인정보취급자 컴퓨터의 외부 인터넷 접속을 차단하여야 한다.  

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호호조치)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제4조(접근통제) 

 ㅇ 외부로부터의 악성코드 유입을 방지하기 위하여 내부 업무용 PC의 유해사이트(P2P,  웹하드 등) 접속에 대한 차단조치를 수행하여야 한다.

 ㅇ 악성코드 유입, 리버스커넥션이 차단되도록 내부 서버(DB서버, 파일서버, 패치서버 등)에서 외부 인터넷 접속을 제한하여야 한다. 부득이하게 허용할 필요가 있는 경우 관련 위험 분석을 통해 보호대책을 마련하고 정보보호책임자의 승인을 얻어야 한다. 

ㅇ 원칙적으로 인터넷망과 내부망 PC 간의 자료전송은 차단하여야 하며 필요한 경우 별도의 통제절차를 거쳐 전송하고 해당 로그를 주기적으로 검토하여야 한다.

 ㅇ 정보시스템(네트워크 장비, 서버, 응용프로그램, DB 등) 및 정보보호시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하여야 한다.

ㅇ 공개 인터넷망을 통하여 접속을 허용하는 주요 정보시스템의 경우 아이디, 패스워드 기반의 사용자 인증 이외의 강화된 인증수단(OTP, 공인인증서 등)적용을 고려하여야 한다.  

ㅇ 특히 법적 요구사항에 따른 강화된 인증방식 사용이 필요한 경우 해당 정보시스템 접근 시 강화된 인증방식을 적용하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준 (고시)' 제4조(접근통제)  

 ㅇ 싱글사인온 등 다양한 정보시스템에 대한 사용자 인증을 용이하게 하는 시스템을 운영하는 경우 병목 및 침투(인증 도용 등) 시 피해 확대 가능성이 있으므로 별도의 보안대책(주요 정보시스템 재인증 등)을 마련하여야 한다.

※ 싱글사인온(SSO : Single Sign-On) : 하나의 아이디로(단 한번의 로그인) 조직의 각종 정보시스템에 접속할 수 있는 응용프로그램을 의미 

 ㅇ 정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자(아이디)를 할당하여 모든 사용자의 책임추적성을 보장하여야 한다.

ㅇ 관리자 및 특수권한 계정의 경우 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한하여야 한다. 

- 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정 등은 제거 또는 추측이 어려운 계정으로 변경하여야 한다

ㅇ 정보시스템 환경 상 혹은 업무상 불가피하게 사용자 계정을 공유하여 사용할 경우, 사유와 타당성을 검토하여 책임자의 승인을 받아야 하며 책임추적성을 보장할 추가적인 통제 방안을 적용하여야 한다.

 ㅇ  조직 내부 주요 정보시스템 및 정보보호시스템에 대한 사용자의 안전한 패스워드 사용 및 관리절차(작성규칙 등)를 다음과 같이 수립하고 이행하여야 한다.

- 사전공격(Dictionary attack)에 취약하지 않도록 문자(영문 대소문자), 숫자, 특수문자 등을 일정 자리수 이상으로 조합하도록 패스워드 작성규칙을 수립하고 주기적으로 변경 (분기 1회 이상 권고)

- 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한

- 정보시스템 도입 시 초기/임시 패스워드 로그인 시 지체 없이 변경

- 패스워드 처리(입력, 변경) 시 마스킹 처리

- 종이, 파일, 포켓용 소형기기 등에 패스워드 기록∙저장을 제한하고 부득이하게 기록 ∙ 저장해야 하는 경우 암호화 등의 보호대책 적용  

- 정보시스템 침해사고가 발생 또는 패스워드의 노출 징후가 의심될 경우 지체없이 패스워드 변경

- 패스워드 자동 저장 금지

- 개인정보취급자의 경우,  패스워드 작성 규칙에 대해 법적 요구사항 반영 등

ㅇ 응용프로그램인 경우 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다. 

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제4조(접근통제)

: 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

- 개인정보보호법 '개인정보 안전성 확보조치 기준 제5조(비밀번호관리)'에 대한 해설서

: 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 

 ㅇ 정보시스템의 관리자 패스워드는 일반 사용자 패스워드와 별도로 관리하여야 하며 관리자 패스워드를 기록한 문서 또는 저장장치(보안USB 등)는 비밀등급에 준하여 취급하고 내화 금고 등 잠금장치로 비인가자의 접근을 통제할 수 있는 안전한 곳에 보관하여야 한다.

ㅇ 교육, 홍보, 안내 등을 통해 사용자 계정 및 패스워드의 안전한 관리 절차에 대해 충분하게 공지하고 그에 따른 책임이 사용자에게 있음을 주지시켜야 한다.

 ㅇ 서비스 이용자 계정 및 패스워드의 도용을 방지하기 위하여 다음과 같은 항목이 포함된 관리절차를 수립하고 이행하여야 한다.

- 안전한 패스워드 작성규칙 수립 (패스워드 복잡도 등)

- 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한

- 초기/임시 패스워드를 발급할 경우 최초 로그인 시 변경

- 주기적인 패스워드 변경 유도

- 패스워드 처리(입력, 변경) 시 마스킹 처리

- 이용자 패스워드 분실 ∙ 도난 시 안전한 재발급 절차(본인인증 등)를 수립하여 재발급을 통한 도용 방지 등 (임시 패스워드 발급 시 안전한 전송 및 로그인 후 변경) 

ㅇ 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다.  

ㅇ 고객, 회원 등 서비스 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드의 관리절차를 마련하고 관련 내용을 홈페이지 또는 메일 등을 통하여 사용자가 쉽게 확인하고 이해할 수 있도록 공지하여야 한다.

ㅇ 접근통제 정책은 네트워크, 서버, 응용프로그램, DB, 모바일기기 등 영역별 접근통제 규칙, 방법, 절차 등을 포함하여야 한다. 

ㅇ 업무상 불가피하게 접근통제 정책 예외사항이 발생할 경우 이를 보완할 수 있는 통제방안(허가기간, 단말기, 접근위치 등)을 마련한 후 한시적으로 허용하여야 한다. 

ㅇ 정보시스템 영역별(네트워크장비, 서버, 응용프로그램, DB 등)로 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제에 관한 공식적인 검토 ∙ 승인절차를 수립하여 이행하여야 한다. 

ㅇ 정보시스템의 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제를 담당자가 임의대로 수행하여서는 안되며 수립된 절차에 따라 책임자의 승인이 완료된 후 이루어져야 한다.

ㅇ 사용자 계정 발급 및 접근권한 부여의 적정성 검토를 위하여 정보시스템에 등록된 사용자 계정 및 접근권한 부여 현황을 문서 또는 시스템으로 기록 ∙ 관리하여야 한다. (인증기준 10.2.3 접근권한 검토 참고) 

 ㅇ 직무별 또는 역할별 정보시스템 접근권한을 정의한 접근권한 분류 체계를 관리하여야 한다.

ㅇ 정보시스템에 대한 접근권한은 업무 수행에 필요한 최소한으로 할당하여야 하며, 업무 담당자 직무에 따라 차등 부여하여야 한다. 

 ㅇ 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제 권한을 한 사람에게 집중 부여하여서는 안되며 사용자 접근권한 변경이력에 대한 감사추적이 될 수 있도록 이력을 기록하여야 한다.

- 다만 불가피하게 계정관리 및 권한부여 권한이 한 사람에게 집중될 경우 권한 부여 활동의 적정성을 주기적으로 검토하여야 한다.

ㅇ 또한 아웃소싱 업체에게 접근권한 설정 권한을 주는 경우 중요 권한부여 시에는 내부 조직 책임자의 승인을 득하도록 하여야 한다. 

 ㅇ 관리자(root, administrator, admin 등 최종권한) 및 특수 권한(배치나 모니터링을 위하여 부여받은 권한, 계정 및 접근 설정 권한 등) 할당 및 사용 시에는 책임자의 승인을 포함한 인가 절차를 따라야 한다. 

ㅇ 관리자 권한을 식별하여 사용자를 최소한으로 제한하고 관리자 권한의 계정은 별도의 목록으로 관리하는 등 통제절차를 수립하여야 한다.

ㅇ 특수 권한은 반드시 필요한 경우에만  할당하도록 하며 특수 권한을 부여 받은 계정은 식별이 가능하도록 관리하여야 한다.

ㅇ 정보보호시스템(침입차단시스템 등), 응용프로그램 등의 관리자 계정 또한 특수 목적을 위한 계정으로 인식하고 관리하여야 한다. 

ㅇ 정보시스템 유지보수를 위하여 방문하는 외부자에게 부여하는 계정은 필요시에만 생성하고 유지보수 완료 후 즉시 삭제 또는 정지하는 절차를 적용하여야 한다. (3.2.2 외부자 계약 만료 시 보안 참고)

ㅇ 접근권한 분류체계(권한분류표 등)를 마련하여 분류체계를 기반으로 권한부여에 대한 적정성 여부를 검토할 수 있도록 하여야 한다.

- 접근권한 분류체계는 직무별 또는 역할별로 구분하여 수립할 수 있다.

- 예를 들어 개인정보처리시스템의 경우에는 개인정보처리(조회, 변경, 삭제, 다운로드 등) 권한 구분이 가능하도록 권한관리를 하여야 한다. 

ㅇ 다음과 같은 항목을 기준으로 접근권한 부여의 적정성을 검토하여야 한다. 

- 공식적인 절차에 따른 접근권한 부여 여부

- 접근권한 분류체계의 업무목적(직무) 및 보안정책 부합 여부

- 접근권한 부여 승인자에 대한 적절성

- 직무변경 시 기존 권한 회수 후 신규업무에 적합한 권한부여 여부

- 업무 목적 이외의 과도한 전급권한 부여

ㅇ 또한 장기 미사용, 직무변경, 휴직, 퇴직, 업무시간 외 사용 등의 경우에도 접근권한 사용 현황을 검토하여 다음과 같은 조치를 취해야 한다.

- 장기 미사용(3개월 권고) 계정 및 접근권한 삭제

- 직무변경 시 기존 권한을 회수하고 신규 업무에 적합한 권한을 부여

- 휴직(병가, 출산 등) 시 계정 및 권한 회수

- 퇴직 시 지체없이 계정을 삭제 (단, 계정삭제가 어려운 경우 권한 회수 한 후 계정을 정지)

※ 계정 정지 또는 비활성화를 하는 경우에는 계정 활성화가 불가능하도록 조치 필요

ㅇ 접근권한 검토 기준별로 검토주체, 검토방법, 주기(최소 분기 1회 이상 권고) 등을 구체적으로 정의하여 이행하여야 한다. 

ㅇ 접근권한 검토 대상은 개인정보처리시스템 등 서비스 및 업무에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템으로 정할 수 있다. (인증기준 4.2.1 보안등급과 취급 참고) 

ㅇ 접근권한 검토 결과 권한의 과다 부여, 오남용 등 의심스러운 상황이 발견된 경우, 원인 분석, 보완대책 마련, 보고체계 등이 포함된 절차를 수립하고 이행하여야 한다. 

ㅇ 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지하여야 한다.  

ㅇ 조직 내 개인정보, 기밀정보, 영업정보, 인사정보와 같은 중요정보에 대해 전송 및 저장 시 다음과 같은 내용이 포함된 암호정책을 수립하여야 한다.

- 암호대상 : 취급 정보 민감도 및 중요도에 따라 정의

- 암호화 대상별 암호화 방식과 알고리즘 강도 정의

- 암호키 관리 대책

- 정보 전송 및 저장 시 암호화 방안

- 암호화 관련 시스템 운영 담당자 역할 및 책임 정의

- 암호화 관련 법적 요구사항 반영 (개인정보보호 관련 법률 등)

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화) 

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화)

- 전자금융거래법 '전자금융감독규정(고시)' 제15조(해킹 등 방지대책) 및 제17조(홈페이지 등 공개용 웹서버 관리대책) 

- 위치정보의 보호 및 이용에 관한 법률 제16조(위치정보의 보호조치 등) 

ㅇ 관련 법률에 따라 이용자 및 내부 사용자(임직원 등)의 비밀번호는 안전한 알고리즘(예 : 128비트 이상. SHA 256, SHA384 등)을 통해 일방향 암호화하여야 한다.

- 법률에 따른 대상 이외의 서비스 및 시스템 비밀번호도 일방향 암호 알고리즘을 이용하여 암호화하는 것이 바람직하다.

※ 참고 ※  

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화)

- 전자금융거래법 '전자금융감독규정(고시)' 제32조(내부사용자 비밀번호 관리) 및 제33조(이용자 비밀번호 관리) 

ㅇ 다음과 같은 법적 요구사항에 따라 개인정보 저장 시 암호화를 하여야 한다.

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' : 주민등록번호, 신용카드번호, 계좌번호를 안전한 알고리즘(128 비트 이상 보안강도 권고 : SEED, AES128 등)으로 암호화하도록 하고 있음

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' : 인터넷구간 및 인터넷구간과 내부망의 중간지점(DMZ)에 저장하는 고유식별정보(주민등록번호, 여권번호, 면허번호, 외국인등록번호)는 반드시 암호화하여야 하며 내부망에 고유식별정보를 저장할 경우에는 별도의 개인정보 영향평가, 위험도 분석을 시행하여 암호화 적용 여부를 정하도록 하고 있음

ㅇ 법률에서 정한 대상 이외의 개인정보(휴대폰 번호, 이메일 등), 기밀정보, 영업비밀과 같은 중요정보에 대해서도 저장 시 암호화를 고려하여야 한다.

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화)

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화) 

ㅇ 다음과 같은 법적 요구사항에 따라 이용자의 개인정보 및 인증정보를 정보통신망을 통해 송 ∙ 수신 할 경우 암호화를 하여야 한다.

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' : 정보통신망을 통해 이용자의 모든 개인정보 및 인증정보를 송 ∙ 수신 할 경우 보안서버 구축(SSL 인증서 등) 등의 암호화를 하도록 하고 있음 

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' : 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 정보통신망을 통해 내외부로 송 ∙ 수신하거나 보조저장매체를 통해 전달하는 경우 암호화 하도록 하고 있음

ㅇ 법률에서 정한 대상 이외의 중요정보를 정보통신망을 통해 송 ∙ 수신 및 보조저장매체를 통한 전달 시 암호화를 고려하여야 한다.

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화)

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화) 

ㅇ 다음과 같은 법적 요구사항에 따라 개인정보를 개인용 컴퓨터(PC 등)에 저장할 경우 암호화를 하여야 한다.

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' : 서비스 이용자의 개인정보를 개인용컴퓨터(PC)에 저장할 때 암호화 하도록 하고 있음

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' : 업무용 컴퓨터에 고유식별정보를 저장할 경우 암호화하도록 하고 있음

ㅇ 법률에서 정한 대상 이외의 중요정보를 개인용 컴퓨터(PC 등)에 저장할 경우 암호화를 고려하여야 한다.

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화)

- 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화)

- 상용소프트웨어에서의 암호기능 이용 안내서 (KISA) 

ㅇ 암호키 생성, 이용, 보관, 배포, 파기에 대해 다음과 같은 항목이 포함된 정책 및 절차를 수립하고 이행하여야 한다. 

- 암호키 관리 담당자 지정

- 암호키 생성, 보관(소산 백업 등) 방법

- 암호키 배포 대상자 정의 및 배포방법 (복호화 권한 부여 포함)

- 암호키 사용 유효기간 (변경주기)

- 복구 및 폐기 절차 및 방법 등 

 ㅇ 생성된 암호키는 암호키 손상 시 시스템 또는 암호화된 정보의 복구를 위하여 별도의 매체에 저장 후 안전한 장소에 보관(소산 백업 포함)하여야 한다.

ㅇ 암호키는 암호키를 이용하는 시스템(웹서버 또는 DB서버 등)에 저장할 수 있으나 물리적으로 분리된 서버에 저장하는 것이 좋다.

- 다만 암호키는 하드코딩 방식으로 구현하여서는 안된다.

ㅇ 암호키에 대한 접근권한 부여는 최소화하여야 한다. 

 ㅇ 암호기술 구현 안내서(KISA)에서 암호키의 사용기간은 최대 2년 유효기간은 최대 5년을 권고하고 있으나 암호키 변경 시 비용과 기업의 정보자산 및 업무 중요도를 고려하여 자체적으로 정하여 적용할 수 있다.

ㅇ 다만 암호키 유출, 암호시스템 해킹이 의심되는 경우, 즉시 암호키를 변경하여야 한다.

※ 참고 ※

- 암호기술 구현 안내서 (KISA, http://seed.kisa.or.kr)