securityse lab

ㅇ 정보시스템에서 알려진 기술적 보안 취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약을 마련하여야 하며 이에 따라 정보시스템을 구현하여야 한다.

 ㅇ 코딩 완료 후 안전한 코딩 표준 및 규약 준수 여부를 점검하고 기술적 보안 취약점이 존재하는 지 확인하여 취약점 발견 시 재코딩을 하여야 한다. 

- 시스템이 안전한 코딩표준에 따라 구현하는 지 소스코드 검증 (소스코드 검증도구 활용 등)

- 코딩이 완료된 프로그램은 운영환경과 동일한 환경에서 취약점 점검도구 또는 모의진단을 통한 취약점 노출 여부를 점검

 ㅇ 정보시스템 구현 완료 후 사전 정의된 보안 요구사항(인증기준 8.1.1 보안 요구사항 정의 참고)을 충족하는 지 확인하기 위하여 시험 시나리오, 체크리스트 등을 작성하여 시험을 수행하여야 한다. 

ㅇ 개발과 운영 환경을 분리하지 않은 경우 개발로 인해 운영환경의 성능 및 용량에 영향을 미칠 수 있고 개발자의 비인가된 운영환경으로의 접근이 발생할 수 있다.

-  조직 규모가 작거나 인적 자원 부족 등의 사유로 인해 불가피하게 개발과 운영 직무 분리가 어려운 경우, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토/승인, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다. (인증기준 6.1.2 직무분리 참고)

ㅇ 다음과 같은 내용을 고려하여 운영환경으로의 이관 절차를 수립하고 이행하여야 한다.

- 개발자 이외의 이관담당자 지정

- 시험완료여부 확인

- 이관 전략 (단계적 이관, 일괄적 이관 등)

- 이관 시 문제 대응 방안

- 이관에 대한 책임자 승인

ㅇ 운영환경으로의 정보시스템 이관이 원활하게 이루어지지 않았을 경우 복귀(rollback) 방안, 이전 버전의 시스템 보관 방안(소프트웨어, 소프트웨어정보, 부가적인 관련 프로그램, 구성파일, 절차, 파라미터 등) 등을 마련하여야 한다.  

 ㅇ 운영환경에는 승인되지 않은 개발도구(컴파일러, 편집기 등)와 소스코드(백업본 포함)가 있어서는 안되며 승인된 실행파일만 설치하여야 한다.

ㅇ 개인정보를 포함한 회사의 중요한 정보가 시스템 시험과정에서 유출되는 것을 방지하기 위하여 시험데이터는 임의의 데이터를 생성하거나 운영데이터를 가공하여 사용하여야 한다.

 ㅇ 실제 운영 데이터가 시험 환경에서 사용될 경우, 다음과 같은 절차를 수립하고 이행하여야 한다.

- 운영 데이터 사용 승인 절차 : 데이터 중요도에 따른 보고 및 승인체계 정의

- 시험용 운영 데이터 사용 기한 및 기한 만료 후 폐기 절차 (예 : 사용 만료 후 즉시 폐기 확인)

- 중요 데이터 사용에 대한 시험 환경에서의 접근 권한 및 통제 수립 (예 : 운영환경과 동일한 접근 통제 권고)

- 운영데이터 복제 및 사용에 대한 모니터링 및 감사

ㅇ 소스 프로그램의 변경(예 : 변경 ∙ 구현 ∙ 이관 일자, 변경 요청 사유 등)을 통제하고 변경된 소스 프로그램에 맞춰서 시스템 관련 문서(예 : 요구사항정의서, 설계서 등)에 대한 변경통제도 함께 수행하여야 한다.

ㅇ 신규 시스템 개발 및 기존 시스템 개선 완료 후 시스템 운영 장애 등 비상시를 대비하여 이전 시스템 소스 프로그램을 다음 항목과 함께 보관하여야 한다.

- 이전 시스템 환경에 필요한 운영 소프트웨어 (OS)

- 이전 시스템 지원 소프트웨어 

- 이전 시스템 관련 문서 (예 : 기능적, 기술적 설계서, DB 설계 및 데이터 정의서 등)

ㅇ 소스 프로그램은 운영 환경이 아닌 별도의 환경에 저장하여야 하며 인가된 담당자에게만 접근을 허용하여야 한다.

ㅇ 정보시스템을 외주 위탁하는 경우 SW 개발보안을 위한 적절한 개발절차 방법, SW 보안 취약점 진단도구 사용여부 확인에 대하여 제안요청서에 기재하여야 한다.

ㅇ 정보시스템을 외주 위탁하여 개발하는 경우 분석부터 설계, 구현에 이르기까지 보안 요구사항을 계약서 상에 분명히 명시하여야 한다.

ㅇ 정보시스템 개발주기(분석-설계-구현-시험)별로 보안요구사항 준수여부를 관리하고 감독하여야 한다.

- 기능적, 기술적 요구사항의 반영 여부

- 개발 보안 가이드 준수 여부(시큐어 코딩 등)

- 테스트 시 보안요구사항 준수여부 확인 절차 포함

- 개발완료된 시스템에 대한 취약점 점검 등

- 개발인력 대상 SW개발보안 관련교육

ㅇ 정보시스템 개발 완료 후 보안 요구사항 반영 여부,  SW 보안취약점 제거 여부, SW 보안취약점 발견사항 조치여부, 개발자 계정 및 권한 삭제 여부 등을 확인한 후 검수 또는 인수하여야 한다.

ㅇ 신규 정보시스템 개발 및 기존 시스템 변경 시 (개인)정보 영향 평가 결과, 정보보호 기본요소, 최신 보안취약점 등을 고려하여 다음과 같은 항목이 포함된 보안 요구사항을 정의하여 설계 단계에서부터 구현, 시험, 이관까지 일관성있게 적용될 수 있도록 하여야 한다.

- 개인정보처리에 관련된 법적 요구사항 (예 : 개인정보 취급자 권한 부여 기록, 접속기록, 암호화 대상 정보 등)

- 사용자 부서 및 기관의 정보보호 요구사항 (예 : 접근권한 정의 및 통제 원칙, 암호화 대상 선정 등)

- 정보보호 관련 기술적인 요구사항 등 (예 : 개발보안, 인증, 암호화 등)

※ 참고 ※

- 홈페이지 SW(웹) 개발보안 가이드 (KISA)

- 웹서버구축 보안점검 안내서 (KISA)

- 웹어플리케이션 보안 안내서 (KISA)

- 홈페이지 개발보안 안내서 (KISA)

- 소프트웨어 개발보안(시큐어 코딩) 관련 가이드 (JAVA, C, Android-JAVA) (안전행정부)

ㅇ 정보시스템 설계 시 사용자 인증에 대해 다음과 같은 사항을 고려하여야 한다. (인증기준 10. 접근통제 참고)

- 패스워드 관련 : 패스워드 잠김 임계치 설정, 패스워드 암호화 

- 접근관련 : 동일사용자 동시세션 제한 등 

- 추가적인 사용자 인증 절차 : 중요한 정보시스템(예 : 개인정보처리스시템)의 경우 추가적인 인증(예 : OTP, 공인 인증서 등) 요구 

※ 참고 ※

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제4조(접근통제)

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 제23조의2(주민등록번호의 사용 제한)

ㅇ 법적 요구사항을 고려하여 중요정보에 대해 안전성이 입증된 알고리즘과 키 길이를 사용하여 암호화하여야 한다. (인증기준 9.1.1 암호 정책 수립 참고)

- 법적 요구사항이외에 조직에 특성에 따라 암호화 대상을 정의한 경우 암호화를 고려하여야 한다.

※ 참고 ※

ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

- 비밀번호 일방향 암호화 저장

- 주민등록번호 및 계좌번호 등 금융정보의 암호화 저장

ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화) 

- 주민등록번호, 신용카드번호, 계좌번호의 암호화 저장

- 정보통신서비스 제공자의 개인용컴퓨터(PC)상에 저장된 이용자의 개인정보 암호화

ㅇ 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화)

- 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록증번호) 암호화

- 비밀번호 및 바이오정보 암호화 (비밀번호는 일방향 암호화)

- 개인정보처리자 개인용컴퓨터(PC)상에 저장된 고유식별번호

ㅇ KISA 안내서

- 암호기술 구현 안내서 (http://seed.kisa.or.kr)

- 암호이용 안내서

- 암호정책 수립기준 안내서 등

ㅇ 정보통신망을 통해 중요정보를 송 ∙ 수신하는 경우, 법적 요구사항을 고려하여 보안서버 구축 등의 조치를 통한 암호화 통신이 이루어져야 한다. (인증기준 9.1.1 암호 정책 수립 참고)

※ 참고 ※

ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화)

- 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송수신할때에 안전한 보안서버 구축 등의 조치 필요 (예 : SSL, 암호화 응용프로그램을 설치하여 전송정보 암호화)

ㅇ 개인정보보호법 '개인정보의 안전성 확보조치 기준 고시 및 해설서' 제7조(개인정보의 암호화)

- 개인정보처리자는 주민등록번호, 비밀번호, 바이오정보 등 정보통신망을 통하여 송수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 암호화 필요(보안서버 활용가능)

ㅇ 보안서버구축 안내서 (KISA)

ㅇ 보안사고 발생 시 책임 추적을 위하여 정보시스템에 다음과 같은 감사증적(로그)을 확보할 수 있도록 설계하여야 한다. (인증기준 11.6 로그관리 및 모니터링 참고)

- 사용자 및 관리자의 접속기록 (로그인 및 로그아웃)

- 사용자 권한 부여, 변경, 말소 기록

- 정보시스템 시작 및 중지

- 특수 권한으로의 접근 기록

- 주요업무관련 행위에 대한 로그 등

ㅇ 정보시스템 설계 시 보안로그의 비인가된 변조 및 삭제를 방지하기 위한 대책을 마련하여야 한다. (예 : 로그에 대한 접근통제 등) 

ㅇ 정보시스템 설계 시 업무 성격, 프로세스, 보안 요구사항에 따라 다음과 같은 기준을 고려하여 접근권한 부여 기능을 마련하여야 한다. (인증기준 10.2.1 사용자 등록 및 권한 부여, 10.2.3 접근권한 검토 참고)

- 사용자별

- 사용자 업무역할별

- 기능별

- 메뉴별 등

ㅇ 전력 및 통신케이블 등이 외부의 영향 없이 안정적으로 전력 및 데이터 전송이 이루어질 수 있도록 다음과 같은 보호조치를 취하여야 한다.

- 전력 및 통신케이블은 물리적으로 구분하여 배선

- 전력 및 통신케이블에 대한 식별 (어느 시스템에 연결되어 있는 지 확인 필요)

- 전력 및 통신케이블 사이의 상호간섭을 방지하기 위한 거리유지

- 케이블을 지지하고 보호할 수 있는 설비 설치 (예 : 케이블 트레이)

- 도청이나 손상이 일어나지 않도록 케이블을 보이지 않게 매설할 것

- 약전실, 강전실, 배전반 등에 대한 접근통제 등

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)'

- 방송통신설비의 기술기준에 관한 규정

 ㅇ 서버, 네트워크 장비, 정보보호시스템, 백업장치 등 정보시스템 특성에 따라 분리하여 배치하고 전산랙(Rack)등을 이용하여 시스템을 외부로부터 보호하여야 한다.

ㅇ 개인정보 또는 사내 기밀정보 등 중요정보를 저장하고 있는 서버나 중요 네트워크 장비(백본 등)의 경우 전산랙에 잠금장치를 설치하는 등 인가된 자에 한해 접근이 가능하도록 관리하여야 한다.

ㅇ 장애 또는 보안사고 발생 시 신속한 조치를 위하여 시스템의 위치를 담당자가 즉시 확인할 수 있도록 물리적 배치도(시설 단면도, 배치도 등) 또는 목록을 마련하여 최신본으로 관리하여야 한다. 

- 또한 시스템 정보자산목록에 물리적 위치 항목을 포함하여 목록에서 언제든지 물리적 배치를 확인 가능하도록 하여야 한다.

ㅇ 일상업무를 수행하는 사무실 환경에 대해 다음과 같은 보호대책이 명시된 정책을 수립하고 이행하여야 한다.

- 일정시간 자리 이석, 퇴근, 휴가 시 책상 위에 중요문서, 저장매체방치 금지

- 중요 문서가 보관된 서랍장, 캐비넷 잠금장치 사용

- 일정시간 컴퓨터 미사용 시 화면보호기를 설정, 재시작 시 로그인 설정, 장기간 자리 이석 시 컴퓨터 로그오프 

- 안전한 로그인 비밀번호 사용 및 주기적 변경

- 개인용컴퓨터 백신설치, 최신 패치, 공유폴더 설정 제한 

- 개인용컴퓨터 및 업무시스템 안전한 로그인 비밀번호 사용 및 주기적 변경, 로그인정보(ID, 비밀번호) 노출 금지 (포스트잇 기록 부착 등)

- 중요 정보가 포함된 문서 폐기 시 세절기를 이용한 파쇄 등

ㅇ 임직원으로 하여금 개인업무환경에서의 정보보호 준수여부를 자가진단하게 하고 주기적으로 관리부서에서 정보보호 준수여부를 점검하여야 한다. 

- 또한 개인업무 환경보안 미준수자는 상벌규정에 따라 관리되어야 한다. 

 ㅇ 공용으로 사용하는 사무기기, PC, 파일서버, 문서고 등에 대해 다음과 같은 보호대책을 수립하고 이행하여야 한다.

- 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요정보문서 방치 금지

- 공용PC : 일정기간 미사용 시 화면보호기를 설정, 재 시작 시 로그인 암호설정, 공용패스워드 사용 시 주기적으로 패스워드 변경, 중요정보 저장 제한

- 파일서버 : 파일서버 접근권한을 부서별, 업무별 등으로 부여하여 불필요한 정보공개 최소화, 사용자 별도 접근계정 발급, 공용 PC 보안대책 적용

- 문서고 : 문서고에 대한 접근권한을 부서별 혹은 업무별로 부여하여 출입가능인원을 최소화하고 CCTV 혹은 출입통제시스템을 설치하여 출입이력 관리

- 공용 사무실 : 회의실, 프로젝트룸, 화상회의실 등 공용사무실 내 중요정보 문서 방치 금지 

- 기타 공용업무환경에 대한 보안대책 수립

ㅇ 공용업무 환경 보안을 담당하는 관리자를 지정하고 각 사무기기, 파일서버, 문서고 등에 적용해야 할 보호대책 준수 여부를 주기적을 점검하여야 한다. 또한 미준수 사항 발견 시 관련 내용을 임직원들에게 공고 또는 교육을 수행하여 주의를 환기시켜야 한다.

(예 : 복사기 주변 프린트물 방치 발견 시, 관련 내용을 사내메일 등을 통해 공고하여 주의 환기를 통한 재발방지 유도)

ㅇ 전산실, 시스템 운영 및 개발 공간, 통신장비실, 관제센터 등 업무의 중요도 및 정보자산 위치에 따라 물리적 보호 구역을 다음과 같이 구분하고 구역별 보호대책을 수립하고 이행하여야 한다.

- 접견구역 : 외부인이 별다른 출입증 없이 출입이 가능한 구역 (예 : 접견장소 등)

- 제한구역 : 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소 (예 : 부서별 사무실 등)

- 통제구역 : 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳 (예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등)

ㅇ 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도여부를 주기적으로 검토하여야 한다.

ㅇ 보호구역의 중요도와 특성에 따라 화재, 전력이상, 비인가된 외부침입 등을 방지하기 위하여 보호구역별 필요한 다음과 같은 설비를 갖추고 운영절차를 마련하여야 한다.

- 온습도 조절기 (항온항습기 또는 에어컨)

- 화재감지 및 소화설비

- 누수감지기

- UPS, 비상발전기, 전압유지기

- CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 )

- 전력선 이중화

- 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등

ㅇ 특히 통제구역에 해당하는 전산실의 경우 상기설비를 갖추고 화재, 전력이상, 장애 등의 비상 시 신속한 복구 및 대응이 가능하도록 운영절차를 마련하여야 한다.  

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)'

ㅇ 화재 감지기를 적절한 간격으로 설치하고 충분한 용량의 소화기를 비치하여야 한다.

- 보호구역 면적에 대비하여 화재 감지기(예 : 열감지, 연기감지) 및 소화기를 설치하여야 하며 주기적으로 화재감지기 및 소화기 상태를 점검하여야 한다.

※ 참고 ※

- 소방시설 설치 ∙ 유지 및 안전관리에 관한 법률

 ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 누수 발생 시 탐지가 가능하도록 누수감지기를 설치하고 정상적인 작동유무를 주기적으로 점검하여야 한다.

 ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 온도 16~26도, 습도 40~70%를 항시 유지하기 위하여 전산실 규모에 따른 적정한 규모의 항온항습기 또는 에어컨을 설치하고 주기적으로 항온항습기 또는 에어컨 상태를 점검하여야 한다.

ㅇ 정전, 전기사고 등 갑작스러운 전력공급 중단 시 주요 정보시스템이 전력을 안정적으로 공급받을 수 있도록 전산실 및 시스템 규모를 고려하여 다음과 같은 설비를 구축하고 주기적으로 상태를 점검하여야 한다.

- 무정전전원장치 (UPS)

- 비상발전기

- 이중전원선

- 전압유지기

- 접지시설 등

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)'

 ㅇ 화재 등의 재해 발생 시 임직원이 대피할 수 있도록 대피절차를 별도로 마련하고 절차에 따라 신속하게 대피할 수 있도록 비상벨, 비상등, 비상로 안내표지 등을 설치하여야 한다.

ㅇ 주요 정보시스템을 외부 집적정보통신시설(IDC)에 위탁운영하는 경우 화재, 수재, 전력이상, 온도, 습도, 환기 등의 환경적 위협 및 파손, 도난 등 물리적 위협으로부터 보호되도록 보안요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하여야 한다

- 온습도 조절기 (항온항습기 또는 에어컨)

- 화재감지 및 소화설비

- 누수감지기

- UPS, 비상발전기, 전압유지기

- CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 )

- 전력선 이중화

- 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등

- 구조의  안전성 (설비 하중을 견딜 수 있는 구조)

- IDC의 책입보험 가입여부 (미가입 시 1천만원 이하의 과태료 부과)

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조(집적된 정보통신시설의 보호)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제38조(보험가입)

ㅇ 주요 시설 및 정보시스템이 위치한 통제구역(전산실 등)에서 정보시스템 도입 및 폐기, 유지보수(정기점검 포함) 등의 사유로 임직원 및 외부인이 작업을 수행할 경우 다음 사항을 고려하여 작업신청 및 승인, 작업기록 작성, 모바일 기기 반출입 통제 등의 절차를 마련하고 그 기록을 정기적으로 검토하여야 한다.

- 작업신청 시 관련자(예 : 보호구역 출입통제 담당자, 작업신청부서장 등) 검토 ∙ 승인 필요

- 작업기록에는 작업일자, 작업시간, 작업목적, 작업내용, 작업업체 및 담당자명, 검토자 승인자 등 포함

- 작업 수행을 위한 보호구역 출입 절차 마련 및 출입기록의 주기적 검토

- 작업 수행을 위한 모바일기기 반출입 및 모바일 기기 안전성 확보 절차(백신 설치 등) 마련

ㅇ 주요 시설 및 시스템이 위치한 통제구역 내 모바일기기(노트북, 스마트기기 등) 사용은 원칙적으로 금지하는 것이 바람직하다. 다만 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용해야 하는 경우 사전 승인 및 모바일 기기의 보안성 검토를 수행한 후 사용하여야 한다.

ㅇ 각 보호구역별로 출입 가능한 부서, 직무, 업무를 정의하고 출입권한이 부여된 임직원을 식별하여 그 현황을 관리하여야 한다. 

ㅇ 공식적인 출입절차(출입신청, 책임자 승인, 출입권한부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등)를 마련하고 인가된 사람만이 출입할 수 있도록 하여야 한다.

ㅇ 또한 주요 시설 및 시스템이 위치하고 있는 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제하여야 한다.

ㅇ 특히 보호구역에 외부인 출입이 필요한 경우 내부 임직원 출입절차와는 별도의 절차 (방문객 출입증 발급 및 패용, 방문장소로 출입권한 제한, 담당자 동행, 출입대장 작성 등) 를 마련하여 출입을 통제하여야 한다. 

ㅇ 각 보호구역 출입의 책임추적성을 확보할 수 있도록 출입기록을 일정기간 보존하고 출입의 적정성을 확인하기 위하여 다음과 같은 기준으로 출입기록을 주기적으로 검토하여야 한다.

- 업무 목적에 적합한 출입권한 부여 : 업무 목적에 비해 과도한 출입권한 부여 시 권한 조정, 장기간 미출입 시 권한 회수 등 조치

- 절차에 따른 출입권한 부여 : 보호구역 출입절차에 따른 권한 부여 여부 확인 (임의적 출입권한 생성 확인)

- 퇴직자 또는 직무변경자 출입권한 삭제 ∙ 조정 및 출입증 회수 : 퇴직자 출입증 회수 및 출입권한을 삭제, 직무변경에 따른 출입권한 조정

- 업무시간 외 출입 : 일상 업무시간 이외 출입 시 출입사유 확인

- 비인가자의 출입 시도 : 중요한 보호구역인 통제구역의 비인가자 출입시도를 확인하여 그 사유를 확인하고 조치

- 외부자 출입기록 : 유지보수, 비상 시 외부자 출입 적정성 검토

상기 검토 기준 이외에도 조직의 업무특성에 따른 기준을 별도로 마련하여 보호구역 출입 적정성을 검토하는 것이 좋다.

ㅇ 또한 시스템적으로 출입로그를 남기지 않는 단순 잠금장치(자물쇠)를 사용하는 경우에는 반드시 출입대장을 작성하여 출입기록을 확인할 수 있도록 하여야 한다.

ㅇ 보호구역별로 모바일기기(노트북, 탭, 패드 등)의 반출입에 대한 통제절차를 다음과 같이 마련하여야 한다.

- 보호구역 출입통제 책임자 사전승인

- 반출입 관리대장 기록

- 모바일 기기 보안 점검 수행

- 모바일 기기 반출입내역 주기적 점검 등

ㅇ 모바일기기 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방절차 수립 시 다음과 같은 사항을 고려하여야 한다.

- (반입시) 안티바이러스 S/W 통한 악성코드 감염여부 점검

- (반입시) USB 포트 차단 및 USB 반입 금지

- (반입시) 모바일 기기 장착된 카메라 렌즈 봉인 등

- (반출시) 중요정보 저장 여부 확인

ㅇ 주요 시설 및 정보자산이 위치한 통제구역 내 모바일기기(노트북, 탭, 패드 등)의 반입은 원칙적으로 금지하는 것이 바람직하며 업무목적으로 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용하여야 하는 경우 사전 승인을 받고 상기 모바일 기기 보안사고 예방절차를 이행한 후 사용하는 것이 좋다.

- 다만, 개인용 스마트폰의 경우 예외정책을 적용할 수 있으나 내부 네트워크에 연결하여 사용하지 않도록 하여야 한다.

ㅇ 보호구역 내 임직원 혹은 외부자가 업무목적을 위한 모바일 기기를 반출입하는 경우, 모바일기기 반출입 통제 절차에 따라 허가를 받고 '반출입대장' 이력을 기록하여야 한다.

- 반출입 관리대장에 포함될 내용 :  일시, 사용자, 기종(모델), 기기식별번호(MAC, 시리얼 번호 등), 사유,  반출입 장소, 보안점검 결과, 관리자 확인서명 등

ㅇ 모바일 반출입대장은 관리자가 주기적으로 점검하여 반출입이 적정한 절차에 따라 이루어졌는지 검토하여야 한다.

 ㅇ 다음을 주요직무로 분류할 수 있으며 이 업무를 수행하는 임직원을 주요 직무자로 지정하여야 한다.

- 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등)를 취급

- 주요 정보시스템(서버, DB, 응용 프로그램 등) 운영 및 개발

- 정보보호시스템 운영

- 정보보호관리업무 수행

 ㅇ 중요정보를 취급하는 주요 직무자의 경우 업무 범위 및 목적에 벗어나는 정보 처리 권한을 부여하지 않도록 관련 직무자를 최소한으로 지정하여야 한다.

ㅇ 중요정보 처리 권한이 부여된 주요 직무자의 현황을 주기적으로 관리하여 직무자별 업무 성격에 따라 적정한 권한이 부여되었는 지 여부를 검토하여야 한다. 

 ㅇ 직무별 권한과 책임을 분산시켜 직무 간 상호견제를 할 수 있도록 직무 분리 기준을 수립하여야 한다.

- 개발과 운영 직무 분리 (필수)

- 정보시스템(서버, DB, 네트워크 등)간 운영직무 분리

- 정보보호 관리와 정보시스템 운영직무 분리

- 정보보호 관리와 정보시스템 개발직무 분리 등

 ㅇ 조직 규모가 작거나 인적 자원 부족 등의 사유로 인해 불가피하게 직무 분리가 어려운 경우, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토/승인, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.

 ㅇ 신규로 채용된 인력은 조직의 중요정보 취급 및 관리 시 정보보호의 필요성과 책임에 대해 명시된 정보보호서약서에 서명하고 조직에 제출하여야 한다.

ㅇ 정보보호서약서의 제출 의무에 대해 신규 인력 채용 절차 중 기본적인 사항으로 인식하고 관리 부서를 지정하여 정보보호서약서를 관리하여야 한다. (일반적으로 신규 인력 채용 시 인력관리부서에서 정보보호서약서를 수집 및 관리하고 있다.)

 ㅇ 임시직원 혹은 외주용역업체직원과 같은 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 책임, 조직 내 정보보호 규정 준수 의무, 정보보호 의무에 미준수로 인한 사건 ∙ 사고 발생 시 손해배상 책임 등의 내용을 정보보호서약서에 명시하고 서명을 받아야 한다. 

 ㅇ 직무 상 알게 된 조직의 중요정보에 대한 퇴사 후 누출 방지를 위하여 인력 퇴사 절차 내 비밀유지서약서를 받고 누출 발생 시 그에 따르는 법적 책임이 있음을 상기시켜야 한다. 

ㅇ 직무변경과 같이 인력의 고용조건에 변화가 발생한 경우 이전에 습득한 비밀정보를 누출하지 않도록 정보보호서약서의 내용을 환기시키는 것이 좋다.

 ㅇ 정보보호서약서 및 비밀유지서약서는 법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있기 때문에 필요 시 용이하게 찾아볼 수 있는 형태로 보관하여야 한다. 

ㅇ 정보보호서약서 및 비밀유지서약서에 개인정보가 포함될 경우 비인가된 제 3자에게 누출되지 않도록 물리적으로 안전한 장소에 보관하여야 한다.

 ㅇ 부서 및 직무변경, 휴직, 퇴직 등 인사 변경 발생 시 정보자산 반납, 접근권한의 변경 ∙ 회수 조치가 신속하게 이루어질 수 있도록 인사부서는 변경내용을 정보보호부서, 정보시스템 운영부서 등에 공유하여야 한다. 

 ㅇ 조직 내 인력(정규직 임직원, 임시직원, 외주용역업체 직원 등)의 직무 변경 혹은 퇴직 발생 시 정보자산 반납, 접근권한의 조정 ∙ 회수 등을 수립된 절차에 따라 시행하고 결과를 확인하여야 한다. 

ㅇ 직무변경자 혹은 퇴직자가 불가피하게 정보시스템 및 정보보호시스템 계정을 공유 사용하고 있었다면 계정의 비밀번호를 즉시 변경하여야 한다.

ㅇ 임직원이 정보보호 관련 조직 내부 규정(예 : 정책, 지침, 절차 등) 및 비밀유지서약서에 명시된 정보보호 책임을 충실히 이행하지 않고 조직 내 중요정보를 훼손, 누출한 경우, 관계법령상의 책임 및 처벌규정을 인사규정에 포함하고 아울러 정보보호 책임을 충실히 이행한 경우에 대한 보상방안도 함께 마련하여야 한다.

ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다. 

- 교육 시기 (예 : 분기별, 반기별 등)

- 시기별 교육 기간 

- 교육 대상

- 교육 내용

- 교육 방법 (예 : 온라인, 집합교육 등)

 ㅇ 예산 배정 및 집행 권한을 보유하고 있는 경영진(최고경영자)은 연간 정보보호 교육 계획을 검토하고 승인하여 정보보호 교육이 계획에 따라 이행될 수 있도록 적극 지원하여야 한다.

 ㅇ 정보보호 교육대상에는 정보보호 관리체계 범위 내 정보자산에 직 ∙ 간접적으로 접근하는 정규직 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함하여야 한다. 

ㅇ 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다.

ㅇ 교육대상이 하도급에 의해 파견된 직원인 경우 해당 용역업체 담당자가 정보보호 교육을 수행할 수 있도록 관련 자료를 제공하고 지원하여야 한다.

 ㅇ 기본 정보보호교육에는 다음과 같은 내용을 포함하여야 한다.

- 정보보호의 기본 개요

- 정보보호 관리체계 구축 절차 및 방법

- 정보보호 관련 법률의 이해 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법, 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률, 전자상거래 등에서의 소비자보호에 관한 법률 등

- 침해사고 대응 절차 등 임직원이 준수하여야 할 정보보호 관련 내부규정

- 최근 침해사고 사례 및 정보보호 관련 국내외 동향

- 정보보호 규정 위반 시 상벌규정, 법적 책임 등

ㅇ 교육을 효과적으로 시행하기 위하여 집합교육, 온라인교육, 전달교육 등 다양한 교육방법을 정할 수 있다. 

ㅇ 교육의 대상, 내용, 기간 등에 따라 효과적으로 교육을 수행할 수 있는 방법 (예 : 집합교육, 온라인 교육, 전달 교육 등)을 선택하여야 한다.

ㅇ 정보보호 인식제고 위하여 보안의 날 지정, 포스터 또는 뉴스레터를 제작할 수도 있다.

 ㅇ IT 직무자(운영, 개발), 정보보호 직무자는 일반 직원과 별도로 직무별 업무 수행에 필요한 정보보호교육을 받아야 한다. 직무별 교육은 다음과 같은 교육과정을 활용할 수 있다. 

- 정보보호 관련 컨퍼런스, 세미나, 워크샵 참가

- 정보보호 관련 교육 전문기관 내 교육 수료

- 외부 전문가 초빙을 통한 내부 교육 및 세미나

 ㅇ 경영진(최고경영진)의 승인을 받은 정보보호 교육 계획에 따라 정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호 교육을 시행하여야 한다.

ㅇ IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 한다.

ㅇ 개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수하여야 한다. (기본 정보보호 교육에 개인정보보호 내용을 포함할 수 있다.)

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제3조(내부관리계획의 수립 ∙ 시행) 2항

 ㅇ 기본 정보보호 교육 이외에 다음과 같은 상황이 발생할 경우 추가적인 정보보호 교육을 수행하여야 한다. 

- 정보보호(개인정보 포함) 관련 법률 변경

- 조직 내 정보보호 관련 정책 및 절차 변경

- 조직 내 ∙ 외부 보안사고 발생

- 업무 환경의 중대한 변화 발생 (예 : 정보보호 관리체계 범위 변경)

 ㅇ 출장, 휴가 등으로 인해 정기 정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 시행하여야 한다.

 ㅇ 채용으로 인해 신규 인력 발생 시, 업무 투입 전에 정보보호 교육을 실시하여 조직 내 정보보호 관련 사전 지식이 없는 데 따른 보안규정 위반, 보안사고 발생의 위험수준을 낮추도록 하여야 한다. 

 ㅇ 교육 시행 후, 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통해 교육 내용의 적절성과 효과성을 평가하여야 한다.

ㅇ 교육평가 결과 내용에서 도출된 문제점에 대해 개선 대책을 마련하고 차기 교육 계획 수립 시 반영하여야 한다.

ㅇ 다음의 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하여야 한다.

※ 정보자산 ※

- 정보시스템 : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어

- 정보보호시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 칩입방지시스템, 개인정보유출방지시스템 등을 포함

- 정보 : 문서적 정보와 전자적 정보 모두를 포함

ㅇ 수립된 분류기준에 따라 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다.

ㅇ 식별된 정보자산에 대한 정보자산명, 용도, 책임자 및 관리자, 관리부서, 보안등급 등의 정보자산 정보를 확인할 수 있도록 목록으로 관리하여야 한다.

ㅇ 다만 목록은 자산관리시스템, 문서 등 다양한 형태로 관리할 수 있다. 

ㅇ 신규 도입, 변경, 폐기되는 정보자산 현황을 확인 할 수 있도록 정기적으로 정보자산 조사를 수행하고 정보자산목록을 최신으로 유지하여야 한다.

ㅇ 정보자산 도입, 변경, 폐기, 반출입 등의 책임을 질 수 있는 책임자 및 정보자산을 실제 관리 ∙ 운영하는 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.

ㅇ 정보자산의 유출, 장애 및 침해 발생 시 조직의 업무에 미치는 영향을 고려하여 식별된 정보자산의 중요도를 평가할 수 있도록 기준을 수립하여야 한다. 일반적으로 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 평가기준을 마련할 수 있다. 그 외에 서비스 영향, 이익손실, 고객상실, 대외 이미지 등도 추가적으로 고려할 수 있다.

ㅇ 이는 정보자산에 미치는 위험을 분석(관리과정 3.2 위험분석 참고)하기 위한 첫번째 단계로 정보자산의 중요도가 높을수록 발견된 위험의 위험도가 높아지며 이 과정을 통해 비용효과적으로 우선 적용하여야 하는 정보보호대책을 선정할 수 있다.

 ㅇ 정보자산 중요도 평가기준에 따라 정보자산별로 중요도를 평가하여야 한다. 또한 정보자산별 특성에 따라 보안등급을 부여하고 다음과 같이 임직원이 보안등급을 쉽게 식별할 수 있도록 하여야 한다.

- (전자)문서 : 기밀, 대외비, 일반 표시

- 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인 

 ㅇ 정보자산의 등급에 따라 취급절차(생성, 저장, 이용, 파기 등)를 정의하고 이에 따라 접근통제 등 적절한 보안통제를 이행하여야 한다.

(예 : 문서자산의 경우 각 보안등급별(기밀, 대외비, 일반)로 생성, 저장, 이용, 파기 등에 대한 보안통제를 마련하여 이행)

ㅇ조직의 업무 중 서비스 제공을 위한 시스템 통합(SI : System Integration), 운영(SM : System Maintenance), 유지보수, 고객상담 등 외부자에게 업무를 위탁하거나 클라우드 서비스를 이용하는 경우 외부자 업무형태(자사 건물 상주, 독립된 공간 근무 등)에 따라 준수하여야 할 보안요구사항을 정의하고 계약과정에서 명확하게 반영하여야 한다. 

- 이는 위탁업무 수행과정에서 외부자가 접근하는 중요정보(시스템 및 네트워크 구성도, 개인정보, 산출물, 산업기밀 등)의 유출, 침해사고를 예방하기 위한 것이다.

- 다만 외부자 업무형태에 따라 세부점검항목에서 제시하고 있는 보안요구사항을 계약서에 반영하지 못하는 경우 타당한 사유가 있어야 한다.

ㅇ 조직의 외부자 관리 직무를 맡은 담당자는 외부자와 계약 시 정의한 보안요구사항을 준수하고 있는 지 주기적으로 점검 또는 감사를 수행하여야 한다. 또한 외부자가 자체적으로 정보보호책임자를 지정하여 보안점검을 수행한 경우 그 결과를 주기적으로 보고하고 문제점 발생 시 유사한 문제가 재발하지 않도록 추가적인 보호대책을 수립하고 이행하여야 한다.

ㅇ 위탁 업무 수행과정에서 외부자의 관련 업무 담당자가 변경될 수 있으며 변경이력에 대한 보고 및 적절한 보호조치가 지체 없이 이루어질 수 있도록 관리하여야 한다.

ㅇ 외부자와의 계약 만료, 업무 종료에 따른 공식적인 정책 및 절차가 수립되어야 하며 이 정책 및 절차를 통해 정보시스템 자산 반납 및 업무 중 사용하였던 모든 접근계정 삭제 확인보장되어야 한다

ㅇ 최고경영자는 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)를 지정하여야 하며 인사발령 등의 공식적인 지정절차를 거쳐야 한다.

ㅇ 정보보호 최고책임자 지정 시 다음과 같은 법률을 참고할 수 있다.

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3(정보보호 최고책임자의 지정 등)

- 전자금융거래법 제21조의2(정보보호 최고책임자의 지정)

ㅇ 최고경영자는 조직의 규모 및 정보보호 관리체계 범위 내 서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.

ㅇ 실무조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정이 필요하다.

ㅇ 조직의 정보보호활동을 원활하게 수행하기 위하여 다음과 같은 항목을 고려하여 실무조직 구성원을 임명하여야 한다. 

- 전문적 지식 보유 여부 (예 : 정보보호 관련 학위 또는 자격증 보유)

- 정보보호 관련 실무 경력

- 정보보호 관련 직무교육 이수 등

ㅇ 정보보호위원회의 주기적인 운영이 가능하도록 위원회의 구성, 역할, 책임, 주기 등을 정의한 규정을 마련하여야 한다. 

ㅇ 정보보호위원회의 역할과 책임은 다음과 같다.

- 조직 전반에 걸친 중요한 정보보호 관련 사항 검토 및 의사결정

- 정보보호 실무조직 구성 및 정보보호 활동을 위한 위한 자원할당 등 

ㅇ 정보보호위원회는 정보보호 관련하여 조직 내 이해관계를 대변할 수 있는 경영진, 부서장, 정보보호 최고책임자 등 주요 임직원으로 구성하여야 한다. 즉, 조직 내 정보보호위원회의 위상은 조직의 정보보호 의지를 나타내는 것이므로 정보보호 관련 중요한 사안에 대해 검토, 의사결정, 집행 권한이 부여된 인원으로 구성하여야 한다.

ㅇ 정보보호 최고책임자가 총괄 관리하여야 할 정보보호 관련 업무는 다음과 같다.

- 정보보호정책 및 정책시행 문서 수립

- 정보보호 조직 구성

- 정보보호 관리체계 수립 및 운영

- CERT 구성 등 침해사고 예방, 대응, 복구 

- 정보보호 취약점 분석, 평가 및 개선 등을 포함한 위험관리 활동

- 임직원 대상 정보보호 교육

- 정보보호위원회 운영

- 그 밖에 법에서 정한 정보보호 조치 이행 등

ㅇ 정보보호관리자, 정보보호담당자 등 정보보호실무자는 정보보호 최고책임자의 관리 업무를 실무적으로 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다. 

ㅇ 조직 내 KPI, MBO, 인사평가와 같은 평가체계 내 정보보호 활동의 책임과 역할을 평가할 수 있는 항목을 포함하여 주기적으로 정보보호 최고책임자와 정보보호 관련 담당자의 활동을 평가하여야 한다. 

※ KPI (Key Performance Indicator) : 핵심성과지표

※ MBO (Management By Objectives) : 목표관리