정보 보안 실무 10 KISA-ISMS를 기준으로 한 관리 보안 대책

정보 보안 실무 10 KISA-ISMS를 기준으로 한 관리 보안 대책

Today’s Hot Issue! 정보 보안 Issue 사항들을 알아볼까요?

해킹의 목적과 기법, 공격 대상은 날로 발전하고 다양해지고 있으며 해킹의 이유 또한 변하고 있습니다.

그럼, 해킹의 변화에 대해 잠깐 볼까요?

과거의 해킹은 정보수집, 권한 획득, 권한 상승, 공격 전이의 단계별로 해킹이 진행되었으며, 목적은 실력의 과시를 위함이 컸다.  

또한, 서버의 취약점을 이용하는 서버 중심의 해킹입니다

유닉스와 C, Assembly 등의 뛰어난 기술을 보유한 엘리트 해커에 의한 해킹이 주를 이뤘다.

반면 현재의 해킹은 과거에 비해 PC 이용자를 통해 보다 손쉬운 경로로 침입이 가능해졌고, 실례로 7.7 DDoS 테러가 발생했다.

또한, OS 대신 웹과 연동된 응용 프로그램을 이용하여 취약점을 공격하고 중국에서 개발된 해킹 툴을 손쉽게 획득할 수 있게 되면서 뛰어난 기술이 없어도 해킹이 가능해졌다.

그리고, 초보 해커부터 사업 스파이까지 다양한 계층이 존재하고, 파밍, 스미싱을 통한 금전적 이득을 취하기 위한 것으로 해킹 공격이 변했다.

그렇다면 향후 해킹이 어떻게 진행될지 예상해보면, 미래의 해킹은? 그 위험성이 점점 커져 국가 안보를 위협하거나 사회 혼란을 초래하는 수단이 될 수 있으며, 이렇게 되면 단순 해킹이 아닌

국가와 국가 간 사이버 전쟁으로 이어질 수 있다.

또한, 과거나 현재의 금전적 이득이나 정보 탈취를 넘어선 테러의 수단으로 악용될 수도 있다.  

주요 정보보호 대책

1. 시스템 개발 보안

주요 정보보호 대책

정보보호 대책은 총 13개  분야, 총 92개의 통제사항으로 이루어져 있는데요. 이 중 시스템 개발 보안, 암호 통제, 접근 통제, 운영 보안, 침해사고 관리, IT 재해 복구 등에 대해 살펴보겠습니다.

분석 및 설계 보안관리에 대한 점검을 위한 세부 통제항목에 대해 알아보겠습니다. 응용시스템 개발의 초기 단계 즉 요구사항 분석단계에서 보안을 위한 요구사항을 정의하여 개발하여야 응용시스템의 보안수준을 높일 수 있습니다 응용시스템 개발 시에 적용되는 보안요구사항은 사용자 접근 권한과 접근 통제의 유형이 포함되어야 합니다. 응용시스템 개발과정에서 적용되어야 하는

보안요구사항은 알 필요의 원칙, 최소권한의 원칙을 기준으로 보안요구사항이 정의되어야 합니다. 점검 항목을 살펴보면 신규 정보시스템 개발과 기존 시스템 변경 시 법적 요구사항을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 반영하고 있는지 여부입니다.

응용 시스템의 보안 설계 시 가장 중요한 요소가 사용자 인증과 암호화 기능입니다. 사용자 인증은 사용자 ID를 인식하여 사용자를 식별하고, 해당 ID를 사용할 수 있는 가에 대한 권한을 확인하기 위하여 인증의 과정을 거치게 됩니다. 특히 개발하는 전체 시스템에 접근하는 사용자별로 접근 권한을 결정하기 위하여, 특수 권한 사용자, 내부 사용자, 협력 업체 직원, 외부 사용자 등으로 분류하여 인증 메커니즘의 강도 및 응용 시스템의 사용 제한을 두어 개발함으로써 보안 수준을 향상할 수 있습니다.

이와 관련한 보안솔루션은 단일 로그인 시스템, 통합권한관리이 대표적입니다. 또한 응용시스템의 일반 메시지의 무결성 요구, 일반 메시지의 비밀성 요구 등의 보안 요구수준에 따라 적절한 사용자 인증 및 암호화 방법이 채택되어야 합니다. 점검 항목을 살펴보면 화면과 같습니다.

응용시스템의 보안 로그 기능 또한 주요 요소입니다. 응용시스템의 정상적인 사용 권한이 부여된 정당한 사용자 인증, 데이터 분석 및 수정, 오남용 방지를 예방하기 위하여 응용시스템의 설계 시에 관련된 로그를 기록하고 보관할 수 있도록 설계에 기록관리를 적용하여야 합니다.

분석 및 설계 보안 관리의 마지막 요소인 접근 권한 기능에 대해서 살펴보겠습니다. 접근 권한은 정보시스템 설계 시 업무의 목적과 중요도에 따라 차등 된 권한을 부여할 수 있도록 하여야 합니다. 점검 항목을 살펴보면 정보시스템 설계 시 시스템 사용자의 업무 목적, 기능, 중요도에 따라 접근 권한이 부여될 수 있도록 접근 권한 부여 기능을 보안 요구사항 및 설계에 반영하고 있는지 여부입니다.

다음으로 보안 요구사항의 구현 및 이관 보안에 대해서 살펴보겠습니다. 구현 및 시험에서는 시스템 개발의 분석 단계에서 도출한 보안 요구사항이 설계 단계에 반영하여 적절하게 구현되었는지를 시험하여야 합니다. 응용시스템의 안전한 구현을 위하여 개발자들이 준수하여야 하는 코딩 표준이 마련되어있어야 하며, 응용시스템이 이와 같은 코딩 표준을 준수하여 구현하였는가를 확인하여야 합니다. 또한 구현된 응용시스템의 기능이 초기 단계에서 정의한 보안 요구사항을 충족하는가를 확인하기 위하여 요구사항 정의서에 명시된 요구항목들을 기준으로 시험계획서를 작성하고, 계획서에 따라 구현의 완전성 여부를 시험하여야 합니다.

개발과 운영 환경의 분리는 개발 과정에서 발생할 수 있는 운영시스템의 사고예방, 개발시스템을 경유한 운영시스템의 침입 등과

같은 사고를 예방하기 위한 통제사항입니다. 또한 운영환경과 시험환경이 분리되지 않을 경우에는 시스템 시험으로 인하여 운영시스템이 영향을 받을 수 있으며, 특히 시험 데이터의 유출 및 실수로 인한 운영데이터의 파괴 등의 사고가 발생할 수 있습니다.

이번에는 운영환경 이관에 대해서 살펴보겠습니다. 개발 및 시험환경과 운영환경은 원칙적으로 분리된 네트워크 영역으로 구성하여야 하며, 각 네트워크 영역 간의 비 인가된 접근을 통제하여야 합니다. 또한, 운영시스템의 안전성을 보장하고, 운영데이터의 기밀성과 무결성을 보장하기 위하여 개발된 시스템을 운영환경으로 이전하기 위한 전제조건과 사전 시험계획 등에 대한 분명한 절차를 수립하여 적용해야 합니다.

시험데이터 보안은 운영데이터에 준하여 보호하고 통제하여야 하며, 운영환경에 대하여 적용되는 접근 통제 절차를 시험환경에도 적용해야 합니다. 시험 완료 후 운영데이터는 시험시스템에서 삭제해야 하고 운영데이터의 사용 및 복사는 기록을 남겨야 합니다.

이를 위해 점검할 사항은 화면과 같습니다.

소스 프로그램의 보안에 대해 알아보겠습니다. 소스 프로그램이 운영시스템에 설치될 경우 프로그램에 대한 변경 및 불법수정, 또는 도난의 위험이 있으므로 운영시스템에는 실행코드만이 존재해야 합니다. 소스 프로그램과 실행코드 즉 목적 프로그램간의 일관성 있는 버전관리 및 프로그램의 보호를 위하여 소스 프로그램 관리자가 별도로 지정되어 통제되어야 하며 운영 프로그램의 변경은

소스 프로그램 관리자가 주관하여 관리하고, 통제를 적용하여야 합니다. 이를 위해 점검할 사항은 화면과 같습니다.

외주개발 시 확인하는 보안점검 사항에 대해 확인해보겠습니다. 정보시스템 개발을 외주업체에 위탁하는 경우 분석 및 설계단계에서

구현 및 이관까지의 준수해야 할 보안 요구사항이 계약서에 명시되어 있고, 이를 반영하고 있는지 확인하며 해당 내용을 잘 준수하고

있는지 여부를 체크합니다. 그리고 정보시스템 개발 완료 후 소프트웨어 보안취약점 제거여부 진단, 소프트웨어 보안취약점 발견사항 조치 여부 등을 확인 한 후 검수/인수하고 있는지 확인합니다.

2. 암호 통제

이번에는 암호 통제에 대해 살펴보겠습니다. 암호 통제의 정보보호 정책 통제분야 및 통제항목을 살펴보겠습니다. 암호는 키가 없으면 복호화를 할 수 없기 때문에 암호화 키를 관리하고 주기적으로 갱신하는 것이 매우 중요합니다. 암호 통제 분야의 통제 사항은 2개의 통제 분야와 2개의 통제 항목으로 구성됩니다. 암호 사용에 대한 암호키를 관리하고 이에 따라 필요한 정보에 대한 암호 정책을 수립해야 합니다.

암호 통제분야의 첫 번째 통제사항은 암호 정책 수립입니다. 이를 위해 검토할 사항을 확인해 보세요. 첫째 개인정보 등 중요정보의 전송과 저장 시 안전한 보호를 위한 암호정책을 수립, 이행했는지의 여부, 둘째, 서비스 이용자 및 내부 사용자의 비밀번호 저장 시 암호화 정책을 수립, 이행하였는지의 여부, 셋째, 중요정보 저장 시 암호화 정책을 수립, 이행하였는지의 여부, 정보통신망을 통한 중요정보의 송, 수신 시 암호화 정책의 수립, 이행 여부, 마지막으로 조직 내 중요정보를 개인용 컴퓨터에 저장할 경우 암호화 정책을

수립, 이행하였는지의 여부입니다.

암호 통제분야의 두 번째 통제사항은 암호키 생성 및 이용입니다. 암호 통제의 기본적인 구성요소는 암호 알고리즘과 암호화와 복호화 키 입니다. 암호키의 적절한 보안관리는 암호 통제의 효과를 보장하기 위한 필수 사항이며 암호키의 관리는 모든 변경으로부터 보호되어야 하며, 키의 전체 생명주기 동안 수동 또는 자동적인 암호키의 이용과정이 포함됩니다. 점검할 사항은 화면과 같습니다.

3. 접근 통제

이번에는 접근 통제를 살펴볼까요? 첫 번째 통제사항은 접근 통제 정책 수립입니다. 접근 통제는 권한이 없는 자의 불법접근으로 인한고의적인 파괴, 변조 등의 오용행위를 차단하기 위한 통제사항입니다. 또한 접근 통제는 비인가자에 대한 접근 통제뿐만 아니라 인가자

즉 내부 사용자의 권한을 초과하는 오용 행위를 차단하기 위한 통제내용이 포함되어야 합니다. 접근 통제 정책은 업무 요구사항에 따라통제의 방법과 범위가 정의되어야 합니다. 또한 실행과정에서의 책임회피를 예방하기 위하여 분명한 역할과 책임을 할당하여 문서화하여야 합니다.

접근 통제 정책의 문서화는 반드시 실행해야 하는 규칙과, 선택적으로 실행해야 하는 규칙으로 구분하여 문서화해야 합니다.이를 위해 접근 통제영역을 정의하고 통제영역별로 접근 통제 정책을 수립하였는지 여부를 점검해야 합니다.

접근 통제분야의 두 번째 통제사항은 접근 권한 관리입니다. 이 중 사용자 등록 및 권한 부여는 3개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 정보시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지절차가 수립되어 있는지 검토하고 업무 필요성에 따라 사용자 접근 권한이 최소한으로 부여되어 있는지 확인합니다.

그리고 사용자의 계정 등록, 삭제 등의 권한이 한 사람에게 집중되지 않도록 하고 불가피한 경우 접근 권한 활동의 적정성을 주기적으로 검토하고 있는지도 점검해야 합니다.

관리자 및 특수 권한 관리에서 중점 사항은 특수 권한의 관리와 통제입니다. 이를 위해 점검할 항목은 관리자 및 특수 권한은 최소한의 인원 부여와 권한 부여 시 책임자 승인 절차를 수립했는지 확인하고, 관리자 권한 및 특수 권한의 식별, 별도 목록의 관리 여부를 확인합니다. 그리고 외부자에게 부여하는 계정의 한시적 부여와 사용 후 즉시 삭제 및 정지하고 있는지 확인해야 합니다.

접근 권한 검토는 3개의 점검항목으로 이루어져 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다.

사용자의 접근 권한 신청은 문서화되어 관리자의 서명 승인 및 소유자 서명 승인 후 허용되어야 하며, 주기적으로 사용되지 않는 계정을 확인하고 유지 필요성을 확인한 후 삭제해야 합니다. 또한 퇴직 및 부서 이동 시 즉시 계 정관리 담당자에게 문서 통지가

이루어져야 하며 계정 삭제 또는 권한이 변경되어야 합니다. 사용자의 접근 권한에 대한 검토는 월별, 분기별 정기 점검을 통하여 사용자 계정의 접근 권한의 적정성을 검토해야 하며, 특수 접근 권한 사용자에 대한 권한 검토 주기는 더 자주 해야 합니다.

접근 통제분야의 세 번째는 사용자 인증 및 식별입니다. 먼저 사용자 인증 항목은 2개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 정보시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제되고 있는지 확인하고, 필요한 경우 법적 요구사항 등을 고려하여 중요 정보시스템 접근 시 강화된 인증방식이 적용되고 있는지 검토합니다.

사용자 식별 항목은 2개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 정보시스템에서

사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하고 있는지 확인하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 득하고 있는지 확인합니다.

사용자 패스워드 관리 항목은 3개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 정보시스템및 정보보호시스템에 대한 안전한 사용자 패스워드 관리 절차가 수립되어 있는지 확인하고, 수립되어 있다면 관리자 패스워드는 별도 목록으로 유지 및 관리하고 비밀 등급에 준하는 보호대책을 적용했는지 검토합니다. 또한 패스워드 관리 책임이 사용자에게 있음을 주지하고 있는지 확인해야 합니다.

이용자 패스워드 관리 항목은 2개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 고객, 회원 등 외부 이용자가 접근하는 정보시스템 또는 웹 서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리절차가 마련되어 있고 관련 내용을 홈페이지 또는 메일 등을 통해 이용자에게 공지되고 있는지 점검해야 합니다.

접근 통제 분야의 네 번째 통제사항은 접근 통제 영역입니다. 네트워크 접근 항목은 총 7개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 네트워크에 대한 비인가 접근을 통제하기 위해 네트워크 식별자 할당의 통제를확인하고, 구성 변경 시 공식적인 변경 관리 절차를 수행하고 있는지 확인합니다. 그리고 관련 리스트를 최신 버전으로 유지 및 관리하고 있는지 확인하며, 내부 네트워크 IP는 사설 IP로 할당하고 국제권고표준을 이행하고 있는지 점검합니다.

또한, 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내/외부 네트워크를 분리하여 운영하는지 확인하며, 침입차단시스템을 통한

접근 통제와 전용선 구축이 불가능한 경우의 대책 마련 등을 확인해야 합니다.

서버 접근 항목은 총 5개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 서버별로 접근이 허용되는 사용자의 안전한 접근 수단, 중요 서버의 연결 시간 제한, 서버의 사용 목적과 관계없는 서비스의 제거, DNS 서버의 사고를예방하기 위한 보호대책 수립, 이행 여부, 마지막으로 주요 서비스를 제공하는 서버의 독립 운영 여부를 확인해야 합니다.

응용 프로그램 접근 항목은 4개의 점검항목으로 구성되어 있습니다. 점검항목을 확인해 보세요. 사용자의 업무 또는 직무에 따라 응용프로그램 접근 권한을 제한하고 불필요한 중요정보 노출을 최소화할 수 있도록 통제하고 있는지, 입력이 일정 시간 중지된 세션의 자동 차단과 동일 사용자의 동시 세션 수 제한 여부, 그리고 관리자 전용 응용프로그램의 외부 통제 여부를 점검합니다.

데이터 베이스 접근 항목은 총 5개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다.

데이터베이스 관리자 및 사용자 직무별 접근 통제 정책, 중요 정보 데이터베이스의 네트워크 영역 분리, 접근 허용 가능한 IP, 포트, 응용 프로그램의 통제 여부를 점검합니다.

또한, 데이터베이스 계정 또는 오브젝트 수준에서 사용자 접근 통제 여부와 중요정보를 저장하고 있는 데이터베이스의 경우 사용자 접근의 타당성을 정기적으로 검토하고 있는지 확인합니다.

모바일 기기 접근 항목은 1개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 모바일 기기를업무 목적으로 내/외부 네트워크에 연결하여 활용하는 경우 중요정보 유출 및 침해사고 예방을 위해 기기 허용기준, 업무 사용범위, 승인 절차, 인증, 보안 설정, 오남용 모니터링 등의 접근 통제 대책이 수립되어 있는지 점검합니다.

인터넷 접속 항목은 5개의 점검항목으로 구성되어 있으며 통제사항의 내용 및 핵심 검토사항은 다음과 같습니다. 인터넷 접속 시 네트워크 구성 정책, 사용자 접속 정책 수립 여부와 주요 직무자의 인터넷 접속 제한, 업무용 PC의 유해사이트 접속 차단 등을 점검합니다.

그리고 내부 서버의 외부 인터넷 접속을 제한하고, 인터넷 PC와 업무용 PC 간의 자료전송을 통제하고 있는지 점검합니다.

4. 운영 보안

정보보호 정책 통제분야 및 통제항목에 대해 알아보도록 하겠습니다. 정보보호 대책에 대해서 운영할 때 절차와 책임을 명시해야합니다. 또한, 로그 기록을 보존하여 어떤 문제가 발생했을 때 추적이 용이하게 관리해야 합니다. 정보 서비스의 제공 및 관리에

있어서 철저한 보호관리를 통해 업무활동의 방해를 방지하고 안전한 운영을 보장하며 업무의 연속성을 유지해야 합니다.

운영 보안 분야의 첫 번째 통제사항은 운영절차 및 변경관리입니다. 먼저 운영절차 수립은 정보시스템 동작, 문제 발생 시 정상적인 시스템 운영을 위한 절차를 수립해야 합니다. 운영절차 수립은 3개의 점검항목으로 구성되어 있으며 점검항목의 내용 및 핵심 검토사항은 화면과 같습니다.

다음 통제사항은 시스템 및 서비스 운영 보안이며 총 10개의 세부 통제항목으로 구성되어 있습니다. 첫 번째 통제항목인 정보시스템 인수는 3개의 점검항목으로 구성되어 있으며 점검항목의 내용 및 핵심 검토사항으로는 정보시스템 도입이나 개선 계획의 수립 여부와 새로운 정보시스템 도입 또는 개선 시 필수 보안요구사항을 포함한 인수 기준이 수립되어 있는지 확인하고 인수 전에 인수기준 적합성을 검토하고 있는지 확인해야 합니다.

보안시스템 운영은 보안 시스템의 운영 절차를 수립하고 보안시스템별 정책 적용의 현황을 관리해야 합니다. 총 3개의 점검항목으로 구성되어 있으며 핵심 점검 사항을 확인해 보세요. 보안시스템 유형별로 운영절차 수립 여부와 접근이 허용된 인원을 최소화하고 비인가자 접근을 엄격하게 통제하고 있는지 점검합니다. 그리고 보안시스템별 정책 적용 절차를 수립하고 타당성 검토를 주기적으로 수행하고 있는지 점검합니다.

성능 및 용량 관리는 성능과 용량 요구사항을 정의하고 지속적으로 모니터링 할 수 있는 방법과 절차를 수립해야 합니다.

이를 위해 점검할 항목은 화면과 같습니다.

네 번째 통제항목은 장애관리입니다. 정보시스템에 장애가 발생할 경우 효과적으로 대응하기 위해 탐지, 기록, 분석, 복구, 보고 등의 절차를 수립해야 합니다. 점검항목은 화면과 같습니다.

원격 운영관리를 살펴보면 원칙적으로 원격을 통한 정보시스템 관리는 금지하고 있습니다. 부득이한 경우에는 책임자의 승인, 접속 단말과 사용자 인증, 구간 암호화, 접속 단말 보안 등의 보호대책이 필요합니다.

이를 위해 점검할 항목은 내부 네트워크를 통하여 정보시스템을 관리하는 경우 특정 단말에서만 접근을 할 수 있도록 제한하고, 원격지에서 인터넷 등 외부 네트워크를 통하여 정보시스템을 관리하는 것을 원칙적으로 금지하고 있는지 점검합니다. 부득이한 사유로 인해 허용하는 경우에는 책임자 승인,

접속 단말 및 사용자 인증, 구간 암호화, 접속 단말 보안등의 보호대책이 수립되어 있는지도 확인합니다.

스마트워크 보안은 재택근무, 원격협업 등과 같은 원격 업무수행 시 이행해야 하는 점검 항목으로는 원격업무 수행 시 스마트워크 환경에서 주요 정보자산을 보호하기 위한 정책 및 절차를 수립하고 이행하고 있는지 점검합니다.

무선랜 등을 통해 무선 인터넷을 사용하는 무선 네트워크 보안 항목을 살펴보세요. 무선 인터넷을 사용하는 경우 무선 네트워크 구간에 대한 보안을 강화하기 위해 접속 단말 인증, 송수신 데이터 암호화 등의 보호대책이 수립되어 있는지를 점검하고 인가된 임직원만 무선 네트워크를 사용할 수 있도록 했는지의 여부, 외부인에게 제공하는 무선네트워크와 내부 네트워크의 분리 여부 등을 점검해야 합니다.

공개 서버의 보안관리는 공개된 정보 및 자원의 변조, 파괴 등을 목적으로 하는 비인가 된 접근 및 오용을 통제하기 위한 통제행위를 말합니다. 공개 정보는 관계 법령의 준수를 고려해야 하며, 내부적으로는 정보공개에 관한 절차를 수립하여야 하고, 비인가 된 접근

및 변경으로부터 정보를 보호하기 위한 대책을 수립해야 합니다. 네트워크 측면에서는 내부의 업무용 서버와 공개 서버를 별도의 네트워크로 분리하여 운영해야 하며, 공개 서버에 개인정보 또는 제3자에게 공개되지 않아야 하는 일반정보가 포함된 경우에는 이용자 본인만이 접근하여 사용할 수 있도록 사용자 인증을 강화하는 등의 보안 시스템을 통해 보호해야 합니다. 이외에 취약점 조치와 중요정보 게시 절차의 수립 이행도 점검해야 할 항목입니다.

백업관리 항목은 2개의 점검항목으로 구성되어 있습니다. 백업 및 복구의 실패로 인한 보안위험을 피하기 위해 백업 및 복구 계획이 수립되어야 합니다. 그리고 백업 및 복구 지침 및 절차가 문서화되고 주기적으로 테스트 되어야 합니다. 점검항목으로는 백업대상, 방식, 주기, 표준, 방법 등이 정의되고, 백업 및 복구 관리는 백업 계획 및 지침에 따라 수행되고 있는지, 그리고 백업 된 저장매체는 식별이 용이하도록 현황 관리가 되어야 하며, 특히 중요한 백업 데이터는 재해 등의 비상 상황에 대비하여 원격에 소산되어 관리하고 내역을 기록하고 있는지 점검합니다.

취약점 관리는 정기적으로 취약점을 점검하여 발견된 취약점에 대해 조치해야 합니다. 이를 위해 점검할 항목은 정보시스템 취약점 점검 절차 수립과 정기적 점검을 수행하고 있는지, 그리고 발견된 취약점에 대해 조치하고 책임자에게 보고하는지 점검합니다.

세 번째 통제사항은 전자거래 및 정보 전송 보안입니다. 먼저 전자거래 보안에 대해서 살펴보겠습니다. 전자거래 시에 발생할 수 있는보안 사고를 예방하기 위하여 사용자의 신원확인, 무결성 보장방법, 기밀 데이터에 대한 암호화 적용방안, 부인방지 등의 기술적 대책이수립되어야 합니다. 또한 전자거래와 관련된 계약분쟁, 법적 소송 등을 예방하기 위하여 거래에 대한 합의(교환합의서, 약관의 승인)가

있어야 하며, 거래내역에 대한 기록을 일정 기간 보관해야 합니다. 전자거래의 보안관리를 위한 정보보호 솔루션은 PKI 기반의 인증,암호화, 부인방지 솔루션이 통용되고 있습니다. 점검할 항목은 화면과 같습니다.

정보전송 정책 수립 및 협약 체결에 대해 점검할 사항은 어떤 것이 있을까요? 조직의 정보자산(소프트웨어, 데이터 등)에 대한 거래나전자상거래가 이루어지는 조직에서는 전자거래에 대한 책임과 준수의무 사항을 포함한 전자 교환 합의서가 작성되어야 합니다.

합의서에는 정보자산의 교환에 해당되는 자산의 관리 및 배포, 위반 시의 책임사항 등이 포함되어야 합니다. 그리고 일반 소비자를대상으로 전자상거래가 이루어지는 경우에는 상거래에 대한 약관이 마련되고 소비자의 승인이 있어야 합니다. 전자 교환 업무를

처리하는 담당 부서에서는 전자 교환 시에 발생할 수 있는 위협사항을 식별하고, 식별된 위협을 통제할 수 있는 지침과 절차가 마련되어야 하며, 전송데이터에 대한 기밀성과 무결성, 가용성을 보장할 수 있는 기술적인 대책이 마련되어 있는지 점검합니다.

네 번째 통제사항은 매체 보안이며 정보시스템 저장매체 관리 항목으로 구성되어 있습니다. 점검항목의 주요 내용은 정보시스템 폐기 또는 재사용 시 중요정보를 담고 있는 저장매체 폐기 및 재사용 절차의 수립 여부, 중요정보는 복구 불가능하도록 완전한 삭제 여부, 폐기 이력 관리 여부, 외부업체를 이용할 경우 폐기 절차 명시와 완전한 폐기 확인 여부, 그리고 저장매체 교체 및 복구 시 저장된 정보의 보호대책 마련 여부 등을 점검합니다.

휴대용 저장매체 관리는 4개의 점검항목으로 구성되어 있으며 주요 내용은 다음과 같습니다. 휴대용 정보통신기기의 안전한 보호를 위하여 휴대용 PC의 보안관리를 책임지는 관리책임자를 지정하여야 하며, 휴대용 PC의 도난 및 접근현황을 파악하기 위해

주기적으로 휴대용 PC 보유상태를 점검해야 합니다. 점검항목은 화면과 같습니다.

운영 보안의 다섯 번째 통제사항은 악성코드 관리입니다. 악성코드 관리의 첫 번째 통제항목인 악성코드 통제는 3개의 점검항목으로 구성되어 있으며 주요 점검항목은 다음과 같습니다. 바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위해 악성코드 예방, 탐지, 대응 등의 보호대책의 수립 여부와 최신 악성코드의 예방 탐지 활동의 지속적 수행 여부, 그리고

악성코드 감염 시 대응 절차의 수립 이행 여부 등이 점검 사항입니다.

악성코드 관리의 두 번째 통제항목인 패치 관리의 주요 점검 내용을 살펴보겠습니다. 정보시스템에 대한 패치 관리 정책 및 절차 수립 여부, 패치 적용 현황 관리 여부, 주요 시스템의 인터넷 패치 제한 여부, 패치관리시스템의 보호대책 마련 여부, 운영시스템은 시스템 가용성에 미치는 영향을 분석하여 패치를 적용하고 있는지 등을 점검합니다.

운영 보안의 마지막 통제사항은 로그관리 및 모니터링입니다. 시각 동기화는 로그 기록의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위해 정보시스템 시각을 공식 표준시각으로 정확하게 동기화하고 있는지를 점검합니다.

로그 기록 보존은 2개의 점검항목으로 구성되어 있습니다. 정보시스템, 응용프로그램, 보안시스템 네트워크 장비 등 기록해야 할 로그유형을 정의하여 일정 기간 보존하고 주기적으로 검토하고 있는지 점검하며, 로그 기록은 별도 저장장치로 백업하고 로그 기록에 대한 접근 권한 부여를 점검합니다.

세 번째 통제항목은 접근 및 사용 모니터링입니다. 점검항목은 중요정보 및 주요 정보시스템, 응용프로그램, 네트워크 장비에 대한 사용자 접근이 업무상 허용된 범위에 있는지 주기적으로 확인하는지 여부, 그리고 결과를 책임자에게 보고하고 이상 징후 시 절차에 따라 대응하고 있는지 점검합니다.

마지막 통제항목은 침해시도 모니터링으로써 이는 외부로부터의 침해시도를 모니터링하기 위한 체계 및 절차가 수립되어 있는지 검토합니다.

5. 침해 사고 관리

침해사고 관리의 절차 및 체계에 대해서 먼저 살펴보겠습니다. 침해사고 대응절차 수립에서는 해킹 등의 보안사고에 신속하고 효율적으로 대응할 수 있도록 종합적인 침해사고 대응 계획을 수립해야 합니다. 보안사고 대응은 정보시스템과 관련된 직무 담당자뿐 아니라 조직의 전체 임직원을 대상으로 하여 보안사고 대응과 관련한 개요, 역할과 책임을 정책에서 선언해야 합니다.

세부적인 사항은 보안사고 대응지침에서 상세하게 규정하여야 하며, 다음과 같은 내용을 포함하여야 합니다.

보안사고 대응체계 구축을 위한 점검항목을 살펴보세요. 침해사고를 모니터링하고 신속하게 대응하기 위해 중앙집중적인 대응체계를 수립했는지 여부, 침해사고 유형 및 중요도에 의한 분류 및 보고체계를 정의했는지 여부, 침해사고 대응절차의 세부사항을 계약서에 반영했는지 여부, 그리고 외부전문가 및 업체 등과의 협조체계를 수립하고 있는지 등을 점검합니다.

이번에는 침해사고 관리의 대응 및 복구에 대해 살펴보겠습니다. 먼저 침해사고 훈련 항목의 주요 내용은 다음과 같습니다. 조직의 정보보호 정책 및 지침에는 보안사고 처리 및 대응에 대한 규정과 사고처리 후의 재발 방지 방안 등에 대한 교육 및 훈련 방안에 대한 규정이 수립되어 있어야 합니다. 보안사고 대응 및 훈련은 기본적으로 실무자를 대상으로 보안사고 징후 탐지, 증거확보, 로그 분석 방법, 사고처리 절차 및 복구 등의 교육을 실시하며, 일반 임직원에게는 보안사고의 정의와 대응방안을 포함하는 보안사고 대응

교육을 실시해야 합니다.

점검항목은 침해사고에 대한 모의훈련계획을 수립하고 주기적인 훈련 실시 여부를 점검합니다.

침해사고 보고 항목의 주요 내용은 다음과 같습니다. 보안사고의 보고는 사고 발생 날짜와 시간, 보안사고 내용, 긴급조치사항, 보안사고의 최초 발견자 등의 내용을 포함하여 정형화된 문서의 형태로 작성되어야 합니다. 점검항목은 다음과 같습니다.

침해사고 처리 및 복구에 대해서 알아보겠습니다. 침해사고의 처리 및 복구 계획의 부재는 보안사고의 신속한 처리 및 복구가 불가능하게 되며, 복구 시간과 인력의 낭비가 초래될 수 있습니다. 따라서 보안사고 처리 및 복구를 위한 절차가 수립되어 있어야 합니다. 점검항목은 보안사고 처리 및 복구 수행 후에는 복구절차 및 방법, 복구 범위 및 담당자, 원인분석을 위한 증거자료의 수집,

수행 경과 내용 등을 기록하고 있는지 점검합니다.

이번에는 사후관리에 대해 알아볼까요? 침해사고 분석 및 공유는 침해사고 대응의 마지막 단계로 침해사고 발생의 원인, 침해사고의 유형, 침입 경로 분석, 침해사고 발생부터 대응완료까지 걸린 소요시간, 침해사고로 인한 영향 등에 대한 종합적인 분석이 실시되어야 합니다. 점검항목은 화면과 같습니다.

재발 방지를 위해서 정보보호 담당자는 침해사고 내역에 대하여 침해사고 발견 및 조치에 대한 관리대장을 지속적으로 관리해야 합니다. 이를 위한 점검항목은 분석한 정보를 활용하여 유사 사고의 재발 방지 대책을 수립하고, 필요한 경우에 대응절차 등을 변경하고 있는지 점검합니다.

6. IT 재해 복구

마지막으로 IT 재해 복구에 대한 통제분야와 통제항목에 대해서 알아보겠습니다. 핵심 업무가 용납할 수 없는 기간 동안 중단되는 재난이나 재해가 발생될 경우에도 피해를 최소화하고 최단 시간 내에 정상업무로 복귀할 수 있도록 IT 재해 복구를 위한 관리체계를 수립하고 유지 관리해야 합니다.

먼저 IT 재해 복구의 체계 구축에 대해서 살펴보겠습니다. IT 재해 복구란 조직에서 발생할 수 있는 보안사고나 각종 재해의 발생을 대비하여 핵심 시스템의 가용성과 신뢰성을 회복하고 업무의 연속성을 유지하기 위한 일련의 계획과 절차를 말합니다. 그리고, IT 재해 복구 체계 구축은 단순한 데이터의 복구나 업무의 지속뿐만 아니라 고객 서비스의 지속성을 보장하고 그로 인한 고객의

신뢰도를 유지하여 조직의 신뢰성과 가치를 최대화하는 방법입니다. 점검항목은 재해 시 복구조직 및 역할 정의, 비상연락체계, 복구 순서/전략 및 대책/절차 및 방법 등을 포함한 IT 재해 복구 체계의 구축 여부를 점검합니다.

IT 재해 복구의 대책 구현은 영향분석에 따라 복구 대책을 수립해야 합니다. 이를 위해 IT 재해 위험요인을 식별하고 핵심 IT 서비스 및 시스템을 식별하고 있는지 점검하고, 시스템의 복구 목표 시간, 복구 시점을 정의했는지 점검합니다. 그리고 복구를 위한 적절한 복구 전략 및 대책을 수립하고 있는지 점검해야 합니다.

IT 재해 복구 계획의 시험은 IT 재해 복구 계획에 있을 수 있는 오류 등을 검출할 수 있으며, 계획수립 시에 고려하지 못한 위험요소를 발견함으로써 실제적인 재해에 대한 적응력을 높게 해 줍니다. IT 재해 복구 계획의 시험방법은  IT 서비스 복구 전략 및 대책에 따라 효과적인 복구가 가능한 지 시험을 실시하고, 시험계획에는 시나리오, 일정, 방법, 절차 등을 포함해야 합니다. 또한 시험결과,IT 환경변화, 법규 등에 따른 변화를 반영하여 복구 전략 및 대책을 보완해야 합니다.