2.10.1. 보안시스템 운영

보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립· 이행하고 보안시스템별 정책적용 현황을 관리하여야 한다.

 

1. 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립‧이행하고 있는가? (개정 23.11.23.)

상세 기준

  - 보안시스템 유형별 책임자 및 관리자 지정

  - 보안시스템 정책(룰셋 등) 적용(등록, 변경, 삭제 등) 절차

  - 최신 정책 업데이트 방안  IDS, IPS 등의 보안시스템의 경우 새로운 공격기법을 탐지하기 위한 최신 패턴(시그너처) 및 엔진의 지속적 업데이트

  - 보안시스템 이벤트 모니터링 절차 (정책에 위배되는 이상징후 탐지 및 확인 등)

  - 보안시스템 접근통제 정책 (사용자 인증, 관리자 단말 IP 또는 MAC 등)

  - 보안시스템 운영현황의 주기적 점검

  - 보안시스템 자체에 대한 접근통제 방안 등

    ※ 보안시스템 유형(예시)

      - 네트워크 보안시스템: 침입차단시스템(방화벽), 침입방지시스템(IPS), 침입탐지시스템(IDS), 네트워크 접근제어(NAC), DDoS대응시스템,  가상사설망(VPN)

      - 서버보안 시스템: 시스템 접근제어, 보안운영체제(SecureOS)

      - 데이터베이스 보안시스템: 데이터베이스 접근제어

      - 정보유출 방지시스템: Network DLP(Data Loss Prevention), Endpoint DLP 등

      - 개인정보보호 시스템: 개인정보 검출솔루션, 출력물 보안, 개인정보 접속기록관리솔루션

      - 암호화 솔루션: 데이터베이스암호화, DRM 등

      - 악성코드 대응 솔루션: 백신, 패치관리시스템(PMS), EDR(Endpoint Detection Response)

      - 기타: VPN, APT대응솔루션, SIEM(Security Incident & Event Monitoring), 웹방화벽 등

(개정 23.11.23.)

 

2. 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가?

상세 기준

  - 강화된 사용자 인증(OTP 등), 관리자 단말 IP 또는 MAC 접근통제 등의 보호대책을 적용하여 보안시스템 관리자 등 접근이 허용된 인원 이외의 비인가자 접근을 엄격히 통제

  - 주기적인 보안시스템 접속로그 분석을 통하여 비인가자에 의한 접근시도 여부 점검

 

3. 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립‧이행하고 있는가?

상세 기준

  - 방화벽, DLP 등 보안시스템별 정책 등록, 변경, 삭제를 위한 신청 및 승인 절차

  - 책임추적성을 확보할 수 있도록 보안시스템 정책 신청· 승인· 적용 기록 보존

  - 보안시스템 정책(룰셋) 적용 시 고려사항

    : 최소권한의 원칙에 따라 업무상 필요한 최소한의 권한만 부여

    : 네트워크 접근통제 정책은 전체 차단을 기본으로 하되 업무상 허용하여야 하는 IP와 Port만 개별적으로 추가하여 관리

    : 보안정책 설정 시 목적에 따라 사용기간을 한정하여 적용

    : 보안정책의 등록· 변경은 공식적인 절차를 통하도록 관리 등

 

4. 보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가?

상세 기준

  - 신청사유의 타당성 검토

  - 보안성 검토: 예외 정책에 따른 보안성 검토 및 보완대책 마련

  - 예외 정책 신청· 승인: 보안시스템별로 책임자 또는 담당자 승인

  - 예외정책 만료여부 및 예외 사용에 대한 모니터링 등

 

5. 보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가?

상세 기준

  - 내부 보안정책· 지침 위배(과다 허용 규칙 등)

  - 공식적인 승인절차를 거치지 않고 등록된 정책

  - 장기 미사용 정책(히트카운터 제로 정책 삭제 등)

  - 중복 또는 사용기간 만료 정책

  - 퇴직 및 직무변경자 관련 정책

  - 예외 관련 정책 등

 

6. 개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 관련 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있는가?

상세 기준

  - 개인정보보호 관련 법령에서 요구하는 접근통제 시스템 필수 요구 기능

    : 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

    : 개인정보처리시스템에 접속한 IP주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응

 

    운영 내역(증적) 예시 (개정 23.11.23.)

 

  • 보안시스템 구성
  • 네트워크 구성 (개정 23.11.23.)
  • 보안시스템 운영절차
  • 방화벽 정책
  • 방화벽 정책 설정/변경 요청서
  • 보안시스템 예외자 목록
  • 보안시스템별 관리 화면(방화벽, IPS, 서버접근제어, DLP, DRM 등)
  • 보안시스템 정책 검토 이력

 

    ** 인증심사 결함사항 예시 **

 

  1. 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록·보관하도록 정하고 있으나 정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안 정책과 실제 운영 중인 시스템의 보안정책이 상이한 경우
  2. 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우
  3. 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우
  4. 침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우

  5. (CELA)침입차단 시스템의 보안정책이 존재하나, 과도한 서비스 포트 허용 규칙(Any)이 발견되는 경우 

  6. (CELA)DB 접근통제 시스템의 모니터링 정책에 대량 조회와 같은 이상 징후가 탐지되지 않는 경우

  7. (CELA)(AWS) IDC 와 클라우드 간에 IPSEC-VPN 설정시 취약한 암호 알고리즘 사용 시(SHA1 등)

  8. (CELA)망분리 시스템을 통한 논리적 망분리가 적용되어 있으나, 클립보드 제한이 없어 내부망과 인터넷망간 개인정보 복사가 가능한 경우

  9. (CELA)보안시스템 예외 승인 시 허용한 기간 이후에 권한이 회수 되지 않은 경우

  10. (CELA)(AWS)네트워크 보안정책(Security Group, SG)에 대한 적정성 검토 미흡 : 사용하지 않는 보안 정책(Hit Count 0), 서비스에 불필요한 보안 정책, 과도한 인바운드 정책, 불필요한 아웃바운드 정책

  11. (CELA)방화벽 설정 정보, 정책 등에 대한 백업 절차 및 주기 등이 관리되지 않는 경우

  12. (CELA)보안시스템의 관리자 접속 IP 설정이 비활성화 되어 있는 경우

  13. (CELA)(AWS)장기 미사용자 계정이 존재하며 계정 및 권한에 대한 정기적인 검토를 하지 않는 경우

  14. (CELA)(AWS)네트워크 보안정책(Security Group, SG)에 대한 적정성 검토 미흡 : 사용하지 않는 보안 정책(Hit Count 0), 서비스에 불필요한 보안 정책, 과도한 인바운드 정책, 불필요한 아웃바운드 정책

  15. (CELA)(AWS) Network Firewall, ACL에 대한 주기적인 점검을 수행한 이력이 존재하지 않는 경우


2.10.2. 클라우드 보안

클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유· 노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립· 이행하여야 한다.

 

1. 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가? (개정 23.11.23.)

상세 기준

  - 클라우드 서비스 유형에 따른 역할 및 책임(예시)

    ※ 클라우드 서비스 사업자, 서비스 구성 및 특성 등에 따라 달라질 수 있음.

      · IaaS

        : 클라우드 서비스 제공자 

          - 물리적 영역의 시설 보안 및 접근통제

          - 호스트 OS에 대한 보안 패치

          - 하이퍼바이저 등 가상머신에 대한 보안 관리 등

        : 클라우드 서비스 이용자

          - 호스트 OS에 대한 게스트 OS, 미들웨어 및 애플리케이션 보안 패치 (개정 23.11.23.)

          - 게스트 OS, 미들웨어, 애플리케이션, 사설 네트워크 영역에 대한 보안 구성 및 설정

          - 데이터 보안

          - 관리자, 사용자 권한 관리 등

      · PaaS

        : 클라우드 서비스 제공자 

          - IaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임

          - 네트워크 영역의 보안 설정

          - 게스트 OS 및 미들웨어 영역에 대한 보안패치, 보안 구성 및 설정

        : 클라우드 서비스 이용자

           - 애플리케이션 보안 패치 및 보안 설정

           - 데이터 보안

           - 관리자, 사용자 권한관리 등

      · SaaS

        : 클라우드 서비스 제공자 

           - IaaS, PaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임

           - 애플리케이션 보안 패치 및 보안 설정

           - 데이터 보안(데이터 레벨의 접근통제, 암호화 등) 등

        : 클라우드 서비스 이용자

           - 애플리케이션 관리자, 사용자 권한 관리 등

 

2. 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립‧이행하고 있는가?

상세 기준

  - 외부 클라우드 서비스 이용에 따른 위험 평가: 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려

  - 클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립· 이행

    ※ 클라우드 서비스 보안통제 정책(예시) (클라우드 서비스 유형에 따른 특성 반영 필요)

      - 보안 관리 관련 역할 및 책임

      - 사설 네트워크 보안 구성 및 접근통제

      - 클라우드 서비스 관리자 계정 및 권한 관리(최고관리자 및 분야별 관리자 등)

      - 클라우드 서비스 관리자에 대한 강화된 인증(OTP 등)

      - 보안 설정 기준(인증, 암호화, 세션관리, 접근통제, 공개설정, 장기미사용 잠금, 로그기록, 백업 등)

      - 보안 설정 등록· 변경· 삭제 절차(신청, 승인 등)

      - 보안 구성 및 설정에 대한 적절성 검토

      - 클라우드 서비스 원격접속 경로 및 방법(VPN, IP제한, 2 Factor 인증 등)

      - 클라우드 서비스 보안 관제 및 알람· 모니터링 방안

      - 보안감사 절차 등

 

3. 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오· 남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가?

상세 기준

  - 클라우드 서비스 관리자 권한 세분화: 최고관리자, 네트워크 관리자, 보안관리자 등

  - 업무 및 역할에 따라 관리자 권한 최소화 부여

  - 클라우드 관리자 권한 접속에 대한 강화된 인증 적용 OTP, 보안키 등

  - 원격 접속 구간에 대한 통신 암호화 또는 VPN 적용

  - 클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등

 

4. 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?

상세 기준

  - 클라우드 서비스에 대한 승인받지 않은 환경설정 및 보안설정 변경을 적발할 수 있도록 알람 설정 및 모니터링

  - 클라우드 서비스 보안설정의 적정성 여부를 정기적으로 검토 및 조치

    ※ 주의사항

      - 클라우드 환경에서의 네트워크 접근, 정보시스템 접근, 데이터베이스 접근, 응용프로그램 접근 등 접근통제의 적절성, 인증 및 권한관리, 암호화, 시스템 및 서비스 보안관리 등 기타 필요한 보호조치가 모두 적용되어야 함

 

    운영 내역(증적) 예시

 

  • 클라우드 서비스 관련 계약서 및 SLA
  • 클라우드 서비스 위험분석 결과
  • 클라우드 서비스 보안통제 정책
  • 클라우드 서비스 관리자 권한 부여 현황
  • 클라우드 서비스 구성도
  • 클라우드 서비스 보안설정 현황
  • 클라우드 서비스 보안설정 적정성 검토 이력

 

    ** 인증심사 결함사항 예시 **

 

  1. 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
  2. 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우
  3. 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
  4. 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우

  5. (CELA)(AWS)Admin 권한 사용자에 대한 IP 주소기반의 접근통제가 적용되지 않은 경우

  6. (CELA)(AWS)Admin 권한 사용자에 대한 2-Factor 인증이 적용되지 않은 경우

  7. (CELA)(AWS)IAM User에 대한 비밀번호 정책이 수립 및 적용되지 않은 경우

  8. (CELA)(권고)안전한 클라우드 운영을 위한 보안 지침(정책 등)이 수립되지 않은 경우

  9. (CELA)(AWS)CouldTrail 로그를 S3에 보관 시 보관 기간이 설정되지 않은 경우

  10. (CELA)(AWS)EC2 접속 시 SSH Key 인증을 사용하고 있으나 임직원 퇴직 시 해당 Key에 대한 권한이 회수되지 않은 경우

  11. (CELA)(AWS)네트워크 보안정책(Security Group, SG)에 대한 적정성 검토 미흡 : 사용하지 않는 보안 정책(Hit Count 0), 서비스에 불필요한 보안 정책, 과도한 인바운드 정책, 불필요한 아웃바운드 정책

  12. (CELA)안전한 클라우드 운영을 위한 보안 지침(정책 등)이 수립되지 않은 경우

  13. (CELA)(AWS)클라우드 EC2가 역할과 용도에 따라 서브넷으로 분리되지 않고 접근통제가 적용되지 않은 경우

  14. (CELA)(AWS)클라우드 EC2에 외부 인터넷에서 직접 SSH 접속이 가능한 경우

  15. (CELA)(AWS)서버 접속 시 인증 용도로 사용되는 PEM 키의 주기적인 교체가 미흡한 경우

  16. (CELA)(AWS)클라우드 EC2 기본 계정을 공용 계정으로 사용하는 경우

  17. (CELA)(AWS)클라우드 EC2의 모든 계정에서 root 계정으로 su가 허용되어 있는 경우

  18. (CELA)(AWS)클라우드 내 IAM, EC2, RDS 등 정보시스템 계정의 신청절차, 승인절차 등의 절차가 운영되지 않는 경우

  19. (CELA)(AWS)클라우드 관리콘솔에 대한 취약점 점검 및 조치활동을 수행하지 않는 경우

  20. (CELA)(AWS)IAM 관리자 권한을 최소화로 부여하고 있지 않은 경우

  21. (CELA)(AWS)장기 미사용 계정이 존재하며 계정 및 권한에 대한 정기적인 검토를 하지 않는 경우

  22. (CELA)(AWS)S3 버킷이 Public 액세스 설정이 적용되어 비인가자의 접근이 가능한 경우

  23. (CELA)(AWS)클라우드 자원 생성, 변경 시 승인 이력이 존재하지 않는 경우

  24. (CELA)(AWS) Network Firewall, ACL에 대한 주기적인 점검을 수행한 이력이 존재하지 않는 경우

  25. (CELA)(AWS)VPC 내 과도한 인바운드 및 아웃바운드 정책(ANY 등)을 허용하는 경우

  26. (CELA)(AWS)계정 별 패스워드 및 액세스키의 변경관리가 미흡한 경우 : 변경 주기가 지났거나 변경 주기가 없는 경우

  27. (CELA)(AWS)네트워크를 분리하지 않고 WEB/WAS/DB 서버를 단일 서버(EC2)에 운영하는 경우

  28. (CELA)(AWS)클라우드 시스템 사용자 계정에 대한 접속기록 점검이 수행되지 않은 경우

  29. (CELA)(AWS)관리 콘솔 접속 및 이력을 CloudTrail로 저장하고 있으나, 보관 기간이 과도하게 단기로 설정되어 접속 기록 점검을 수행하기 어려운 경우

  30. (CELA)(AWS)관리 콘솔 접속 및 이력을 CloudTrail로 저장하고 있으나, 이력에 대한 백업을 수행하고 있지 않은 경우


2.10.3. 공개서버 보안

외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집· 저장· 공개 절차 등 강화된 보호대책을 수립· 이행하여야 한다.

 

1. 공개서버를 운영하는 경우 이에 대한 보호대책을 수립‧이행하고 있는가?

상세 기준

  - 웹서버를 통한 개인정보 송· 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축

  - 백신설치 및 업데이트 설정

  - 응용프로그램(웹서버, OpenSSL 등), 운영체제 등에 대한 최신 보안패치 설치

  - 불필요한 서비스 제거 및 포트 차단

  - 불필요한 소프트웨어, 스크립트, 실행파일 등 설치 금지

  - 에러 처리 페이지, 테스트 페이지 등 불필요한 페이지 노출 금지

  - 주기적 취약점 점검 수행 등

 

2. 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안시스템을 통하여 보호하고 있는가?

상세 기준

  - 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등 을 통한 접근통제 정책을 적용

  - DMZ의 공개서버가 내부 네트워크에 위치한 데이터베이스, WAS(Web Application Server) 등의 정보시스템과 접속이 필요한 경우 엄격하게 접근통제 정책 적용

 

3. 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립‧이행하고 있는가?

상세 기준

  - 원칙적으로 DMZ 구간의 웹서버 내에 개인정보 및 중요정보의 저장을 금지하고, 업무상 불가피하게 필요한 경우 허가 절차 및 보호대책 적용

  - 웹사이트에 개인정보 및 중요정보를 게시할 경우 사전 검토 및 승인 절차 수행

  - 외부 검색엔진 등을 통하여 접근권한이 없는 자에게 개인정보 및 중요정보가 노출되지 않도록 조치

 

4. 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?

상세 기준

  - 검색엔진 등을 통하여 주기적으로 점검 및 필요한 조치 적용

  - 중요정보 노출을 인지한 경우 웹사이트에서 차단조치 및 해당 검색엔진 사업자에게 요청하여 캐시 등을 통하여 계속적으로 노출되지 않도록 조치

 

    운영 내역(증적) 예시

 

  • 네트워크 구성도
  • 웹사이트 정보공개 절차 및 내역(신청·승인·게시 이력 등)
  • 개인정보 및 중요정보 노출 여부 점검 이력

 

    ** 인증심사 결함사항 예시 **

 

  1. 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우
  2. 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 가 다수 존재한 경우
  3. 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우

  4. (CELA)사용하지 않는 불필요한 페이지를 운영하는 경우

  5. (CELA)정상적인 인증 절차를 우회하여 페이지에 접근이 가능한 경우

  6. (CELA)개인정보 송수신 시 SSL인증서에 취약한 암호 알고리즘을 사용하는 경우 : TLS v1.0, v1.1

  7. (CELA)유효 기간이 종료 된 SSL 인증서를 사용하는 경우


2.10.4. 전자거래 및 핀테크 보안

전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작· 사기 등의 침해사고 예방을 위하여 인증· 암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.

 

1. 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립‧이행하고 있는가? (개정 23.11.23.)

상세 기준

  - ‘전자거래’는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함 (전자문서 및 전자상거래 기본법 제2조)

  - ‘전자상거래’는 전자거래의 방법으로 상행위를 하는 것을 말함 (전자상거래 등에서의 소비자보호에 관한 법률 제2조)

  - '핀테크(Fintech)’란 금융(Finance)과 기술(Technology)의 합성어로 금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함 (금융위원회 금융용어사전)

  - 전자(상)거래사업자 및 핀테크 서비스제공자는 전자(상)거래 및 핀테크 서비스의 안전성과 신뢰성을 확보하기 위하여 이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해 사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행해야 함

  - 핀테크 서비스의 경우 핀테크 서비스의 유형 및 특성을 반영하여 해당 핀테크 서비스로 인하여 발생 가능한 위험요인을 빠짐없이 식별하여 필요한 보호대책 적용 필요

    ※ 전자거래 및 핀테크 보호대책 수립 시 고려하여야 할 법률(예시)

      - 전자문서 및 전자거래 기본법

      - 전자상거래 등에서의 소비자 보호에 관한 법률

      - 전자금융거래법

      - 정보통신 이용촉진 및 정보보호 등에 관한 법률 등

      - 개인정보 보호법 등

      - 금융소비자 보호에 관한 법률 (개정 23.11.23.)

      - 신용정보법 (개정 23.11.23.)

 

(가상자산사업자) 이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하고 있는가?

상세 기준

  - 예. OTP, 인증서, 기기인증 등

 

2. 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립‧이행하고 안전성을 점검하고 있는가? (개정 23.11.23.)

상세 기준

  - ‘전자결제업자‘는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조) 다음에 해당하는 자를 말함

    : 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록· 저장하였다가 재화 등의 구매 시 지급하는 자), ), 통신과금서비스제공자, 전자결제 대행 또는 중개서비스 사업자(PG사 등) (개정 23.11.23.)

      ※ PG(Payment Gateway)사는 인터넷 상에서 금융기관과의 거래를 대행해 주는 서비스로서 신용카드, 계좌이체, 핸드폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사

  - 전자(상)거래사업자와 전자결제업자 또는 핀테크 서비스 제공자 간에 송· 수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자 간 피해가 발생하지 않도록 적절한 보호대책을 수립· 이행하고 안전성을 점검해야 함

 

(가상자산사업자) 가상자산거래 기록의 보존(5년) 및 관리를 하고 있는가?

상세 기준

  - 가상자산거래 기록의 보존(5년) 및 관리

 

    운영 내역(증적) 예시

 

  • 전자거래 및 핀테크 서비스 보호대책
  • 결제시스템 연계 시 보안성 검토 결과

 

    ** 인증심사 결함사항 예시 **

 

  1. 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우
  2. 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우
  3. 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우

2.10.5. 정보전송 보안

다른 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통하여 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.

 

1. 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가?

상세 기준

  - 정보전송 기술 표준: 암호화 방식, 키 교환 및 관리, 전문 규칙, 연계 및 통신 방식 등 

  - 정보전송 검토 절차: 보고 및 승인, 관련 조직 간 역할 및 책임, 보안성 검토 등

  - 정보전송 협약 기준: 표준 보안약정서 또는 계약서 양식

  - 기타 보호조치 적용 기준: 법적 요구사항을 반영한 보호조치 기준 등

 

2. 업무상 조직 간에 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립‧이행하고 있는가?

상세 기준

  - 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호 교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 함

    : 관련 업무 정의: DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등

    : 정보전송 범위 정의: 법규 준수 또는 정보유출 위험을 예방하기 위하여 업무상 필요한 최소한의 정보만을 송· 수신

    : 담당자 및 책임자 지정

    : 정보 전송 기술 표준 정의

    : 정보 전송, 저장, 파기 시 관리적· 기술적· 물리적 보호대책 등

      ※ DM(Direct Mail): 우편물을 통한 홍보활동을 의미하며 편지·엽서·안내장·리플렛·카탈로그·청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단

 

    운영 내역(증적) 예시

 

  • 정보전송 협약서 또는 계약서
  • 정보전송 기술표준
  • 정보전송 관련 구성도, 인터페이스 정의서

 

    ** 인증심사 결함사항 예시 **

 

  1. 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통하여 안전하게 정보를 전송하고 있으나 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않고 있는 경우
  2. 중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토, 보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우

2.10.6. 업무용 단말기기 보안

PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.

 

1. PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립‧이행하고 있는가?

상세 기준

  - 업무용 단말기 허용기준

  - 업무용 단말기 통한 업무 사용범위

  - 업무용 단말기 사용 시 승인 절차 및 방법

  - 업무망 연결 시 인증 방안 기기인증, MAC 인증 등

  - 백신 설치, 보안프로그램 설치 등 업무용 단말기 사용에 따른 보안 설정 정책

  - 업무용 단말기 사용에 따른 보안 설정 정책 및 오· 남용 모니터링 대책 등

    ※ 업무용 단말기 사용에 따른 보안관리 및 모니터링 대책(예시)

      - 업무용 단말기에 대한 사용자 보안 설정 정책 (백신설치, 보안패치, 공공장소에서의 사용주의, 분실 시 데이터초기화 등)

      - 개인정보 및 내부자료 유출 방지를 위한 정책, 교육, 책임부여, 처벌기준

      - 업무용 기기의 오· 남용 여부를 파악할 수 있는 모니터링 대책

      - 업무용 기기에 설치되는 소프트웨어의 안전성 점검대책

      - 업무용 기기 악성코드 방지 대책

      - 인터넷, 공개된 무선망 등을 통한 개인정보 유· 노출을 방지하기 위한 업무용기기 접근통제 조치

 

2. 업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립‧이행하고 있는가?

상세 기준

  - 불가피하게 공유설정 등을 할 때에는 업무용 단말기에 접근권한 비밀번호를 설정하고, 사용이 완료된 후에는 공유설정 제거

  - 파일 전송이 주된 목적일 때에는 읽기 권한만을 부여하고 상대방이 쓰기를 할 때만 개별적으로 쓰기 권한 설정

  - P2P 프로그램, 상용 웹메일, 웹하드, 메신저, SNS 서비스 등을 통하여 고의· 부주의로 인한 개인정보 및 중요정보의 유· 노출 방지

  - WPA2(Wi-Fi Protected Access 2) 등 보안 프로토콜이 적용된 무선망 이용 등

 

(가상자산사업자) 가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행하고 있는가?

상세 기준

  - 가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행

 

3. 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유‧노출을 방지하기 위하여 보안대책을 적용하고 있는가?

상세 기준

  ※ 업무용 모바일 기기 분실· 도난 대책(예시)

    - 비밀번호, 패턴, PIN, 지문, 홍채 등을 사용하여 화면 잠금 설정

    - 디바이스 암호화 기능 등을 사용하여 어플리케이션, 데이터 등 암호화

    - 모바일 기기 제조사 또는 이동통신사에서 제공하는 기능을 이용한 원격잠금, 원격 데이터 삭제 (킬 스위치 서비스 등)

    - 중요한 개인정보를 처리하는 모바일 기기는 MDM(Mobile Device Management) 등 모바일 단말 관리 프로그램을 설치하여 원격 잠금, 원격 데이터 삭제, 접속통제 등

 

4. 업무용 단말기기에 대한 접근통제 대책의 적절성에 대해 주기적으로 점검하고 있는가?

상세 기준

  - 업무용 단말기 신청· 승인, 등록· 해제, 기기인증 이력

  - 업무용 단말기 보안설정 현황 등

 

    운영 내역(증적) 예시

 

  • 업무용 단말기 보안통제 지침 및 절차
  • 업무용 단말기 등록현황
  • 업무용 단말기 보안설정
  • 업무용 단말기 기기인증 및 승인 이력
  • 업무용 단말기 보안점검 현황

 

    ** 인증심사 결함사항 예시 **

 

  1. 업무적인 목적으로 노트북, 태블릿PC 등 모바일기기를 사용하고 있으나 업무용 모바일기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않는 경우
  2. 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우
  3. 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우
  4. 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요 시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우

2.10.7. 보조저장매체 관리

보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립· 이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관하여야 한다.

 

1. 외장하드, USB메모리, CD 등 보조저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립‧이행하고 있는가?

상세 기준

  - 보조저장매체 보유 현황 관리 방안: 보조저장매체 관리대장 등

  - 보조저장매체 사용허가 및 등록 절차

  - 보조저장매체 반출· 입 관리 절차

  - 보조저장매체 폐기 및 재사용 절차

  - 보조저장매체 사용 범위: 통제구역, 제한구역 등 보호구역별 사용 정책 및 절차

  - 보조저장매체 보호대책 등

 

2. 보조저장매체 보유현황, 사용 및 관리실태를 주기적으로 점검하고 있는가?

상세 기준

  - 보조저장매체 사용 승인 증적, 보유 현황, 관리 대장, 사용이력 확인 등 관리 실태 점검

 

3. 주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 보조저장매체 사용을 제한하고 있는가?

상세 기준

  - 불가피하게 사용할 경우 책임자의 허가절차를 거친 후 적법한 절차에 따른 사용

  - 통제구역, 중요 제한구역 내 보조저장매체 사용 현황에 대한 정기적인 검토 수행

 

4. 보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가?

상세 기준

  - 보조저장매체 자동실행 방지 및 백신프로그램 검사 후 사용 등 보호대책 수립· 이행

 

5. 개인정보 또는 중요정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하고 있는가?

상세 기준   - 개인정보 또는 중요정보가 포함된 보조저장매체(이동형 하드디스크, USB메모리, SSD 등)는 금고, 잠금장치가 있는 안전한 장소에 보관

 

    운영 내역(증적) 예시

 

  • 보조저장매체(USB, CD 등) 차단 정책
  • 보조저장매체 관리대장
  • 보조저장매체 실태점검 이력

 

    ** 인증심사 결함사항 예시 **

 

  1. 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인 절차를 준수하지 않고 보조저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장의 현행화가 미흡한 경우
  2. 보조저장매체 통제 솔루션을 도입·운영하고 있으나 일부 사용자에 대하여 적절한 승인 절차없이 예외처리 되어 쓰기 등이 허용된 경우
  3. 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한 쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않는 경우
  4. 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우

  5. (CELA)(권고)블루투스 차단 정책 미적용으로 PC에서 외부로 무단 자료 반출이 가능한 경우


2.10.8. 패치관리

소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다.

 

1. 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립‧이행하고 있는가?

상세 기준

  - 패치 적용 대상: 서버, 네트워크시스템, DBMS, 응용프로그램, 상용 소프트웨어 오픈소스, 보안시스템, PC 등

  - 패치 주기: 자산 중요도 및 특성 반영

  - 패치 정보 확인 방법

  - 패치 배포 전 사전 검토 절차

  - 긴급 패치 적용 절차

  - 패치 미적용 시 보안성 검토

  - 패치 담당자 및 책임자

  - 패치 관련 업체(제조사) 연락처 등

 

2. 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가? 

상세 기준

  - 주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적 용현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리

  - 최신 보안패치 적용 필요 여부를 주기적으로 확인

    ※ 주요 OS별 서비스 지원 종료(EOS 또는 EOL) 시점 확인 사이트(예시)

      : MS 윈도우  https//support.microsoft.com/ko-kr/lifecycle/search

      : 레드햇 리눅스  https//access.redhat.com/support/policy/updates/errata

      : CentOS  https//wiki.centos.org/About/Product

      : AIX  http//www-01.ibm.com/support/docview.wss?uid=isg3T1012517

      : HP-UX  hpe.com/info/hpuxservermatrix

      : Solaris  https//www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-140987.html

 

3. 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?

상세 기준

  - 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 운영시스템의 중요도와 특성을 고려하여 영향도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 적용

  - 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리

 

4. 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?

상세 기준

  - 다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용

 

5. 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?

상세 기준

  - 패치관리시스템 자체에 대한 접근통제 조치 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등

  - 업데이트 파일 배포 시 파일 무결성 검사 등

 

    운영 내역(증적) 예시

 

  • 패치 적용 관리 정책·절차
  • 시스템별 패치적용 현황
  • 패치 적용 관련 영향도 분석 결과

 

    ** 인증심사 결함사항 예시 **

 

  1. 상용 소프트웨어 및 OS에 대해서는 최신패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정 되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우
  2. 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
  3. 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우

  4. (CELA)(AWS)클라우드 시스템에서 사용중인 Windows 서버의 보안 업데이트가 주기적으로 이루어지지 않는 경우

  5. (CELA)네트워크 보안시스템을 통한 OS 패치 정책이 일반 PC에는 적용되어 있으나, 망분리 된 가상화 PC에는 적용되지 않은 경우

  6. (CELA)서버의 외부 인터넷이 차단되어 OS 패치 및 백신 프로그램 업데이트가 수행되지 않는 경우


2.10.9. 악성코드 통제

바이러스· 웜· 트로이목마· 랜섬웨어 등의 악성코드로부터 개인정보 및 중요정보, 정보시스템 및 업무용 단말기 등을 보호하기 위하여 악성코드 예방· 탐지· 대응 등의 보호대책을 수립· 이행하여야 한다.

 

1. 바이러스, 웜, 트로이목마, 랜섬웨어 등의 악성코드로부터 정보시스템 및 업무용단말기 등을 보호하기 위하여 보호대책을 수립‧이행하고 있는가?

상세 기준

  - 사용자 PC 사용지침 (불분명한 이메일 및 파일 열람 금지, 허가받지 않은 프로그램 다운로드 및 설치 금지 등)

  - 정보시스템 및 개인정보처리시스템에서의 악성코드 대응지침

  - 백신프로그램 설치 범위(악성프로그램 감염이 가능한 정보자산 대상)

  - 백신프로그램 설치 절차

  - 백신프로그램 등을 통한 최신 악성코드 예방, 탐지 활동

  - 백신프로그램 등을 통한 주기적인 악성코드 감염여부 모니터링 정책

  - 백신 소프트웨어 등 보안프로그램의 자동 업데이트 기능 설정 또는 일 1회 이상 업데이트 방법

  - 정보시스템, 업무용 컴퓨터에 P2P, 웹 하드 등과 같은 비인가 프로그램 설치 금지

  - 사용자 교육 및 정보제공 등

 

2. 백신 소프트웨어 등 보안프로그램을 통하여 최신 악성코드 예방‧탐지 활동을 지속적으로 수행하고 있는가?

상세 기준

  - 이메일 등 첨부파일에 대한 악성코드 감염 여부 검사

  - 실시간 악성코드 감시 및 치료

  - 주기적인 악성코드 점검: 자동 바이러스 점검 일정 설정

  - 백신엔진 최신버전 유지: 주기적 업데이트 등

 

3. 백신 소프트웨어 등 보안프로그램은 최신의 상태로 유지하고 필요시 긴급 보안업데이트를 수행하고 있는가?

상세 기준

  - 백신 업데이트 주기 준수: 자동 업데이트 또는 일1회 이상 업데이트

  - 악성프로그램 관련 경보가 발령되거나 긴급 업데이트 공지가 있는 경우 이에 따른 업데이트 수행 

  - 백신 중앙관리시스템을 이용하여 백신프로그램을 관리하는 경우 관리서버에 대한 접근통제, 배포 파일에 대한 무결성 검증 등 보호대책 마련

 

4. 악성코드 감염 발견 시 악성코드 확산 및 피해 최소화 등의 대응절차를 수립‧이행하고 있는가?

상세 기준

  - 악성코드 감염 발견 시 대응 절차(예 : 네트워크 케이블 분리 등)

  - 비상연락망(예: 백신업체 담당자, 관련 기관 연락처 등)

  - 대응보고서 양식(발견일시, 대응절차 및 방법, 대응자 방지대책 포함) 등

 

    운영 내역(증적) 예시

 

  • 악성프로그램 대응 지침 · 절차 · 매뉴얼
  • 백신프로그램 설치 현황
  • 백신프로그램 설정 화면
  • 악성프로그램 대응 이력(대응 보고서 등)

 

    ** 인증심사 결함사항 예시 **

 

  1. 백신 프로그램의 환경설정(실시간 검사, 예약검사, 업데이트 설정 등)을 이용자가 임의로 변경할 수 있음에도 그에 따른 추가 보호대책이 수립되어 있지 않은 경우
  2. 백신 중앙관리시스템에 접근통제 등 보호대책이 미비하여 중앙관리시스템을 통한 침해사고발생 가능성이 있는 경우 또는 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파 가능성이 있는 경우
  3. 일부 PC 및 서버에 백신이 설치되어 있지 않거나, 백신 엔진이 장기간 최신 버전으로 업데이트되지 않은 경우
  4. 일부 내부망 PC 및 서버에서 다수의 악성코드 감염이력이 확인되었으나 감염 현황, 감염경로 및 원인 분석, 그에 따른 조치내역 등이 확인되지 않은 경우

  5. (CELA)백신이 설치되어 있으나, 탐지된 악성코드 및 이벤트에 대하여 점검 및 조치하고 있지 않은 경우