1. 관리체계 수립 및 운영
1.1. 관리체계 기반 마련
1.1.1. 경영진의 참여 ▶
- 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
- 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호 대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않은 경우
- 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
1.1.2. 최고책임자의 지정 ▶ (개정 23.11.23.)
- 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우- 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우(개정 23.11.23.)
- 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
- ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우
1.1.3. 조직 구성 ▶ (개정 23.11.23.)
- 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정 할 수 없는 경우
- 내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보 보호 및 개인정보보호 실무협의체를 구성하였으나, 장기간 운영 실적이 없는 경우
- 정보보호 및 개인정보보호 위원회를 개최하였으나 연간 정보보호 및 개인정보보호 계획 및 교육계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우
- 정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우(개정 23.11.23.)
- (CELA)정보보호 최고 책임자(CISO)가 정보보호 관리자를 겸임하고 있으나, 실질적인 정보보호 관리자의 역할을 수행하고 있지 않은 경우
- (CELA)개인정보 보호담당자가 정보보호 업무를 겸임하고 있으나, 조직 규모 대비 소규모의 담당자가 업무를 수행하여 실질적인 개인정보 보호 업무 수행이 어려운 경우
- (CELA)위원회를 구성하고 있으나, 실제 정책에 따라 위원회를 운영하지 않고 있는 경우
- (CELA)정보보호 조직도를 조직 현황에 맞춰 업데이트 하지 않고 있는 경우
1.1.4. 범위 설정 ▶ (개정 23.11.23.)
- 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락됨
정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사 결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우정보통신망법에 따른 정보보호 관리체계 의무대상자 임에도 불구하고 인터넷֘에 공개되어 있는 일부 사이트가 관리체계 범위에서 누락된 경우- 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우(개정 23.11.23.)
1.1.5. 정책 수립 ▶
- 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
- 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람 할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
(CELA)안전한 클라우드 운영을 위한 보안 지침(정책 등)이 수립되지 않은 경우
1.1.6. 자원 할당 ▶ (개정 23.11.23.)
- 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
- 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션
등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우(개정 23.11.23.) - 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우
1.2. 위험 관리
1.2.1. 정보자산 식별 ▶ (개정 23.11.23.)
- 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
- 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
- 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류기준이 일치하지 않은 경우
- 온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우(단, 인증범위 내) (개정 23.11.23.)
- 고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우 (개정 23.11.23.)
(CELA)(AWS) 클라우드 시스템 자산 식별이 누락된 경우 : AWS, Azure, GCP 등 클라우드 서비스
(CELA)개발 관련 시스템 자산 식별이 누락된 경우 : GitLab, SVN, Jenkins 등
(CELA)(AWS) 클라우드 시스템 자산 식별이 누락된 경우 : S3, cloudwatch, cloudtrail, ELB, VPC, SG 등
1.2.2. 현황 및 흐름분석 ▶
- 관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우
- 개인정보 흐름도를 작성하였으나 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
- 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
(CELA)개인정보 흐름도 내 수탁사 현황 및 외부 시스템과 연계 전송 방법이 누락된 경우
(CELA)개인정보 흐름도 내 다운로드 되는 개인정보에 대한 현황이 누락된 경우
(CELA)개인정보 흐름도 내 오프라인으로 수집되는 개인정보 현황이 누락된 경우
(CELA)개인정보 흐름도 내 DB 동기화에 대한 현황이 누락된 경우
1.2.3. 위험평가 ▶ (개정 23.11.23.)
- 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
- 내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우 (개정 23.11.23.)
- 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
- 정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우 (개정 23.11.23.)
- 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우
- 수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우 (개정 23.11.23.)
- 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
(CELA)클라우드 시스템 자산에 대한 위험평가 자산이 누락된 경우 : AWS Security Group, AWS S3, AWS WAF 등
(CELA)모바일 앱 서비스의 취약점 점검에 누락된 항목이 있으며, 관련 취약점이 발견된 경우
(CELA)네트워크 영역을 분리하였으나, 동일 네트워크 구역 내 서버간 RDP, SSH 등 연결이 차단되지 않은 경우
(CELA)실제 위험이 없어도 위험을 식별하는 과도한 위험도 산정 방법을 수립한 경우
(CELA)재택근무로 인하여 망분리 된 PC의 인터넷망PC에서 업무망PC로 원격을 허용하는 예외 정책에 대한 위험 식별 및 평가가 누락된 경우
1.2.4. 보호대책 선정 ▶ (개정 23.11.23.)
- 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
- 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고 책임자 및 개인정보 보호책임자에게보고가 이루어지지 않는 경우
- 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우- 위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우 (개정 23.11.23.)
1.3. 관리체계 운영
1.3.1. 보호대책 구현 ▶ (개정 23.11.23.)
- 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보보호책임자에게 보고하지 않은 경우
- 위험조치 이행결과보고서는 ‘조치 완료’로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
- 전년도 정보보호대책 이행계획에 따라 중 장기로 분류된 위험들이 해당년도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
- 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우 (개정 23.11.23.)
- 운영명세서에 작성된 운영 현황이 실제와 일치하지 않고, 운명명세서에 기록되어 있는 관련 문서, 결재 내용, 회의록 등이 존재하지 않는 경우 (개정 23.11.23.)
1.3.2. 보호대책 공유 ▶
- 정보보호대책을 마련하여 구현하고 있으나 관련 내용을 충분히 공유 교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
1.3.3. 운영현황 관리 ▶
- 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우
- 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한 주기적인 검토가 이루어지지 않아 월간 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
1.4. 관리체계 점검 및 개선
1.4.1. 법적 요구사항 준수 검토 ▶ (개정 23.11.23.)
- 정보통신망법 및 개인정보 보호법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 검토하지 않았으며 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서의 내용이 법령의 내용과 일치하지 않은 경우
- 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나,
이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우
모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나, 위치기반서비스사업 신고를 하지 않은 경우 (개정 23.11.23.)
국내에 주소 또는 영업소가 없는 개인정보처리자로서 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자에 해당되어 국내대리인 지정의무에 해당됨에도 불구하고, 국내대리인을 문서로 지정하지 않은 경우 (개정 23.11.23.)
조직에서 준수해야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
(CELA)(AWS)클라우드 시스템을 해외 리전으로 이용하면서 개인정보처리방침 내 개인정보의 국외이전을 명시하지 않은 경우
(CELA)(AWS)클라우드 시스템을 국내 리전으로 이용하면서 개인정보처리방침 내 개인정보의 국외이전을 명시한 경우
(CELA)위치기반 서비스를 운영하고 있으나, 위치기반 서비스 이용약관 동의를 누락한 경우
1.4.2. 관리체계 점검 ▶ (개정 23.11.23.)
- 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우
- 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 훼손된 경우
관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료여부를 확인하지 않은 경우- 관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우 (개정 23.11.23.)
1.4.3. 관리체계 개선 ▶ (개정 23.11.23.)
- 내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상의 문제점이 매번 동일하게 반복되어 발생되는 경우
- 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우
- 관리체계 상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우
- 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우 (개정 23.11.23.)
2. 보호대책 요구사항
2.1. 정책, 조직, 자산 관리
2.1.1. 정책의 유지관리 ▶
- 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
- 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
- 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
- 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정 하지 않은 경우
- 개인정보보호 정책이 개정 되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책 의 작성일자 작성자 및 승인자 등이 누락되어 있는 경우
2.1.2. 조직의 유지관리 ▶
- 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나 실제 운영현황과 일치하지 않는 경우
- 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
- 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
- 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
2.1.3. 정보자산 관리 ▶
- 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
- 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나 보안등급에 따른 취급절차를 정의하지 않은 경우
- 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
(CELA)정보 자산의 중요도 평가 결과가 중요도 평가 기준과 맞지 않은 경우
2.2. 인적 보안
2.2.1. 주요 직무자 지정 및 관리 ▶
- 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 득하고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
- 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자등)을 명단에 누락한 경우
- 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
- 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
(CELA)공식 업무 할당이 확인되지 않은 상태로 개발자에게 DBA 접근 권한이 부여되어 주요 직무자 식별이 미흡한 경우
2.2.2. 직무 분리 ▶
- 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부 규정으로 정한 직무분리 기준을 준수하고 있지 않는 경우
- 조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우
2.2.3. 보안 서약 ▶
- 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
- 개인정보취급자에 대하여 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
- 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않는 경우
- 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
2.2.4. 인식제고 및 교육훈련 ▶
- 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나 당해년도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호인식 교육은 일정 시간 계획되어 있으나 개인정보 보호책임자 및 개인정보담당자 등 각 직무별 로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
- 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우
- 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과 인증범위 내의 정보자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등) 을 교육 대상에서 누락한 경우
- 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나 교육시행 및 평가에 관한 기록(교육자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
(CELA)외부자 신규 계약 시 업무 시작 전 정보보호 교육을 시행하지 않은 경우
2.2.5. 퇴직 및 직무변경 관리 ▶ (개정 23.11.23.)
- 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
- 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
- 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우
- 개인정보취급자 퇴직 시 개인정보처리시스템의 접근 권한은 지체 없이 회수되었지만, 출입통제 시스템 및 VPN 등 일부 시스템의 접근 권한이 회수되지 않은 경우 (개정 23.11.23.)
- (CELA)퇴사자 발생 시 매월 초에 일괄적으로 권한을 회수하여, 월초에 퇴사자 발생 시 최대 29일까지 권한이 회수되지 않고 운영되는 경우
2.2.6. 보안 위반 시 조치 ▶
- 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
- 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우
2.3. 외부자 보안
2.3.1. 외부자 현황 관리 ▶
- 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나 이에대한 식별 및 위험평가가 수행되지 않은 경우
- 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 수개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
2.3.2. 외부자 계약 시 보안 ▶
- 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁업무의 특성에 따른 보안요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
- IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
- 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
(CELA)IT 및 정보보호 등 유지보수 계약시 SLA(Service-Level Agreement, 서비스 수준 협약)를 확인할 수 없는 경우
- (CELA)(AWS)클라우드 운영 업무를 외부업체에 위탁하고 있으나, 계약서상 정보보호 요구사항이 반영되지 않아 정보보호 사항이 수행되고 있지 않은 경우 : 정보보호 서약서 제출 등
2.3.3. 외부자 보안 이행 관리 ▶ (개정 23.11.23.)
- 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
- 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행여부를 확인하고 있지 않은 경우
- 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우
- 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우- 개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우 (개정 23.11.23.)
2.3.4. 외부자 계약 변경 및 만료 시 보안 ▶
- 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
- 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나 관련 인력들에 대한 퇴사시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
- 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기했는지 여부를 확인·점검하지 않은 경우
2.4. 물리 보안
2.4.1. 보호구역 지정 ▶
- 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
- 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나 일부 통제구역에 표시판을 설치하지 않은 경우
2.4.2. 출입통제 ▶
- 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우
- 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기톡을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우
- 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
(CELA)통제구역 내 출입 관리대장을 운영하고 있으나 담당자 확인 서명란이 누락되는 등 작성이 미흡한 경우
- (CELA)통제구역 출입 신청 절차가 없어, 출입 신청 이력에 대한 내용을 확인할 수 없는 경우
- (CELA)통제구역 출입 기록에 대한 주기적인 검토를 수행하지 않고 있는 경우
2.4.3. 정보시스템 보호 ▶
- 시스템 배치도가 최신 변경사항을 반영하여 업데이트 되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
- 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우
- (CELA)IDC 센터 내 장비의 USB 포트를 차단하지 않은 경우
2.4.4. 보호설비 운영 ▶
- 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
- 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나 관련 설비에 대한 운영 및 점검기준을 수립하고 있지 않은 경우
- 운영지침에 따라 전산실 내에 온·습도 조절기를 설치하였으나 용량 부족으로 인하여 표준 온·습도를 유지하지 못하여 장애발생 가능성이 높은 경우
2.4.5. 보호구역 내 작업 ▶
- 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
- 내부 규정에는 보호구역 내 작업기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 직업기록에 대한 점검이 이루어자고 있지 않은 경우
(CELA)보호구역 내 반출입 기기에 대한 보안점검을 수행하고 있지 않은 경우
2.4.6. 반출입 기기 통제 ▶
- 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우
- 내부 지침에 따라 전산장비 반·출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서 명이 다수 누락되어 있는 경우
2.4.7. 업무환경 보안 ▶
- 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나 이를 이행하지 않은 경우
- 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우
- 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우
- 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한경우
2.5. 인증 및 권한관리
2.5.1. 사용자 계정 관리 ▶
- 사용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
- 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우
- 개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지않고 개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우
(CELA)(AWS)클라우드 IAM 서비스 내에 불필요한 계정이 존재하는 경우
(CELA)(AWS)클라우드 시스템 계정을 공유하여 사용하는 경우
(CELA)(AWS)클라우드 EC2의 모든 계정에서 root 계정으로 su가 허용되어 있는 경우
(CELA)(AWS)클라우드 내 IAM, EC2, RDS 등 정보시스템 계정의 신청절차, 승인절차 등의 절차가 운영되지 않는 경우
(CELA)(AWS)IAM 관리자 권한을 최소화로 부여하고 있지 않은 경우
(CELA)중요 시스템(통합계정관리, 서비스 운영 시스템, DBMS 등) 계정 생성 시 관리자 승인 절차 없이 담당자 확인으로 생성한 경우
(CELA)개발 관련 시스템의 계정 및 권한 부여 시 계정별 접근 IP를 지정하지 않고 있는 경우
(CELA)개발 관련 시스템의 장기 미사용 계정에 대한 자동 비활성화 및 권한 회수 절차가 적용되지 않은 경우
(CELA)불필요한 계정이 존재하는 경우 : 장기 미사용자 계정 등
(CELA)최고 관리자 권한이 부여된 계정을 공유하여 사용하는 경우
2.5.2. 사용자 식별 ▶ (개정 23.11.23.)
- 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 기술적으로 변경 가능함에도 불구하고 변경하지 않고 사용하고 있는 경우 (개정 23.11.23.)
- 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정 처럼 사용하고 있는 경우
- 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자 의 승인 등이 없이 사용하고 있는 경우
(CELA)(AWS)클라우드 EC2 기본 계정을 공용 계정으로 사용하는 경우
(CELA)관리자 계정 사용 시 쉽게 추측 가능한(admin, master, 기업명 등) 식별자를 사용하고 있는 경우
2.5.3. 사용자 인증 ▶
- 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 아이디·비밀번호 방식으로만 인증하고 있는 경우
- 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해주고 있으며, 로그인 실패 흿수에 대한 제한이 없는 경우
(CELA)(AWS)Admin 권한 사용자에 대한 IP 주소기반의 접근통제가 적용되지 않은 경우
- (CELA)(AWS)Admin 권한 사용자에 대한 2-Factor 인증이 적용되지 않은 경우
- (CELA)로그인 횟수 제한을 지침에 따라 운영하고 있지 않은 경우
2.5.4. 비밀번호 관리 ▶ (개정 23.11.23.)
- 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
- 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하는 경우
사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우- 비밀번호 관련 내부 규정에는 사용자 및 개인정보취급자의 비밀번호 변경주기를 정하고 이행하도록 하고 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우 (개정 23.11.23.)
(CELA)(AWS)클라우드 IAM 계정에 대한 비밀번호 작성규칙이 적용되지 않은 경우
(CELA)비밀번호 설정 파일에 대한 접근을 최소화로 관리하고 있지 않은 경우
2.5.5. 특수 계정 및 권한관리 ▶
- 정보시스템 및 개인정보처리시스템의 관리자 및 특수 권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우
- 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한이 없이 상시로 활성화되어 있는 경우
- 관리자 및 특수 권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수 권한을 계속 보유하고 있는 경우
- 내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별·관리되지 않는 경우
2.5.6. 접근권한 검토 ▶
- 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
- 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어있으나 6개월 이상 미접속한 사용자의 계정이 활성화 되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)
- 접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우
(CELA)(AWS)계정 별 패스워드 및 액세스키의 변경관리가 미흡한 경우 : 변경 주기가 지났거나 변경 주기가 없는 경우
(CELA)(AWS)장기 미사용 계정이 존재하며 계정 및 권한에 대한 정기적인 검토를 하지 않는 경우
(CELA)위탁범위가 변경된 수탁사의 계정 및 접근권한에 대한 검토 절차가 존재하지 않거나 검토가 수행되지 않은 경우
(CELA)서버 접근시 개인 식별이 어려운 그룹계정을 공용으로 사용하여 접근권한 검토가 불가하고, 책임 추적성이 확보되지 않은 경우
(CELA)인사 이동 이후에도 관리자 권한이 회수되지 않은 경우
2.6. 접근통제
2.6.1. 네트워크 접근 ▶
- 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우
- 내부 규정과는 달리 MAC 주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우
- 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정 되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우
- 서버팜이 구성되어 있으나 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우
- 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버간의 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우
(CELA)(AWS)네트워크를 분리하지 않고 WEB/WAS/DB 서버를 단일 서버(EC2)에 운영하는 경우
(CELA)(AWS)클라우드 EC2가 역할과 용도에 따라 서브넷으로 분리되지 않고 접근통제가 적용되지 않은 경우
(CELA)(AWS)S3 버킷이 Public 액세스 설정이 적용되어 비인가자의 접근이 가능한 경우
(CELA)(AWS)VPC 내 과도한 인바운드 및 아웃바운드 정책(ANY 등)을 허용하는 경우
(CELA)IP 접근통제가 적용되지 않아 DB 접속 시 접근통제가 적용되지 않고 직접 접속이 가능한 경우
(CELA)IDC에 위치한 서버 간 연결 시 방화벽을 통한 통제 없이 직접 연결이 가능한 경우
(CELA)업무망과 IDC DMZ망 연계 시 VPN을 적용하지 않고 외부 인터넷을 경유하여 IDC 방화벽을 통해 접근하는 경우
(CELA)DMZ 영역에 웹서버 이외에 중요 시스템(개발 서버, DB 서버 등)이 존재하는 경우
(CELA)서버 Zone 등 동일 네트워크 구간 내 서버에서 서버 접근 시 접근통제가 적용되지 않는 경우
(CELA)사내 유·무선 네트워크가 동일 IP 대역을 사용하여 유·무선 네트워크간 접근통제가 적용되지 않는 경우
(CELA)(AWS) 본사와 클라우드 간 접속 시 VPN, 전용선 등 안전한 접속수단을 적용하지 않고 외부 인터넷을 통해 접속하고 있는 경우
2.6.2. 정보시스템 접근 ▶ (개정 23.11.23.)
- 타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우
- 모든 서버로의 접근은 서버접근제어 시스템을 통하도록 접근통제 정책을 가져가고 있으나, 서버접근제어 시스템을 통하지 않고 서버에 접근할 수 있는 우회 경로가 존재하는 경우 (개정 23.11.23.)
- 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나 터미널 서비스에 대한 Session Timeout 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우
- 서버 간의 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우
(CELA)(AWS)서버에서 무분별한 인터넷 접속이 통제되지 않는 경우 : Security Group 에서 아웃바운드가 모두 오픈되어 있음
(CELA)업무용 PC에서 접근통제 시스템을 우회하여 통제 없이 주요 정보시스템에 접근이 가능한 경우
(CELA)(AWS)Admin 권한 사용자에 대한 IP 주소기반의 접근통제가 적용되지 않은 경우
(CELA)(AWS)Admin 권한 사용자에 대한 2-Factor 인증이 적용되지 않은 경우
(CELA)(AWS)EC2 접속 시 SSH Key 인증을 사용하고 있으나 임직원 퇴직 시 해당 Key에 대한 권한이 회수되지 않은 경우
(CELA)(AWS)클라우드 EC2에 외부 인터넷에서 직접 SSH 접속이 가능한 경우
(CELA)(AWS)서버 접속 시 인증 용도로 사용되는 PEM 키의 주기적인 교체가 미흡한 경우
(CELA)형상관리 서버의 세션 타임아웃을 지침에 따라 운영하고 있지 않은 경우
(CELA)과도한 세션 타임아웃(2시간 이상 등)이 설정된 경우
(CELA)중요 시스템의 원격 데스크톱 포트에 대한 IP 접근통제가 적용되어 있지 않은 경우
(CELA)중요 시스템 접속 시 안전한 추가 인증수단(OTP 등)이 적용되지 않은 경우
(CELA)서버에 패스워드 파일을 불필요하게 백업하여 장기간 삭제되지 않고 남아 있는 경우
(CELA)서버에 관리자 계정 정보를 저장하여 서버에서 자동 로그인이 가능한 경우
(CELA)개인정보처리시스템에 대한 망분리가 미흡하여 외부 인터넷에서 개인정보 다운로드가 가능한 경우
(CELA)서버 접근제어 솔루션을 도입하였으나 연동에 누락된 서버가 존재하는 경우
(CELA)서버에 기본 공유 폴더가 설정되어 있는 경우
(CELA)망분리 VDI에서 중요 시스템(DB, 서버 등)에 접근하고 있으나 망분리 대역이 아닌 인터넷 PC에서도 접속이 가능한 경우
(CELA)(AWS)EC2가 Public VPC에 존재하여 외부 접근이 가능한 경우
2.6.3. 응용프로그램 접근 ▶ (개정 23.11.23.)
- 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
- 응용프로그램을 통하여 개인정보를 다운로드 받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
- 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우
- 응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
- 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우
- 개인정보 표시제한 조치 기준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대하여 개인정보처리시스템 화면별로 서로 다른 마스킹 기준이 적용된 경우 (개정 23.11.23.)
- 개인정보처리시스템의 화면상에는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통하여 마스킹되지 않은 전체 개인정보가 노출되는 경우 (개정 23.11.23.)
- (CELA)관리자 계정에 대한 접근을 공인 IP로 통제하여 접속자의 개별 IP 식별이 어려운 경우
- (CELA)관리자 페이지를 통한 개인정보 송수신 시 SSL이 적용되지 않은 경우
- (CELA)개인정보 처리시스템 망분리가 미흡하여 외부 인터넷이 가능한 PC에서 개인정보 다운로드, 삭제, 접근권한 설정이 가능한 경우
- (CELA)계정관리시스템에서 모든 사용자가 다른 사용자의 계정 정보 조회·수정이 가능한 경우
- (CELA)외부에서 개인정보처리시스템 접속 시 안전한 추가 인증수단(OTP 등)이 적용되지 않은 경우
- (CELA)개인정보 마스킹 적용시 일관성이 확보되지 않아 조합을 통하여 재식별이 가능한 경우
- (CELA)개인정보처리시스템에서 개인정보 메뉴 접근 시 마스킹이 적용되지 않은 개인정보 전체 목록이 출력되는 경우
- (CELA)불필요한 메뉴에서 개인정보 다운로드 기능이 구현되고 권한이 부여된 경우
2.6.4. 데이터베이스 접근 ▶
- 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
- 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
- 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
- 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
- 데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우
(CELA)데이터베이스의 테이블 목록에서 암호화 여부가 식별되지 않은 경우
2.6.5. 무선 네트워크 접근 ▶ (개정 23.11.23.)
- 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나 안전하지 않은 방식으로 설정한 경우
- 업무 목적으로 내부망에 연결된 무선AP에 대하여
SSID 브로드캐스팅 허용,무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우 (개정 23.11.23.) - 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제없이 내부 네트워크에 접근이 가능한 경우
(CELA)개발 업무를 목적으로 모바일 기기에 AD Hoc 접근하여 통제 및 모니터링이 불가한 경우
- (CELA)무선 네트워크 관리자 시스템에 대한 IP 접근 통제가 적용되지 않은 경우
- (CELA)무선 네트워크에 대한 SSID 숨김 기능이 설정되지 않은 경우
- (CELA)무선 네트워크 관리자 시스템 비밀번호의 주기적인 변경이 미흡한 경우
- (CELA)무선 네트워크에 대한 ACL이 적용되지 않아 외부인용 무선 네트워크와 임직원용 무선 네트워크가 구분 되지 않는 경우
2.6.6. 원격접근 통제 ▶ (개정 23.11.23.)
- 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
- 원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나 VPN에 대한 사용 승인 또는 접속 기간 제한 없이 상시 허용하고 있는 경우
- 외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우
- 외부 접속용 VPN에서 사용자별로 원격접근이 가능한 네트워크 구간 및 정보시스템을 제한하지 않아 원격접근 인증을 받은 사용자가 전체 내부망 및 정보시스템에 과도하게 접근이 가능한 경우 (개정 23.11.23.)
- (CELA)IDC 원격 접속용 PC에서 외부 인터넷 사용이 가능한 경우
2.6.7. 인터넷 접속 통제 ▶ (개정 23.11.23.)
- DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
- 인터넷 PC와 내부 업무용 PC를 물리적 망분리 방식으로 인터넷망 차단 조치를 적용하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송내역에 대한 주기적 검토가 이루어지고 있지 않은 경우 (개정 23.11.23.)
- 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우 (개정 23.11.23.)
- 개인정보 보호법
상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 인터넷망 차단 조치를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우 (개정 23.11.23.) 망분리 의무대상으로서 망분리를 적용하였으나 타 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우개인정보 보호법에 따른 인터넷망 차단 조치 의무대상으로서 인터넷망 차단 조치를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 인터넷망 차단 조치가 적용되지 않은 환경에서 개인정보처리시스템에 접속하여 개인정보의 다운로드, 파기 등이 가능한 경우 (개정 23.11.23.)- (CELA)망분리 적용이 미흡하여 개인정보 취급자 단말기에서 내부 시스템과 외부 인터넷 모두 접근이 가능한 경우
- (CELA)유해사이트 차단 시스템을 운영하고 있으나 차단 정책이 적용되지 않은 경우
- (CELA)개인정보 취급자 PC에서 P2P 및 웹하드 사이트에 접속이 가능하여 인터넷 접속 통제가 미흡한 경우
2.7. 암호화 적용
2.7.1. 암호정책 적용 ▶ (개정 23.11.23.)
- 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
- 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여
(정보통신망법 대상자 에게 개인정보 보호법의 암호화 요건 적용)암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용) (개정 23.11.23.) - 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화 적용하였으나 안전하지 않은 MD5 알고리즘을 사용한 경우
정보통신망법 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우 (개정 23.11.23.)- 정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우 (개정 23.11.23.)
- (CELA)외부에서 형상관리서버에 접속 시 암호화를 적용하지 않은 경우
- (CELA)비밀번호 저장 시 복호화가 가능한 대칭키 암호화 알고리즘을 사용한 경우
- (CELA)(권고)PC 내 중요 개인정보 파일 저장 시 암호화를 적용하지 않은 경우
- (CELA)외부에서 접근 가능한 개인정보처리시스템에서 개인정보 다운로드 시 파일 암호화가 적용되지 않은 경우
- (CELA)DB 관리자 비밀번호를 설정 파일 내 평문으로 저장하고 있는 경우
- (CELA)암호화에 사용하는 솔트(Salt)값이 소스코드에 평문으로 하드코딩되어 있는 경우
2.7.2. 암호키 관리 ▶ (개정 23.11.23.)
- 암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자 별로 암호키 관리 수준 및 방법이 상이한 등 암호키 관리 상에 취약사항이 존재하는 경우
- 내부 규정에 중요 정보를 암호화할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을 작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경우
- 개발시스템에 적용되어 있는 암호키와 운영시스템에 적용된 암호키가 동일하여, 암호화된 실데이터가 개발시스템을 통해 쉽게 복호화가 가능한 경우 (개정 23.11.23.)
- (CELA)운영서버 소스코드 내 DB 암호화 키가 평문으로 하드코딩 되어 있는 경우
- (CELA)클라우드에 보관된 암호키에 최소한의 접근권한을 부여하고 있지 않은 경우
2.8. 정보시스템 도입 및 개발 보안
2.8.1. 보안 요구사항 정의 ▶ (개정 23.11.23.)
- 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
- 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나 최근 도입한 일부 정보시스템에 대하여
인수테스트(취약점 점검) 등의 관련 보안성 검토 수행 증적이 확인되지 않은 경우인수 시 보안요건에 대해 세부 기준 및 계획이 수립되지 않았으며, 이에 따라 인수 시 보안성검토가 수행되지 않은 경우 (개정 23.11.23.) - 개발 관련 내부 지침에 개발과 관련된 주요 보안요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
- ‘개발표준정의서’에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우
(CELA)개발 시 보안 요구사항 기준을 정의하고 있으나, 기준에 법적 요구사항이 반영되지 않은 경우
- (CELA)운영 서비스 개발 언어(JSP, ASP, javascript, react, node.js 등)에 대한 설계, 구현, 검토 시 참고할 수 있는 시큐어 코딩 가이드 및 보안 취약점 조치 방법 관련문서가 마련되지 않은 경우
2.8.2. 보안 요구사항 검토 및 시험 ▶ (개정 23.11.23.)
- 정보시스템 구현 이후 개발 관련 내부 지침 및 문서에 정의된 보안요구사항을 시험하지 않고 있는 경우
- 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토(취약점 점검 등)하도록 내부 지침을 마련하고 있으나, 최근 도입한 일부 정보시스템에 대하여 인수 시 취약점 점검 등 보안성검토가 수행되지 않은 경우 (개정 23.11.23.)
- 응용프로그램 테스트 시나리오 및 기술적 취약점 점검항목에 입력값 유효성 체크 등의 중요 점검항목 일부가 누락된 경우
- 구현 또는 시험 과정에서 알려진 기술적 취약성이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는 승인 없이 확인된 취약성에 대한 개선조치를 이행하지 않은 경우
- 공공기관이 5만명 이상 정보주체의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인정보파일 및 개인정보처리시스템을 신규로 구축하면서 영향평가를 실시하지 않은 경우
- 공공기관이 영향평가를 수행한 후 영향평가 기관으로부터 영향평가서를 제출받은 지 2개월이 지났음에도 불구하고 영향평가서를 개인정보보호위원회에게 제출하지 않은 경우
(CELA)운영환경으로 이관 시 개발자가 직접 승인하여 이관하고 있으나 이에 대한 관리·감독이 이행되고 있지 않은 경우
2.8.3. 시험과 운영 환경 분리 ▶
- 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 운영환경에서 직접 소스코드 변경을 수행하고 있는 경우
- 개발시스템이 별도로 구성되어 있으나 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우
- 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우
2.8.4. 시험 데이터 보안 ▶
- 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
- 타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우
- 불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 데이터베이스에 대하여 운영 데이터베이스와 동일한 수준의 접근통제를 적용하고 있지 않은 경우
- 실 운영데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 데이터베이스에서 삭제하지 않은 경우
2.8.5. 소스 프로그램 관리 ▶
- 별도의 소스 프로그램 백업 및 형상관리 시스템이 구축되어 있지 않으며, 이전 버전의 소스코드를 운영 서버 또는 개발자 PC에 승인 및 이력관리 없이 보관하고 있는 경우
- 내부 규정에는 형상관리시스템을 통하여 소스 프로그램 버전관리를 하도록 되어 있으나, 최신 버전의 소스 프로그램은 개발자 PC에만 보관되어 있고 이에 대한 별도의 백업이 수행 되고 있지 않은 경우
- 형상관리시스템을 구축하여 운영하고 있으나 형상관리시스템 또는 형상관리시스템에 저장된 소스코드에 대한 접근제한, 접근 및 변경이력이 적절히 관리되지 않고 있는 경우
2.8.6. 운영환경 이관 ▶ (개정 23.11.23.)
- 개발·변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토·승인하는 절차가 마련되어 있지 않은 경우
- 내부 지침에는 모바일 앱을 앱마켓에 배포하는 경우 내부 검토 및 승인을 받도록 하고 있으나, 개발자가 해당 절차를 거치지 않고 임의로 앱마켓에 배포하고 있는 경우 (개정 23.11.23.)
- 내부 지침에 운영환경 이관 시 안전한 이관·복구를 위하여 변경작업 요청서 및 결과서를 작성 하도록 정하고 있으나 관련 문서가 확인되지 않는 경우
- 운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등)이 존재하는 경우
(CELA)운영환경 이관 후 소스코드 버전이 관리되고 있지 않은 경우
2.9. 시스템 및 서비스 운영관리
2.9.1. 변경관리 ▶
- 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나 변경 후 발생할 수 있는 보안위험성 및 성능 평가에 대한 수행·승인 증적이 확인되지 않은 경우
- 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근 통제리스트(ACL)에 적절히 반영되어 있지 않은 경우
- 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하도록 하고 있으나 해당 시스템을 통하지 않고도 시스템 변경이 가능하며 관련 변경사항이 적절히 검토되지 않는 경우
(CELA)(AWS)클라우드 자원 생성, 변경 시 승인 이력이 존재하지 않는 경우
2.9.2. 성능 및 장애관리 ▶
- 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우
- 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립·이행이 이루어지고 있지 않은 경우
- 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내·외부 환경변화가 적절히 반영되어 있지 않은 경우
- 장애처리절차와 장애유형별 조치방법 간에 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족하여 신속·정확하고 체계적인 대응이 어려운 경우
2.9.3. 백업 및 복구관리 ▶
- 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
- 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우
- 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우
- 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우
(CELA)백업을 수행하고 있으나, 백업 이력 기록 및 관리가 미흡한 경우
2.9.4. 로그 및 접속기록 관리 ▶ (개정 23.11.23.)
- 로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은 경우
- 중요 Linux/UNIX 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아 사용자의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우
- 보안 이벤트 로그, 응용 프로그램 및 서비스 로그(윈도우 2008 서버 이상) 등 중요 로그에 대한 최대 크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록·보관되고 있지 않은 경우
- 개인정보처리시스템에 접속한 기록을 확인한 결과 접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기고 있으나 처리한 정보주체 정보 및 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우
- 로그 서버의 용량의 충분하지 않아서 개인정보처리시스템 접속기록이
32개월 밖에 남아 있지 않은 경우 (개정 23.11.23.) - 공공기관 등 개인정보처리자가 정보주체 10만 명의 개인정보를 처리하는 개인정보처리시스템의 접속기록을 1년간만 보관하고 있는 경우
(CELA)접속지 정보가 공인 IP로 기록되어 접속자의 개별 IP 식별이 불가한 경우
- (CELA)개인정보 처리 메뉴가 존재하지만, 해당 메뉴에 대한 접속 이력이 기록·보관되고 있지 않은 경우
- (CELA)(AWS)CouldTrail 로그를 S3에 보관 시 보관 기간이 설정되지 않은 경우
- (CELA)개인정보처리시스템에서 개인정보 다운로드 시 사유를 기록하지 않고 다운로드가 가능하여 그 사유를 확인할 수 없는 경우
- (CELA)개인정보처리시스템 접근권한 변경 이력을 보관하고 있지 않은 경우
- (CELA)이용자에 관한 주요 로그 기록이 일부 누락된 경우
2.9.5. 로그 및 접속기록 점검 ▶ (개정 23.11.23.)
- 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적·연속적 조회 등)에 대한 모니터링 및 경고· 알림 정책(기준)이 수립되어 있지 않은 경우
- 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검·모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않은 경우
- 개인정보처리자 또는 정보통신서비스 제공자가 개인정보처리 시스템의 접속기록 점검 주기를
반기분기 1회로 정하고 있는 경우 (개정 23.11.23.) - 개인정보처리자의 내부관리계획에는 1,000명 이상의 정보주체에 대한 개인정보를 다운로드한 경우에는 사유를 확인하도록 기준이 책정되어 있는 상태에서 1,000건 이상의 개인정보 다운로드가 발생하였으나 그 사유를 확인하지 않고 있는 경우
(CELA)(AWS)클라우드 시스템 사용자 계정에 대한 접속기록 점검이 수행되지 않은 경우
(CELA)개인정보 조회 내역이 기록되지 않아 과다 조회에 대한 검토가 이루어지지 않은 경우
(CELA)이상징후 탐지 알림에 대한 검토 및 후속 조치가 이행되고 있지 않은 경우
(CELA)접속지 정보가 NAT IP로 기록되어 개별 IP의 식별이 어려워 접속 기록 점검이 정상적으로 이행되지 않은 경우
(CELA)(AWS)관리 콘솔 접속 및 이력을 CloudTrail로 저장하고 있으나, 보관 기간이 과도하게 단기로 설정되어 접속 기록 점검을 수행하기 어려운 경우
(CELA)(AWS)관리 콘솔 접속 및 이력을 CloudTrail로 저장하고 있으나, 이력에 대한 백업을 수행하고 있지 않은 경우
2.9.6. 시간 동기화 ▶
- 일부 중요 시스템(보안시스템, CCTV 등)의 시각이 표준시와 동기화되어 있지 않으며 관련 동기화 여부에 대한 주기적 점검이 이행되고 있지 않은 경우
- 내부 NTP 서버와 시각을 동기화하도록 설정하고 있으나 일부 시스템의 시각이 동기화되지 않고 있고, 이에 대한 원인분석 및 대응이 이루어지고 있지 않은 경우
(CELA)NTP를 설정하고 있으나, 시스템별 다른 NTP 서버를 설정하여 시간동기화가 정상적으로 이루어지지 않고 있는 경우
2.9.7. 정보자산의 재사용 및 폐기 ▶
- 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제 하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용 하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우
- 폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기이력 및 추적할 수 있는 증거자료를 확인할 수 없는 경우
- 외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용 상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증거자료 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
- 회수한 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치 되지 않은 장소에 방치되고 있는 경우
2.10. 시스템 및 서비스 보안관리
2.10.1. 보안시스템 운영 ▶
- 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록·보관하도록 정하고 있으나 정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안 정책과 실제 운영 중인 시스템의 보안정책이 상이한 경우
- 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우
- 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우
- 침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우
(CELA)침입차단 시스템의 보안정책이 존재하나, 과도한 서비스 포트 허용 규칙(Any)이 발견되는 경우
(CELA)DB 접근통제 시스템의 모니터링 정책에 대량 조회와 같은 이상 징후가 탐지되지 않는 경우
(CELA)(AWS) IDC 와 클라우드 간에 IPSEC-VPN 설정시 취약한 암호 알고리즘 사용 시(SHA1 등)
(CELA)망분리 시스템을 통한 논리적 망분리가 적용되어 있으나, 클립보드 제한이 없어 내부망과 인터넷망간 개인정보 복사가 가능한 경우
(CELA)보안시스템 예외 승인 시 허용한 기간 이후에 권한이 회수 되지 않은 경우
(CELA)(AWS)네트워크 보안정책(Security Group, SG)에 대한 적정성 검토 미흡 : 사용하지 않는 보안 정책(Hit Count 0), 서비스에 불필요한 보안 정책, 과도한 인바운드 정책, 불필요한 아웃바운드 정책
(CELA)방화벽 설정 정보, 정책 등에 대한 백업 절차 및 주기 등이 관리되지 않는 경우
(CELA)보안시스템의 관리자 접속 IP 설정이 비활성화 되어 있는 경우
(CELA)(AWS)장기 미사용자 계정이 존재하며 계정 및 권한에 대한 정기적인 검토를 하지 않는 경우
(CELA)(AWS)네트워크 보안정책(Security Group, SG)에 대한 적정성 검토 미흡 : 사용하지 않는 보안 정책(Hit Count 0), 서비스에 불필요한 보안 정책, 과도한 인바운드 정책, 불필요한 아웃바운드 정책
(CELA)(AWS) Network Firewall, ACL에 대한 주기적인 점검을 수행한 이력이 존재하지 않는 경우
2.10.2. 클라우드 보안 ▶
- 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
- 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우
- 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
- 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우
(CELA)(AWS)Admin 권한 사용자에 대한 IP 주소기반의 접근통제가 적용되지 않은 경우
(CELA)(AWS)Admin 권한 사용자에 대한 2-Factor 인증이 적용되지 않은 경우
(CELA)(AWS)IAM User에 대한 비밀번호 정책이 수립 및 적용되지 않은 경우
(CELA)(권고)안전한 클라우드 운영을 위한 보안 지침(정책 등)이 수립되지 않은 경우
(CELA)(AWS)CouldTrail 로그를 S3에 보관 시 보관 기간이 설정되지 않은 경우
(CELA)(AWS)EC2 접속 시 SSH Key 인증을 사용하고 있으나 임직원 퇴직 시 해당 Key에 대한 권한이 회수되지 않은 경우
(CELA)(AWS)네트워크 보안정책(Security Group, SG)에 대한 적정성 검토 미흡 : 사용하지 않는 보안 정책(Hit Count 0), 서비스에 불필요한 보안 정책, 과도한 인바운드 정책, 불필요한 아웃바운드 정책
(CELA)안전한 클라우드 운영을 위한 보안 지침(정책 등)이 수립되지 않은 경우
(CELA)(AWS)클라우드 EC2가 역할과 용도에 따라 서브넷으로 분리되지 않고 접근통제가 적용되지 않은 경우
(CELA)(AWS)클라우드 EC2에 외부 인터넷에서 직접 SSH 접속이 가능한 경우
(CELA)(AWS)서버 접속 시 인증 용도로 사용되는 PEM 키의 주기적인 교체가 미흡한 경우
(CELA)(AWS)클라우드 EC2 기본 계정을 공용 계정으로 사용하는 경우
(CELA)(AWS)클라우드 EC2의 모든 계정에서 root 계정으로 su가 허용되어 있는 경우
(CELA)(AWS)클라우드 내 IAM, EC2, RDS 등 정보시스템 계정의 신청절차, 승인절차 등의 절차가 운영되지 않는 경우
(CELA)(AWS)클라우드 관리콘솔에 대한 취약점 점검 및 조치활동을 수행하지 않는 경우
(CELA)(AWS)IAM 관리자 권한을 최소화로 부여하고 있지 않은 경우
(CELA)(AWS)장기 미사용 계정이 존재하며 계정 및 권한에 대한 정기적인 검토를 하지 않는 경우
(CELA)(AWS)S3 버킷이 Public 액세스 설정이 적용되어 비인가자의 접근이 가능한 경우
(CELA)(AWS)클라우드 자원 생성, 변경 시 승인 이력이 존재하지 않는 경우
(CELA)(AWS) Network Firewall, ACL에 대한 주기적인 점검을 수행한 이력이 존재하지 않는 경우
(CELA)(AWS)VPC 내 과도한 인바운드 및 아웃바운드 정책(ANY 등)을 허용하는 경우
(CELA)(AWS)계정 별 패스워드 및 액세스키의 변경관리가 미흡한 경우 : 변경 주기가 지났거나 변경 주기가 없는 경우
(CELA)(AWS)네트워크를 분리하지 않고 WEB/WAS/DB 서버를 단일 서버(EC2)에 운영하는 경우
- (CELA)(AWS)클라우드 시스템 사용자 계정에 대한 접속기록 점검이 수행되지 않은 경우
- (CELA)(AWS)관리 콘솔 접속 및 이력을 CloudTrail로 저장하고 있으나, 보관 기간이 과도하게 단기로 설정되어 접속 기록 점검을 수행하기 어려운 경우
- (CELA)(AWS)관리 콘솔 접속 및 이력을 CloudTrail로 저장하고 있으나, 이력에 대한 백업을 수행하고 있지 않은 경우
2.10.3. 공개서버 보안 ▶
- 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우
- 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 가 다수 존재한 경우
- 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우
(CELA)사용하지 않는 불필요한 페이지를 운영하는 경우
(CELA)정상적인 인증 절차를 우회하여 페이지에 접근이 가능한 경우
(CELA)개인정보 송수신 시 SSL인증서에 취약한 암호 알고리즘을 사용하는 경우 : TLS v1.0, v1.1
(CELA)유효 기간이 종료 된 SSL 인증서를 사용하는 경우
2.10.4. 전자거래 및 핀테크 보안 ▶
- 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우
- 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우
- 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
2.10.5. 정보전송 보안 ▶