다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-2731 결재일자 2019.2.1. 공개여부 부분공개(2) 방침번호 시 민 주무관 정보보안팀장 정보통신보안담당관 스마트도시정책관 김재엽 김태승 김완집 02/01 김태균 협 조 통합보안관제팀장 강성모 개인정보보호팀장 도찬구 2019년도 서울시 정보보안업무 추진계획 2019. 1. 스마트도시정책관 (정보통신보안담당관) 목 차 Ⅰ. 추 진 근 거 1 Ⅱ. '19년도 추진목표 및 방향 1 Ⅲ. 정보보안 조직체계 1 Ⅳ. 2019년 사이버공격 전망 2 Ⅴ. 2019년 주요 업무계획 3 1. 스마트시티 사이버보안 대응체계 고도화 3 2. 정보보안 활동 및 대응역량 강화 5 3. 개인정보 보호체계 강화 7 4. 추진일정 8 Ⅵ. 행 정 사 항 9 2019년도 서울시 정보보안업무 추진계획 최근 지능화·다양화 되어가는 사이버 위협으로부터 우리시 정보자산의 안전한 보호를 위하여 ’19년도 서울시 정보보안 업무 추진계획을 수립·시행코자 함 Ⅰ 추 진 근 거 ？？ 전자정부법 제56조(정보통신망 등의 보안대책 수립·시행) ？？ 국가정보보안 기본지침 제6조 및 서울특별시정보통신보안 업무처리규칙 제7조(활동계획 수립 및 심사분석) Ⅱ '19년도 추진 목표 및 방향 ？？ 추진목표 : 신기술 보안위협 선제대응으로 사이버안전 도시 서울 실현 ？？ 중점 추진 방향 ○ 안전한 스마트시티 조성 위한 사이버보안 대응체계 고도화 ○ 보안사고 예방을 위한 정보보안 활동 내실화 및 대응역량 강화 ○ 시민 개인정보 안전성 확보를 위한 개인정보 보호체계 강화 Ⅲ 정보보안 조직체계 스마트도시정책관 CIO(Chief Information Officer, 최고정보책임자) CPO(Chief Privacy Officer, 최고개인정보책임자) 정보통신보안담당관 정보보안팀 개인정보보호팀 통합보안관제팀 데이터센터 (인터넷통신과) Ⅳ 2019년 사이버공격 전망 (출처 : 한국인터넷진흥원) ？ 다양한 경로를 통한 크립토재킹 확산(안랩) - 모바일 기기의 보편화로 인한 채굴 악성 앱 유포 - 취약한 IoT기기 대상으로 대량 감염 및 채굴 시도 ※ 크립토재킹(Cryptojacking):해커가 암호 화폐를 채굴하기 위해 피해자에게 가하는 사이버공격 형태 ？ 소셜 네트워크(SNS)를 이용한 악성코드 유포(이스트시큐리티) - 페이스북 등 유명 SNS 해킹을 통한 대규모 악성코드 유포 - SNS 메신저를 이용한 맞춤형 APT(지능형지속위협) 공격 ※ APT(Advanced Persistent Threat) : 지능적인 방법을 이용해 지속적으로 특정 대상을 공격 ？ 엔드 포인트 보안취약점을 겨냥한 공격(NSHC) - 스크립트 악성코드와 윈도우 시스템 관리 기능을 이용한 공격 심화 ？ 지능화된 스피어피싱과 APT 공격(하우리) - 인공지능 기술로 강화된 개인 맞춤형 스피어피싱 메시지 및 공격 ※ 스피어피싱 : 사회공학의 한 기법으로 특정 대상을 목표로 민감정보를 유출 하는 공격 방법 ？ 사물인터넷을 겨냥한 신종 사이버 위협(잉카인터넷) - IoT 봇넷 변종 및 다양한 봇넷 출현으로 IoT기기 좀비화 증가 - IoT 봇넷 이용한 블록체인 및 암호화폐 네트워크 공격(DDoS 등) ※ 봇넷(botnet) : 악성 소프트웨어인 봇에 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태 ？ 소프트웨어 공급망 관련 사이버 공격 증가(빛스캔) - 소프트웨어, 웹사이트 개발업체 대상 공격 및 정보유출 증가 ？ 악성 행위 탐지를 우회하는 공격 기법의 진화(KISA) - 도메인 생성 기법을 이용한 C&C 차단 회피 악성코드 증가 - 스피어피싱 등을 통해 시스템 관리자 정보 탈취, 정보유출 ※ C&C(Command&Control) : 악성코드에 감염된PC를 대상으로 원격지에서 명령을 내리는 서버 Ⅴ 2019년 주요 업무계획 1 스마트시티 사이버보안 대응체계 고도화 ？？ 안전한 스마트시티 융합 보안체계 구축 ○ IoT, 빅데이터, 클라우드 등 신기술도입에 따른 정보보호 강화 ※ 보안성 검토 절차 구분 계획단계 ？ 구축단계 ？ 운영단계 주관 부서 ？사업계획 수립시 보안 대책 포함 ？보안성 검토 의뢰 ？보안성 검토의견 반영 ？보안규정 준수 ？보안성검토결과 이행여부 확인 및 결과 제출 ？최종 보완 후 시스템 운영 정보통신 보안담당관 ？보안성 검토 실시 ？법적 준수사항 안내 ？주요 취약점 점검 (주관부서와 합동점검) ？법적 준수사항 검증 ？보안성검토결과 이행확인 ○ 주요 정보통신기반시설 사이버공격 대응훈련 및 관리감독 강화 ？？ 지능화·복잡화되는 사이버공격 선제 대응 위한 AI기반 보안관제 도입 ○ 사이버위협에 대한 선제적 대응체계 마련위한 선제적 해킹방어시스템 확충 ○ 서울시 여건에 적합한 인공지능 기반 보안관제 체계 ISP 수립 용역 사 업 개 요 구분 ‘18년 ？ ‘19년 ？ ‘20년~‘21년 주요내용 딥러닝용 학습데이터 축적 ISP 수립 AI기반 보안관제 시범사업 및 확대적용 소요예산 비예산 150백만원 2,000백만원 2 정보보안 활동 내실화 및 대응역량 강화 ？？ 정보보안 감사 활동 및 사이버공격대응 모의훈련 강화 ○ 국가정보원 정보보안 관리실태 점검대비 정보보호 활동 강화 ○ 전 기관(자치구, 투출기관 포함) 정보보안 감사 및 지도방문 활동 강화 ○ 실전 모의훈련을 통한 사이버공격 대응역량 강화(본청,사업소,자치구) ？？ 사이버보안 진단의 날 운영 및 정보시스템 취약점점검 강화 ○ 사이버보안 진단의 날을 통한 PC·정보시스템 보안관리 실태점검 및 조치 ○ 외부 전문가에 의한 정보시스템 취약점진단, 불시 모의해킹 등 수행 사 업 개 요 ○ 시 운영 홈페이지 연1회 취약점 정기점검, 신규 개발 및 개편 시 수시점검 ？？ 서울사이버안전센터 보안관제 전문성 확보 ○ 서울사이버안전센터 정보보호관리체계(ISMS) 운영으로 정보보호 관리수준 제고 ※ 정보보호관리체계(ISMS) 인증 : 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도 ○ 급속한 IT 신기술에 대응할 수 있는 통합보안관제 전담 직원 확보 추진 ○ 보안관제일지, 보고서 등 운영이력을 DB화해 지속적으로 노하우 축적 ○ 디지털포렌식센터 운영으로 침해사고 및 사이버공격에 대한 정밀분석 ？？ 서울시 직원의 정보보안 의식제고를 위한 정보보안 교육 시행 ○ 전 직원 대상 정보보안 교육 확대 ○ 시 본청 및 산하기관 정보보안 담당자 대상 전문교육 실시 ○ 개인정보 보호 및 유출방지를 위한 교육시행 ○ 최신 보안기술 동향 습득을 위한 사이버보안 워크숍 개최 3 개인정보 보호체계 및 안전성 조치 강화 ？？ 안전한 개인정보 보호를 위한 방안 마련 ○ 체계적 정책 추진과 시민 권익보장을 위한 개인정보보호 기본계획 수립 사업계획 수립 및 발주 ？ 기본 계획(안) 수립 ？ 검토/자문 ？ 기본계획 확정 및 시행 ？ 시행계획 수립 및 시행 ？ 자체계획 수립 및 시행 정보통신 보안담당관 컨설팅업체 개인정보 심의위원회 서울시 서울시 市 전기관 (`19.1~2) (`19.3~6) (`19.7) (`19.8) (`19.9) (`19.10~) ○ 시 개인정보보호 대내외 신뢰도 향상을 위한 개인정보보호 관리체계 인증 ○ 개인정보자산 취약점분석 및 위험요소 제거 위한 개인정보보호 관리수준 진단평가 ？？ 개인정보 유·노출 예방 강화로 유출사고 방지 ○ 개인정보보호 관리실태 이행점검으로 개인정보 생명주기 단계별 준수사항 점검 ○ 개인정보보호인식제고 및 안전성 확보조치 위한 개인정보보호의 날 운영 매월 첫째주 수요일 (12시 강제검사) ？ 개인정보 탐지시 사용자 암호화 저장 (암호화 안내) ？ 미이행시 팝업창 자동표출 (암호화 권고) ？ 암호화 미이행시 강제 삭제 또는 암호화 (강제조치) 개인정보보호담당자 개인정보취급자 개인정보보호담당자 개인정보보호담당자 ○ 홈페이지 개인정보 노출 상시 모니터링으로 개인부주의에 의한 유출사고 방지 ？？ 개인정보보호 심의위원회 운영 및 개인정보 배상 책임보험 가입 ○ 시민의 개인정보보호 위한 시책마련 및 제도개선 위한 심의위원회 구성·운영 ○ 재정적 손해담보 및 법률상 손해배상 책임 보장위한 개인정보 배상 손해보험 가입 개인정보 배상 손해보험 개요 4 세부 추진 일정 Ⅵ 행 정 사 항 ？？ 전기관(부서) 준수사항 ○ 정보보호 관련법률 제·개정에 따른 제반 준수사항 이행 철저 ○ 전 기관(부서) 사이버보안 사고 발생 시 신속한 보고체계 유지 ○ 개인정보 취급부서는 개인정보보호책임자(부서장) 지정 운영 ○ 정보통신망 신·증설 및 정보시스템 구축시 정보통신보안담당관과 사전 협의 후 추진 ○ 정보시스템, 네트워크 장비, 정보보호시스템 등 보안대책 이행 철저 ○ 사이버보안진단의 날 이행철저 및 진단결과 정보통신보안담당관 제출 ○ 정보화용역사업 수행이 계약부터 종료 전 단계 보안대책 이행 철저

17115045

20210929170248

본청

정보통신보안담당관-2731

D0000035511865