다시 뛰는 공정도시 서울!

문서번호 안전지원과-3350 결재일자 2019.2.15. 공개여부 부분공개(2) 방침번호 시 민 전문위원 전산기획팀장 안전지원과장 김상수 정광훈 02/15 박근종 협 조 담당자 정규창 담당자 남창수 2019년 정보보안 추진계획 2019. 2. 안전지원과 목 차 1. 운영 개요 1 2. ‘18년 성과 평가 2 3. 정보보안 및 법률 개정 현황 4 4. 정보보안 업무 추진 계획 7 5. 세부 추진 계획 10 6. 개인정보보호 활동 강화 16 7. 행정 사항 22 2019년 정보보안 추진 계획 정보시스템 보호 및 보안관리 활동을 강화하여 정보유출을 방지하고, 사이버 침해를 예방함으로써 안전한 정보보호 기반을 조성하고자 함 1 운영 개요 □ 관련 근거 ○ 전자정부법 제56조(정보통신망 등의 보안대책 수립？시행) ○ 개인정보보호법 제3조, 29조 ○ 국가정보보안기본지침 제6조, 제17조 ○ 서울시 정보통신 보안업무처리규칙 ○ 2008년 10월부터 범정부 차원에서 매월 세 번째 수요일을 ？사이버보안진단 날？로 지정, 각 기관이 자체적으로 정보보안 관리 실태를 종합 점검함 ○ 2018년 5월부터 서울시 전기관의 개인정보보호에 대한 인식 제고 및 안전성 확보를 위하여, 매월 첫 번째 수요일을 ？개인정보 보호의 날？로 지정·운영함 □ 추진 배경 ○ 최근 홈페이지를 통한 개인정보 노출이 언론 등을 통해 사회적 이슈화 ○ 하드 드라이브에 흔적을 남기지 않는 채 컴퓨터 메모리에 숨어 있는 파일리스 멀웨어 공격의 심화로 이슈화 ○ 렌섬웨어의 변조의 유포로 인한 주요 이슈화 2 ‘18년 성과 평가 □ 보안 정책 및 기본계획 수립ㆍ시행 ○ 「2018년 정보보안 추진계획」수립(1월) ○ 개인정보정보보호의 날 운영을 통한 개인정보보호 강화(5월) ○ 정보자산에 대한 백업 및 복구 절차 수립, 모의 훈련(6월) ○ PC보안관리지침(안) 수립(12월) □ 사이버보안진단 10대 사항 점검 □ 사이버 공격 초동조치 및 대응 수행 ○ 사이버위기 경보 3등급 “경계” 대응 활동 수행 ○ 초동조치 : 통합보안관제센터 신고, 랜케이블 분리, 현장보전 ○ 증거 자료 제출 및 중간보고 ○ 침해사고 조사분석 결과보고서 제출(공문) □ 정보시스템 보안 주요 활동 내용 ○ 네트워크 접근제어, 내PC지키미, 보안USB 운영 ○ 부서별 개인 PC 사용자와 IP 현행화 ○ DB 접근제어/암호화 라이선스 구매 (12월) □ 개인정보의 안정성 확보를 위한 PC스캔 자동검사 및 조치 ○ 서울시 개인정보 보호의 날 운영 지침 ○ 소방서 및 산하기관의 직원은 매월 첫째 주 수요일 오후 12시 강제검사 ○ 담당직원은 개인정보가 검출된 파일은 5일 이내 처리 의무화 3 정보보안 및 법률 개정현황 □ 한국인터넷진흥원 2019년 정보보호 7대 이슈 ○ 다양한 경로를 통한 크립토재킹 크립토재킹 : PC를 암호화폐 채굴에 이용하는 신종 사이버 범죄로, 암호화폐(cryptocurrency)와 납치(hijacking)를 합성한 단어다. 해커들은 주로 웹사이트를 공격해 채굴 프로그램 코드를 심어 놓고 여기에 접속한 사람들의 PC를 암호화폐 채굴에 동원하는 방식을 사용한다. 확산 ○ 소셜 네트워크를 이용한 악성코드 유포 - SNS 메신저를 이용한 맞춤형 APT APT(Advanced Persistent Threat) : 조직을 정한 뒤 장기간에 걸쳐 다양한 수단을 동원한 지능적 해킹방식으로, 해커는 감염된 PC와 연결된 다른 PC를 차례로 감염시켜 전체 컴퓨터를 해킹한다. 등 ○ 엔드포인트 보안취약점을 겨냥한 공격 - 액셀 매크로와 같은 일반 SW의 정상기능을 통해 감염 등 ○ 지능화된 스피어피싱 스피어 피싱 : 수신자와 참조자를 여러 명 포함하여, 수신자의 개인정보를 요청하거나 정상적인 문서 파일로 위장한 악성코드를 실행하도록 한다. 과 APT 공격 - 가짜 뉴스 등 자극적 이슈 소재를 이용한 악성코드 유포 증가 ○ 사물인터넷 사물인터넷 : 사물에 센서를 부착해 실시간으로 데이터를 인터넷으로 주고받는 기술이나 환경을 말한다. 을 겨냥한 신종 사이버 위협 - 좀비화된 IoT 기기를 통한 개인정보 탈취 및 악성코드 유포 등 ○ 소프트웨어 공급망 관련 사이버 공격 증가 - 소프트웨어 취약점을 악용한 해킹 및 정보 유출 증가 등 ○ 악성 행위 탐지를 우회하는 공격 기법의 진화 - 패치관리 등 중앙관리 SW의 취약점을 악용한 공격 지속 등 □ 시만텍 2019년 사이버 보안 전망 7대 이슈 시만텍에 따르면, 올해 주요 기업 시스템과 웹사이트에 대한 사이버 해킹이 지속됐고, 광범위한 표적과 피해자를 겨냥한 위협활동이 늘었다. 특히 마케팅 및 데이터 수집 기업 이그잭티스(Exactis)에서 약 3억 4,000만 건의 개인정보가 저장된 DB 유출되는 사례 등 많은 기업들이 보안 침해 피해를 입었으며, 해커들이 SNS를 통해 약 3천만 명의 사용자 정보를 탈취한 것으로 추정되는 사례도 있었다. 이런 공격들은 내년에도 심화될 것으로 예측된다. ○ 인공지능(AI) 기반의 사이버 범죄 증가 ○ 인공지능과 머신러닝을 이용한 보호 프로그램 등장 ○ 5G 통신망에 따른 사이버 범죄 증가 ○ IoT 기기를 통한 DDoS 공격 DDoS 공격 : 특정 인터넷 사이트가 소화할 수 없는 규모의 접속 통신량(트래픽)을 한꺼번에 일으켜 서비스 체계를 마비시킨다. 불특정 다수의 컴퓨터에 악성 컴퓨팅 코드인 ‘좀비(Zombie)’를 퍼뜨린 뒤 DDoS(Denial of Service) 공격에 이용하는 게 특징이다. 증가 및 진화 ○ 가정용 IoT 기기을 네트워크 침투를 위한 거점으로 악용 ○ SW 공급망 관련 공격 증가 ○ 증가하는 보안 우려로 법률 및 규제 활동 증가 □ 개인정보보호 관련 개정 현황 ○ 수집동의 획득시, 개인정보처리자는 시행규칙에 따라 동의서 내용을 정보주체가 알아보기 쉽게 표기<2017.10.19. 시행> 법 시행령 제 22조 (동의를 받는 방법) ~ ② 법 제22조제2항에서 “대통령령으로 정하는 중요한 내용”이란 다음 각 호의 사항을 말한다. 1. 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실 2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항 가. 제18조에 따른 민감정보 나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호 3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다) 4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적 법 시행령 제4조(서면 동의 시 중요한 내용의 표시 방법) 법 제22조제2항에서 “행정안전부령으로 정하는 방법”이란 다음 각 호의 방법을 말한다. 1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것[본조신설 2017.10.19] ○ 개인정보가 유출될 경우 행정안전부, 전문기관(KISA)에 신고(1천명 이상 유출시) 법 시행령 제 40조(개인정보 유출 통지의 방법 및 절차) ~ ③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다. 4 정보보안 업무 추진 계획 □ 추진 방향 ○ 정보보안 정책 및 기본계획 수립·시행 (시 정보통신보안담당관) ○ 실시간 관제에 따른 사이버 위협 및 공격에 대응 (시 통합보안관제센터) ○ 본부 및 각 산하기관의 추진 계획 수립 ○ 정보시스템의 취약점 진단 및 정보보호시스템 안정적 운영 추진 ○ 정보보안 점검 및 모의훈련 시행 ○ 개인정보보호 활동 강화 □ 정보보안 추진체계 □ 중점 추진 방안 지속 지속 지속 지속 지속 지속 확대 지속 지속 확대 지속 5 세부 추진 계획 정보보안 업무 추진시 준수수칙을 참조하여 중점 관리를 할 수 있도록 하여 PC 등 보안사고 미연에 방지하고자 함 구 분 시 기 비 고 전 직 원 본청 보안 교육시 (1회 참여) 분기별 교육 시행 연 2회 자체교육 (1회 참여) 자체 교육 실시 보안담당자 수시 (16시간 이상) 정보보안 관련 전문기관의 교육, 기술 세미나 참석 6 개인정보보호 활동 강화 구 분 시 기 비 고 전 직 원 본청 보안교육 시 개인정보보호법 이해하기 개인정보 침해 사례 취 급 자 본청 보안교육 시 개인정보 처리단계별 준수사항 주민등록번호 취급, 동의서 등의 관련 제도 내용 담 당 자 수시 행자부 등 전문기관 주관 개인정보보 보호 교육 및 세미나 참석 위수탁사업자 계약 시 위수탁 사업자 대상 개인정보보호 교육 6 행정사항 붙임 : 1. 정보 보안 추진 현황 2. 월별 중점 점검사항 1부. 3. 보안지도 체크리스트 1부. 4. ？사이버보안진단의 날？ 체크리스트 1부. 5. 네트워크접근관리시스템 차단 예외 신청서 1부. 6. PC 보안업무 준수 수칙 1부. 7. 정보시스템 보안업무 준수 수칙 1부. 8. 서울특별시 정보통신 보안업무 처리 규칙 1부. 9. 서울특별시 정보통신 보안업부 처리 지침 1부. 10. 서울특별시 개인정보운영의 날 지침 1부. 11. 서울특별시 개인정보보호 내부 관리계획 1부. 12. 개인정보보호 지침 1부. 13. 2019년도 서울시 정보보안업무 추진계획 1부. 13. 각 서 정보보안 추진계획(예시) 1부. 끝. 붙임1 정보 보안 추진 현황 붙임2 월별 중점 점검사항 구 분 중점 점검사항 공통사항 <매월점검> o PC？노트북 보안취약점 점검 및 제거 o PC·노트북 관리대장 작성 및 현행화(팀명, 사용자 이름, 직급/직위, 운영체제, IP주소 등 포함) o 정보시스템 관리대장 작성 및 현행화 o 전산장비(휴대용저장매체) 반출입대장 관리 o 업무PC 인터넷 차단여부 확인(망분리 시행부서) o 인터넷 PC내 업무자료 저장여부 점검(망분리 시행부서) o 정보시스템 관리용PC, 반출입노트북 내 업무자료 저장여부 점검 o 정보화사업 입찰？계약？수행？종료 등 단계별 용역업체 보안관리 - 외주인력 대표, 참여인력 보안서약서 징구 - 보안교육 실시 - 비인가 PC 및 휴대용저장매체 반입금지 - 업무자료 보안관리(캐비닛잠금, 중요파일 암호화) - 업무인수인계 대장관리(업무자료 삭제시 자료완전삭제 사용) - 사업종료시 보안확약서 징구 등 1월 (1.16) o 방화벽·침입방지시스템 등 보안장비 보안정책 재정비 o 홈페이지내 행정정보 게시관련 보안관리 강화 - 개인정보, 중요 정책정보는 비공개 - 비밀 등을 홈페이지에 게재한 경우 국정원 통보 및 경위조사 실시 2월 (2.20) o 정보시스템 보안관리 실태 점검 - 중요정보 암호화 - 사용자계정 현행화(미사용·불필요 계정 삭제 또는 접속권한 중지) - 정보시스템 접근권한 적절성 여부 점검 - 비인가자 접속시도, 허가되지 않는 작업 여부 등 접근기록 점검 - 내부설정 백업 여부 및 백업시스템 정상작동 여부점검 - 관리용PC 지정 o 사이버침해 및 장애대비 비상연락체계 재정비 - 대외기관, 부서 정보보안담당자 등 유관 연락처 - 기술지원, 전문업체 등 기술인력 연락처 3월 (3.20) o 기관(부서) 내 공유폴더 사용실태 점검 - 비밀번호 설정 등 접근 통제 여부, 불필요 공유폴더 삭제 등 o 자주 사용하지 않는 PC, 노트북 정비 - OS, 일반SW 등 최신 업데이트 실시 (업무망 PC？노트북은 내PC지키미를 실행하여 점검) - 업무망 노트북 무선어댑터 ‘사용안함’ 설정여부 점검 (업무망에서 사용하는 노트북은 반입？반출시 포맷 실시) 4월 (4.17) o 기관(부서)내 비인가 무선인터넷 시스템(공유기, AP) 사용여부 점검 o 인가 무선인터넷 시스템(AP) 점검 - 암호화 적용 여부, 관리자 비밀번호 설정 여부(기본 비밀번호 사용 등) - 비인가 사용자 접근통제 대책 5월 (5.15) o 업무시스템 및 홈페이지 등 정보시스템 불필요 서비스포트 점검 o 정보시스템의 Telnet 등 원격서비스 차단점검 - SSH 기본 포트 변경 및 접근제어시스템 사용 o 해외출장자에 대한 보안조치 실태 점검 - 반출 노트북 등에 대한 보안성 검토 - 중요 협상자 출장시 안전한 통신수단 확보 - 서약서 징구, 보안교육 확행 등 o 직원의 재택？파견？이동근무 등 원격 근무시 보안관리 점검 6월 (6.19) o 불용PC, 복합기 등 디지털 저장매체 불용처리 적정성 점검 - 저장매체 임의 반출 금지, 저장자료 완전 삭제 등 관련절차 이행 여부 ο 기관(부서)내 상주 유지보수업체 보안점검 - 메신저, P2P, 웹하드 등 비인가 서비스 사용여부 점검 - PC내 중요자료 관리상태 7월 (7.17) o 보안USB관리시스템 점검 - 비밀용, 대외비용, 일반용 USB 등 구분사용 여부 점검 - 매체제어시스템 정상작동 여부 점검 o 사이버침해 및 장애대비 비상연락체계 재정비 - 대외기관, 부서 정보보안담당자 등 유관 연락처 - 기술지원, 전문업체 등 기술인력 연락처 8월 (8.21) o 정보시스템 보안관리 실태 점검 - 중요정보 암호화 - 사용자계정 현행화(미사용·불필요 계정 삭제 또는 접속권한 중지) - 정보시스템 접근권한 적절성 여부 점검 - 비인가 사용자 접속시도, 허가되지 않는 작업 여부 등 접근기록 점검 - 내부설정 백업 여부 및 백업시스템 정상작동 여부점검 - 관리용PC 지정 o 을지연습 관련 보안관리 - 홈페이지 내 을지연습자료, 개인정보 등 민감자료 게시여부 점검 - 을지연습 대비 암호장비？논리, 보안자재 점검 - 을지연습 관련 비밀작성용 PC에 인터넷 연결 금지 9월 (9.18) o 기관(부서)내 비인가 무선인터넷 시스템(공유기, AP) 사용여부 점검 o 인가 무선인터넷 시스템(AP) 점검 - 암호화 적용 여부, 관리자 비밀번호 설정 여부(기본 비밀번호 사용 등) - 비인가 사용자 접근통제 대책 10월 (10.16) o 라우터, 스위치 등 네트워크 장비보안 재정비 - 관리자 비밀번호 설정여부(기본 비밀번호 사용 등) - 불필요 접근포트 차단 - 관리자페이지 접근제어 설정 등 11월 (11.20) o 공유폴더 사용실태 점검 - 비밀번호 설정 등 접근통제 여부, 불필요 공유폴더 삭제 등 o 비밀 외주발간 시 보안대책 점검 - 발간업체 PC 등에 작업내용 저장 여부 중점 확인 - 비밀발간 의뢰시 출력물 또는 인가 받은 비밀용USB만 사용 여부 12월 (12.18) o 장기 미사용 등 불필요 VPN 계정 재정비 o 불용 PC, 복합기 등 디지털 저장매체 불용처리 적정성 점검 - 저장매체 임의 반출 금지, 저장자료 완전 삭제 등 관련절차 이행 붙임3 보안지도 체크리스트 기관(부서)명 : 작성일 : 2019. . . 구분 번호 점 검 항 목 결과 (○/×) 점검 주체 PC 보안 진단 실시 1 ？사이버보안진단의 날？ 자체 행사계획을 수립하였는가? 기관 2 ？사이버보안진단의 날？ 행사 관련 3일前 기관 업무망에 공지하였는가? “ 3 PC진단프로그램을「사이버？보안진단의 날」에 실행하였는가? 개인 진단 결과 보완 4 PC진단프로그램 실행후 파악된 취약점을 보완 조치하였는가? “ 1) 바이러스 백신 설치 및 실행 여부 “ 2) 바이러스 백신의 최신 보안패치 여부 점검 “ 3) 운영체제, MS Office의 최신 보안패치 설치 여부 “ 4) 한글프로그램의 최신 보안패치 설치 여부 점검 “ 5) 로그인 패스워드 안전성 여부 “ 6) 로그인 패스워드의 분기 1회 이상 변경 여부 “ 7) 화면보호기 설정 여부 “ 8) 사용자 공유 폴더 설정 여부 “ 9) USB 자동 실행 허용여부 점검 “ 10) 미사용(3개월) ActiveX 프로그램 존재 여부 점검 “ 중점 점검 5 ？사이버보안진단의 날？ 월별 중점점검사항을 점검하였는가? 기관 붙임4 ？사이버보안진단의 날？ 체크리스트 ？ 기관(부서)명 : 구분 번호 공통 점검항목 이행여부 공통 점검 사항 1 PC？노트북 보안취약점 점검 및 제거 2 PC·노트북 관리대장 작성 및 현행화(보유중인 모든장비 포함) 3 정보시스템 관리대장 작성 및 현행화 4 전산장비(휴대용저장매체) 반출입대장 관리 5 업무PC 인터넷 차단여부 확인(망분리 시행부서) 6 인터넷 PC내 업무자료 저장여부 점검(망분리 시행부서) 7 정보시스템 관리용PC, 반출입노트북 내 업무자료 저장여부 점검 8 o 정보화사업 보안관리 - 보안서약서 징구 - 보안교육 실시 - 비인가 PC, 휴대용저장매체 반입금지 - 자료제공시 자료인수인계 대장관리 - 제공자료 보안관리(캐비닛잠금, 중요파일 암호화) - 사업종료시 제공자료 회수 및 삭제 - 사업종료시 보안확약서 징구 구분 번호 2월 중점 점검항목 [매월 중점 점검사항] 월별 중점 점검 사항 9 o 정보시스템 보안관리 실태 점검 - 중요정보 암호화 - 사용자계정 현행화(미사용·불필요 계정 삭제 또는 접속권한 중지) - 정보시스템 접근권한 적절성 여부 점검 - 비인가자 접속시도, 허가되지 않는 작업 여부 등 접근기록 점검 - 내부설정 백업 여부 및 백업시스템 정상작동 여부점검 - 관리용PC 지정 10 o 홈페이지내 행정정보 게시관련 보안관리 강화 - 개인정보, 중요 정책정보는 비공개 - 비밀 등을 홈페이지에 게재한 경우 국정원 통보 및 경위조사 실시 2019. . . 작 성 자 부 서 명 직급 성명 (인) 부 서 장 부 서 명 직급 성명 (인) 붙임5 네트워크접근관리(NAC)시스템 차단 예외 신청서 소속기관 부 서 명 안전지원과(전산기획팀) 성 명 직위 및 직급 전자우편 (E-mail) 전화번호 사무실 : 휴대폰 : 이용자 IP 이용자(인증)ID 운영체제(OS) WINDOW XP/ 7 / 10 신청내용 네트워크접근관리(NAC)시스템 차단 예외 용 도 통제구역 출입관리 (서버용/업무용) 차단예외 신청사유 상세한 사유 명시하여 주시기 바랍니다 신청기간 ※ 네트워크접근관리(NAC)시스템은 비인가 PC에 대한 업무망 접근을 차단하기 위하여 업무망을 사용하는 모든 PC에 에이전트를 설치하여 관리감독 합니다. ① 인사이동 등으로 인해 개별정책 이용사유 소멸 시에는 즉시 관리책임자에게 통보 하여 정책변경 요청 ② 요청 사유 및 필요성이 미비하다고 판단될 경우, 예외정책 허용 불가 ③ 개별정책이 부여된 PC를 통해 바이러스 감염 및 자료 유출이 발생된 경우, 이에 대한 제반 책임은 ID 소유자에게 있음을 인정하고 관련규정에 따라 처벌을 감수함 본인은 위의 사항에 대하여 동의하고, 네트워크접근관리(NAC)시스템 차단 예외를 신청합니다. 2019년 월 일 신청인 : 직 성명 ( 서명 또는 ？？ ) 붙임6 PC 보안업무 준수 수칙 □ 추진 방향 ○ 개인이 보안을 어길 경우 그 피해가 소방재난본부 및 산하기관 전역으로 확대되는 점을 감안, 부서별 보안관리를 부서장 책임하에 중점 관리 ○ 전문적인 보안업무는 보안책임자 및 정보보안담당자가 시행·관리 ○ 보안 책임자 및 담당자는 년 15시간 이상 교육 수료 ○ PC 사용자를 위한 보안 교육 계획 및 이행(년 2회) □ 개인용 PC 보안관리 ○ 단말기 취급자 관리대장에 기록 관리 철저(별지 1호 서식) ○ 부팅 및 사용자 계정에 비밀번호(대소문자, 숫자, 특수문자를 반드시 포함하여 최소 9자 이상으로 설정)를 부여하여 사용 ○ 컴퓨터의 화면보호 모드를 설정한 후 비밀번호를 부여하여 사용 ○ 윈도우 폴더를 공유할 경우 비밀번호를 부여하여 사용하고, 사용 후에 반드시 공유 해제 ○ 컴퓨터에 부여된 네트워크 IP 주소는 사용자 임의로 절대 변경 금지 ○ 자리 이석시 화면보호기 강제 적용(윈도우로고키 + L) ○ 업무 및 기밀문서, 각종 이미지 등 중요 자료를 별도 저장장치에 주기적으로 백업 ○ 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일 실행을 자제 ○ 운영체제, 브라우저 및 주요 어플리케이션의 최신 업데이트 실시 ○ 필요시 중요 문서에 대해서 파일 속성을 읽기 전용으로 설정 □ PC 바이러스 감염 방지 ○ 바이러스 백신 프로그램(V3)을 반드시 설치하고, 최신 버전으로 지속적으로 업데이트함 ○ 망(외부 인터넷)을 통한 전송 자료는 항상 바이러스 검사후 사용 ○ 바이러스 감염시 즉시 컴퓨터를 네트워크에서 분리 후 치료 조치 □ 보조기억매체(USB 메모리) 보안관리 ○ 보조기억매체 관리 대장 등재 및 관리책임자 지정 관리 ○ 보조기억매체 사용현황 점검 붙임7 정보시스템 보안업무 준수 수칙 □ 정보보호시스템 ○ 관리자 이외 접근통제 설정 - 정보보호시스템의 관리자 접속은 콘솔에서 함을 원칙으로 하고, 콘솔에 물리적으로 접근할 수 있는 사람은 보안시스템 관리자로 제한 - 내부망을 통한 정보보호시스템 관리 시 접속 가능한 IP는 보안시스템 관리자 단말기로 제한, 별도의 접속 Port 지정하여 사용. - 정보보호시스템 IP 주소, 라우팅 테이블, DNS Name, NAT등의 정보가 유출되지 않도록 유의 ○ 침입차단시스템 보안정책 활용 - 외부로부터의 접속은 반드시 필요한 서비스를 위한 접속만을 허용 - 내부자료 유출 등 보안이 취약한 서비스는 사용을 금지 - 보안정책의 적용 ？ 외부로부터 인바운드 되는 NetBIOS 패킷 차단 ？ 네트워크에서 발생하는 브로드캐스팅 패킷을 차단 ？ 외부로부터 인바운드 되는 패킷은 외부에 서비스하는 패킷(HTTP, SMTP 등) 외엔 모두 차단 (필요시 별도 Port지정 사용) ※ 외부에서 인바운드 되는 패킷 중 보안상 차단하여야 할 패킷 (SNMP, telnet, ftp, echo, daytime, chargen, finger, sunrpc, rlogin, rsh) ○ 보안시스템 관리자는 주기적으로 침입차단시스템 보안정책을 점검하여 현재 사용하고 있지 않거나, 사용기간이 경과된 보안정책(Rule Set)을 삭제하고, 그 내용을 기록 유지 ○ 로그 및 백업 관리 - 보안시스템관리자는 모든 보안적 예외사항 및 보안시스템 구성정보의 변경사항을 기록하고 지속적으로 관리 - 모니터링 중 혹은 로그기록의 분석 중에 중요하거나 심각한 사건을 발견한 경우 정보보안담당관에게 보고 - 보안시스템의 로그는 6개월 이상 보관하여야 하고, 로그의 복사본은 백업의 목적으로 별도의 장소에 보관 - 백업파일은 물리적으로 안전한 곳에 보관하고, 저장매체는 다른 사람이 내용을 수정할 수 없도록 접근통제 실시 □ 서버 보안관리 ○ 서버의 도입 및 설치 시 보안관리 - 신규 서버 도입시 자체보안대책수립 및 설치전 취약성 점검 및 조치 - 업무 목적 외 불필요한 프로그램 설치 금지 - 원격관리가 필요할 경우 별도의 보안대책 수립 ○ 서버 운영시 보안관리 - 주기적 보안패치 설치 및 운영체제별 보안설정 적용 - 중요도에 따른 서버그룹 분리 및 접근통제 시행 □ 데이터베이스 보안관리 ○ 데이터베이스 보안설정 - 데이터베이스 설치 시 취약점 제거 및 패치 수행 - 불필요한 디폴트 계정 삭제 및 비밀번호 변경 ○ 데이터베이스 운영시 보안관리 - 데이터베이스 자료 변경 시 작업 내역 철저 기록관리 - 데이터베이스 보안툴 도입 검토(패스워드 필드 암호화 등 처리) □ 네트워크 보안관리 ○ 네트워크 보안관리 - 응용시스템별, 서비스별 네트워크 분리 및 접근통제 설정 - 외부에서 유입되는 트래픽(침입)에 대한 접근통제 강화 - 외부인 IP배정 및 LAN사용 허가시 보안사항 준수 여부 확인 - 보안조치 없이 상용 전자우편을 이용한 중요자료 전송 금지 - 출처가 불분명한 전자우편 열람 금지 및 삭제 조치 - 용역업체(개발·유지보수 등)의 원격작업을 금지, 예외적인 경우 승인절차에 따라 보안대책 마련 후 한시적 허용 ○ 정보보호시스템 운영 - 침입차단시스템 보안정책에 대한 등록, 변경, 삭제 절차 수립？시행 - 보안정책에 대한 정기적 재검토를 통해 불필요 서비스 삭제 등 조치 □ 물리적 시설 보안관리 ○ 통제구역에 대한 비인가자의 출입 통제 등 보안절차를 준수 - 출입자 관리대장 등을 통한 출입관리 ○ 통제구역 출입 통제 장치 설치 ○ UPS, 발전기, 비상전원 장비, 재해방지 설비의 주기적 점검 □ 응용시스템 보안 ○ 응용시스템 계정/권한 관리 및 접근통제 - 주기적인 계정/권한 재확인을 통한 전출？퇴직자의 계정삭제 등 사용자 계정 및 권한 관리 철저 - 계정 생성, 변경, 삭제절차 수립？시행 및 보안규정에 따른 관리자/사용자의 비밀번호 설정 - 중요 시스템에 대한 관리자 접속 IP제한, 포트 설정 - 정보시스템 로그인 허용 전 불법접근 금지？처벌 등 보안권고문 공지 ○ 응용시스템 취약점 점검 - 정보시스템 유지보수 업체를 통해 연 1회 이상 전체 시스템에 대한 취약점 점검 및 신규 시스템 도입 시 수시 점검 실시 - 취약점 점검 결과 중？장기 보완 계획 수립？시행 - 단기 미조치 사항에 대한 기록 관리 및 미조치 취약점 상시 모니터링 ○ 응용시스템 무결성 점검 및 로그 분석 - 중요 시스템에 대한 관리자 및 사용자의 감사로그 생성 - 중요 정보에 대한 접근기록 모니터링, 로그에 대한 정기적 분석 - 정보시스템 유지보수 업체를 통해 연 2회 이상 전체 시스템 점검 별지 제1호 서식 PC, 노트북 관리대장 연번 부서명 사용자 이름 직위 운영체제 망구분 IP주소 구분 비고 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 ○ 관리번호에는 PC 관리번호 기재 ○ 확인란에는 관리책임자 승인 서명 참조 정보보호부문 자산 분류표 대분류 중분류 소분류 설명 정보보안 제품 네트워크 보안 웹 방화벽 다양한 형태의 웹 기반 해킹 및 유해트래픽을 실시간 감시하여 탐지하고 차단하는 웹 애플리케이션 보안 시스템 네트워크(시스템) 방화벽 외부의 불법침입으로부터 내부의 정보자산을 보호하고 유해정보의 유입을 차단하기 위한 정책과 이를 지원하는 보안시스템 침입방지시스템(IPS) 네트워크에서 공격 서명을 찾아내 자동으로 모종의 조치를 취하여 비정상적인 트래픽을 중단시키는 보안 솔루션 DDoS차단시스템 대량의 트래픽을 전송해 시스템을 마비시키는 DDoS공격 전용차단시스템. 대량으로 유입되는 트래픽을 신속하게 분석하여 유해트래픽을 걸러줌 통합보안시스템(UTM) 다중 위협에 대해 보호기능을 제공할 수 있는 포괄적인 보안 제품 가상사설망(VPN) 인터넷망 또는 공중망을 사용하여 둘 이상의 네트워크를 안전하게 연결하기 위하여 가상의 터널을 만들어 암호화된 데이터를 전송할 수 있도록 만든 네트워크 네트워크접근제어(NAC) 네트워크에 접근하는 접속단말의 보안성을 강제화할 수 있는 보안 인프라. 허가되지 않거나 악성코드에 감염된 PC 등이 네트워크에 접속되는 것을 차단해 시스템 전체를 보호하는 솔루션 무선네크워크보안 무선을 이용하는 통신네트워크 상에서 인증, 키 교환 및 데이터 암호화 등을 통해 위협으로부터 보호하기 위한 기술 가상화(망분리) 조직에서 사용하는 망(네트워크)을 업무 및 내부용 망(인트라넷)과 외부망(인터넷)으로 구분하고 각 망을 격리 시스템(단말)보안 시스템접근통제 (PC방화벽 포함) 자료가 외부로 유출되는 것을 방지하기 위해 온라인을 통한 파일 유출방지, 감시 기능, SMTPMail, WebMail 등을 통한 파일 유출 방지, 감시기능, 프린터인쇄 모니터링 기능 등 자료 유출을 보안하는 다양한 기능을 함 Anti 멀웨어 컴퓨터의 운영을 방해하거나, 정보를 유출 또는 불법적으로 접근권한을 취득하는 소프트웨어인 멀웨어를 방지함 스팸차단 S/W 스팸을 방지하기 위해 스팸 차단 또는 필터링 기능을 제공하는 소프트웨어 보안운영체제(Secure OS) 컴퓨터 운영 체제의 보안상 결함으로 인하여 발생 가능한 각종 해킹으로부터 시스템을 보호하기 위해 기존의 운영체제 내에 보안 기능이 추가된 운영체제 APT대응 APT공격에 대응하기 위한 프로그램 소프트웨어 모바일 보안 모바일 서비스 상에 발생할 수 있는 위협으로부터 보호하기 위한 기술 콘텐츠(데이터)/정보유출방지보안 DB보안(접근통제) 데이터베이스 및 데이터베이스 내에 저장된 데이터를 인가되지 않은 변경, 파괴, 노출 및 비일관성을 발생시키는 사건으로부터 보호하는 기술 DB 암호 데이터의 실제 내용을 허가받지 않은 사람이 볼 수 없도록 은폐하기 위해 데이터를 암호화함 보안 USB 사용자식별, 지정데이터 암복호화, 지정된 자료의 임의복제 방지, 분실시 데이터 보호를 위한 삭제 등의 기능을 지원하는 보안 컨트롤러가 있는 휴대용 메모리 스틱 디지털저작권관리(DRM) 웹을 통해 유통되는 각종 디지털 콘텐츠의 안전 분배와 불법 복제 방지 네트워크 DLP 사용자의 고의 또는 실수, 외부해킹, 멀웨어 등을 네트워크를 이용한 정보유출을 컨텐츠 수준에서 막는 기술 단말 DLP 사용자의 고의 또는 실수, 외부해킹, 멀웨어 등을 네트워크를 이용한 정보유출을 단말 수준에서 막는 기술 암호/인증 보안 스마트카드 일반카드와는 달리 반도체 칩을 내장한 스마트카드로 방대한 양의 데이터를 저장할 수 있으며, 보안성이 뛰어남 H/W토큰(HSM) 전자 서명 생성키 등 비밀정보를 안전하게 저장 및 보관할 수 있고 기기 내부에 프로세스 및 암호 연산장치가 있어 전자 서명키 생성, 전자 서명 생성 및 검증 등이 가능한 장치 일회용비밀번호(OTP) 로그인할 때마다 새로운 패스워드를 생성하는 보안 시스템 공개키기반구조(PKI) 실체의 식별자와 공개키를 포함하는 정보로서 공개키 정보는 한 실체에 대한 데이터와 이 실체를 위한 공개키로 제한되며 인증기관, 실체, 공개키 또는 관련 알고리즘에 관한 다른 정적인 정보 통합접근관리(EAM)/싱글사인온(SSO) 통합접근관리: 인트라넷, 엑스트라넷 및 일반클라이언트/서버환경에서 자원의 접근인증과 이를 기반으로 자원에 대한접근권한을 부여 관리하는 통합인증관리솔루션 싱글사인온: 이기종의 시스템을 사용할 때마다 다른 사용자번호와 비밀번호를 입력하지 않고도 한번 인증만으로 전 시스템을 하나의 시스템처럼 사용할 수 있도록 하는 시스템 통합계정관리(IM/IAM) ID와 패스워드를 종합적으로 관리해주는 역할 기반의 사용자 계정 관리 솔루션 보안관리 통합보안관리(ESM) 방화벽, 침입탐지시스템, 가상사설망 등 각종 보안시스템 및 주요시스템 장비를 연동하여 효율적으로 운영할 수 있도록 하는 시스템 위협관리시스템(TMS) 국내외 최신 취약성 정보와 보안 트렌드, 정밀 분석된 네트워크 트래픽 및 공격 형태를 상관 분석해 사이버 공격을 예측하고 판단하여 능동적으로 대응할 수 있는 체계적인 위협관제 및 대응 시스템 패치관리시스템(PMS) 시스템의 보안 취약점을 보완하기 위하여 배포되는 보안 패치 파일을 원격에서 자동으로 설치 관리해주는 시스템 자산관리시스템(RMS) 각종 유가증권을 포함해 다양한 파생금융상품에 대한 투자위험을 분석, 예측해주는 시스템 백업/복구관리 시스템 자료 손실을 예방하기 위해 자료를 미리 다른 곳에 임시로 보관해 두었다가 원래 상태로 복구해주는 관리 시스템 로그관리/분석 시스템 로그를 실시간 수집, 저장 및 분석하는 등의 작업을 위해 사용되어지는 시스템 취약점분석 시스템 악성코드 민감도, 안전하지 않은 소프트웨어 설정, 열린 포트 같은 컴퓨터 시스템의 알려진 취약점들을 분석하기 위해 사용되어지는 시스템 디지털 포렌식 시스템 정보기기 내에 내장된 디지털자료를 법적증거가 되도록 하기 위해 자료를 수집, 보관, 분석, 보고하기 위해 사용 되어지는 시스템 기타 정보보안제품 상기분류에서 제외된 제품 물리보안제품 CCTV CCTV 시스템 특정한 수신자에게만 서비스하는 것을 목적으로 하는 텔레비전 전송시스템, 카메라, 모니터, 디지털비디오녹화기(DVR) ,네트워크로 구성된 시스템 ※(예)저장장치, 카메라, 주변장비 영상감시관제S/W 및 장비, 지능형솔루션, 액세서리 바이오인식 얼굴인식 시스템 사람 얼굴의 대칭적인 구도, 생김새, 머리카락, 눈의 색상, 얼굴 근육의 움직임 등을 분석해 얼굴의 특징을 알아내는 대표적인 생체인식 기술 지문인식 시스템 지문인식은 전용 센서를 이용해 지문의 디지털 영상을 획득하여 지문에 있는 다양한 패턴을 이용하여 신원을 확인하는 기술 홍채인식 시스템 홍채의 모양과 색, 망막모세혈관의 형태소 등을 분석해 사람을 인식하는 생체인식기술 정맥인식 시스템 손바닥이나 손가락에 흐르는 정맥을 이용해 본인 여부를 인식하는 생체인식 기술 기타(음성인식 및 기타) 상기분류에서 제외된 시스템 접근제어 주요관공서, 군주요시설, 금융기관, 회사, 연구실 등의 보안유지가 요구되는 곳 또는 이용자의 출입관리가 요구되는 곳에서 IDCARD 등의 인식장비를 활용하여 관리하는 시스템 ※(예)카드&리더(번호/마그네틱), 시큐리티게이트 및 S/W등 알람모니터링 온도, 압력, 방사선세기 등의 물리량이나 화학량을 검지하여 신호처리가 가능하도록 변화시키는 장치 ※(예)적외선/레이저/진동/장력센서, 모션디텍터/침입 탐지장비 등 기타 물리보안제품 상기분류에서 제외된 제품

17182679

20210929160212

본청

안전지원과-3350

D0000035586827