다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-601 결재일자 2020.1.9. 공개여부 부분공개(2) 방침번호 시 민 주무관 정보보안팀장 정보통신보안담당관 스마트도시정책관 오장준 김태승 공병엽 01/09 代고경희 2020년「사이버보안진단의 날」운영계획 2020. 1. 스마트도시정책관 (정보통신보안담당관) 지속 가능성 ● 정책·계획 등의 지속가능성을 검토하였습니까? 예) 지역경제 발전, 사회적 형평성, 환경의 보전 등 □ ■ 2020년「사이버보안진단의 날」운영계획 2020년도「사이버보안진단의 날」운영계획을 수립·시행하여 주기적인 보안취약점 점검？제거조치를 통해 사이버침해사고, 정보유출 등 보안 사고를 예방하고자 함 1 추진근거 ？？「사이버보안진단의 날」시행배경 ○ ’08.10월부터 범정부 차원에서 정보보안 관리실태를 각 기관이 자체적 종합 점검하도록 세 번째 수요일을「사이버보안진단의 날」로 지정 ？？ 추진근거 ○ 국가 정보보안 기본지침 제10조(사이버보안진단의 날) ○ 서울시 정보통신 보안업무 처리규칙 제18조(사이버보안진단의 날) 2 2020년 사이버공격 전망 ？？ 랜섬웨어, 개인에서 공공기관·기업으로 피해 확대(출처:안랩) ○ 공공기관·기업으로 APT(지속지능형공격)과 결합된 랜섬웨어 유포 ○ APT와 결합된 랜섬웨어 공격, PC 공격보다 높은 금액 요구 ○ 랜섬웨어 감염시 백업 파일까지 암호화 및 피해 발생 ？？ 문자 메시지, 이메일 안으로 숨어드는 악성코드(출처:하우리) ○ 문자메시지, 이메일 속 링크를 이용하여 악성앱을 감염시키는 모바일 표적 공격 ○ IoT 기기 보급 확산에 따른 대규모 IoT 봇넷 등장 및 DDoS 공격의 재개 ○ 유효한 코드서명 인증서 탈취 시도 및 이로 서명된 악성코드 유포·감염 증가 3 추진방향 ？？「사이버보안진단의 날」이행 및 관리강화 ○ 매월 부서평가를 실시하고 이행결과 미제출 및 평가순위가 낮은 부서를 대상으로 정보보안 부서 지도 점검 실시하여 사이버보안진단의 날 이행 강화토록 유도 ？？ 정보시스템 사용자계정 현행화 및 PC, 노트북 관리 강화 ○ 정보시스템 사용자 계정 부여 및 관리의 적절성을 연2회(2월, 8월) 점검토록 하여 비인가자 및 비인가 권한 사용자에 의한 정보시스템 침해사고 예방 ○ 랜섬웨어와 같이 주요 해킹대상 또는 정보시스템 해킹 수단으로 악용되는 PC·노트북에 대한 주기적인 현행화 및 취약점 보안조치로 사이버침해사고 예방 강화 4 '19년도 운영결과 ？？ ○ - - ※ 전체PC수 : 10,773대 - ※ 상수도사업본부, 서울시립대, 소방재난본부는 내PC지키미 자체운영으로 제외 ？？ ○ - 이행률 (%) ○ - - 5 '20년 운영계획 ？？ 운영개요 ○ 시 행 일 : 매월 세 번째 수요일(월1회) ○ 운영대상 : 본청, 본부？사업소, 시의회, 자치구, 투자출연기관 ※ 자치구, 투자출연기관은 그간 운영대상에서 제외됐었으나,「서울특별시 정보통신 보안업무 처리규칙」이 ’20년 상반기 개정예정으로 ’20년부터 포함 ○ 점검항목 - PC 보안취약점 점검항목(10개) 연번 점검항목 점수 연번 점검항목 점수 ① 바이러스 백신 설치 및 실행 점검 10 ⑥ 로그온 패스워드 안정성 점검 10 ② 바이러스 백신의 최신 보안 패치 점검 10 ⑦ 화면보호기 설정 점검 5 ③ 운영체제, MS Office 최신 보안패치 점검 20 ⑧ 사용자 공유폴더 설정 점검 10 ④ 한글 프로그램의 최신 보안패치 점검 10 ⑨ 미사용 ActiveX 프로그램 점검 10 ⑤ 로그온 패스워드 사용기간 점검 10 ⑩ USB 자동실행 설정 점검 5 - 월별 중점 점검항목(붙임1 참조) ？공통점검항목 : 정보시스템 현행화, 장비반출입관리, 용역업체 관리 등 총 8개 항목 ？월별 점검항목 : 서버 취약점·사용자계정 점검, 비인가 wifi 점검 등 매월 1~4개 점검 ○ 추진내용 - 정보통신보안담당관 ？매월「사이버보안진단의 날」공문시행, 부서 이행 관리·평가, 현장지도 ？내PC지키미 보안점수 90점 미만PC는 내PC지키미 점검창 닫기 불가(조치시 가능) - 부서 및 기관 ？내PC지키미를 활용하여 PC 보안취약점 점검 및 조치(PC사용자) ？월별 중점 점검사항(붙임1) 점검 및 조치(부서 보안담당자/정보시스템 운영자/용역사업 담당자) ？PC·노트북 관리대장 제출(부서 보안담당자) ※ 자치구 및 투자출연기관은 제출 제외 ？점검결과(체크리스트) 제출(부서 보안담당자) ？？ 부서평가 ○ 평가대상 : 본청, 본부 및 사업소 ※ 자치구 및 투자출연기관은 정보보안 관리실태 정기점검 실시 ○ 평가기준 구 분 평가기준 배 점 점 수 100 PC·노트북 현행화 PC·노트북 관리대장 제출 10 10 PC·노트북 관리대장 미제출 0 내PC지키미 보안점수 (부서평균) 100점 30 30 95점 이상 ∼ 100점 미만 20 90점 이상 ∼95점 미만 10 90점 미만 0 내PC지키미 이행율 (이행PC/전체PC) 100%이상 30 30 95%이상 ~ 100%미만 20 90%이상 ~ 95%미만 10 90%미만 0 월별 중점 점검사항 점검결과 제출 체크리스트 제출 30 30 체크리스트 미제출 0 ○ 평가결과 활용(안) - 이행결과 미제출 또는 평가점수가 저조한 부서를 대상으로 정보보안 부서 지도 점검 실시 - 매월 4개 부서 지도 점검실시 6 기대효과 ？？ 주기적인 보안취약점 점검？제거조치로 보안사고 예방 ？？ 부서평가를 통해「사이버보안진단의 날」참여 적극 유도 붙임 : 1. 월별 중점 점검사항 1부. 2. 사이버보안진단의 날 체크리스트 1부. 3. 정보시스템 사용자 계정 체크리스트 1부. 붙임1 월별 중점 점검사항 구 분 중점 점검사항 공통사항 <매월점검> o PC？노트북 보안취약점 점검 및 제거 o PC·노트북 관리대장 작성 및 현행화(팀명, 사용자 이름, 직급/직위, 운영체제, IP주소 등 포함) o 정보시스템 관리대장 작성 및 현행화 o 전산장비(휴대용저장매체) 반출입대장 관리 o 업무PC 인터넷 차단여부 확인(망분리 시행부서) o 인터넷 PC내 업무자료 저장여부 점검(망분리 시행부서) o 정보시스템 관리용PC, 반출입노트북 내 업무자료 저장여부 점검 o 정보화사업 입찰？계약？수행？종료 등 단계별 용역업체 보안관리 - 외주인력 대표, 참여인력 보안서약서 징구 - 보안교육 실시 - 비인가 PC 및 휴대용저장매체 반입금지 - 업무자료 보안관리(캐비닛잠금, 중요파일 암호화) - 업무인수인계 대장관리(업무자료 삭제시 자료완전삭제 사용) - 사업종료시 보안확약서 징구 등 1월 (1.15) o 방화벽·침입방지시스템 등 보안장비 보안정책 재정비 o 홈페이지내 행정정보 게시관련 보안관리 강화 - 개인정보, 중요 정책정보는 비공개 - 비밀 등을 홈페이지에 게재한 경우 국정원 통보 및 경위조사 실시 2월 (2.19) o 정보시스템 보안관리 실태 점검 - 중요정보 암호화 - 사용자계정 현행화(미사용·불필요 계정 삭제 또는 접속권한 중지) - 정보시스템 접근권한 적절성 여부 점검 - 비인가자 접속시도, 허가되지 않는 작업 여부 등 접근기록 점검 - 내부설정 백업 여부 및 백업시스템 정상작동 여부점검 - 관리용PC 지정 o 사이버침해 및 장애대비 비상연락체계 재정비 - 대외기관, 부서 정보보안담당자 등 유관 연락처 - 기술지원, 전문업체 등 기술인력 연락처 3월 (3.18) o 기관(부서) 내 공유폴더 사용실태 점검 - 비밀번호 설정 등 접근 통제 여부, 불필요 공유폴더 삭제 등 o 자주 사용하지 않는 PC, 노트북 정비 - OS, 일반SW 등 최신 업데이트 실시 (업무망 PC？노트북은 내PC지키미를 실행하여 점검) - 업무망 노트북 무선어댑터 ‘사용안함’ 설정여부 점검 (업무망에서 사용하는 노트북은 반입？반출시 포맷 실시) 4월 (4.16) o 기관(부서)내 비인가 무선인터넷 시스템(공유기, AP) 사용여부 점검 o 인가 무선인터넷 시스템(AP) 점검 - 암호화 적용 여부, 관리자 비밀번호 설정 여부(기본 비밀번호 사용 등) - 비인가 사용자 접근통제 대책 5월 (5.20) o 업무시스템 및 홈페이지 등 정보시스템 불필요 서비스포트 점검 o 정보시스템의 Telnet 등 원격서비스 차단점검 - SSH 기본 포트 변경 및 접근제어시스템 사용 o 해외출장자에 대한 보안조치 실태 점검 - 반출 노트북 등에 대한 보안성 검토 - 중요 협상자 출장시 안전한 통신수단 확보 - 서약서 징구, 보안교육 확행 등 o 직원의 재택？파견？이동근무 등 원격 근무시 보안관리 점검 6월 (6.17) o 불용PC, 복합기 등 디지털 저장매체 불용처리 적정성 점검 - 저장매체 임의 반출 금지, 저장자료 완전 삭제 등 관련절차 이행 여부 ο 기관(부서)내 상주 유지보수업체 보안점검 - 메신저, P2P, 웹하드 등 비인가 서비스 사용여부 점검 - PC내 중요자료 관리상태 7월 (7.15) o 보안USB관리시스템 점검 - 비밀용, 대외비용, 일반용 USB 등 구분사용 여부 점검 - 매체제어시스템 정상작동 여부 점검 o 사이버침해 및 장애대비 비상연락체계 재정비 - 대외기관, 부서 정보보안담당자 등 유관 연락처 - 기술지원, 전문업체 등 기술인력 연락처 8월 (8.19) o 정보시스템 보안관리 실태 점검 - 중요정보 암호화 - 사용자계정 현행화(미사용·불필요 계정 삭제 또는 접속권한 중지) - 정보시스템 접근권한 적절성 여부 점검 - 비인가 사용자 접속시도, 허가되지 않는 작업 여부 등 접근기록 점검 - 내부설정 백업 여부 및 백업시스템 정상작동 여부점검 - 관리용PC 지정 o 을지연습 관련 보안관리 - 홈페이지 내 을지연습자료, 개인정보 등 민감자료 게시여부 점검 - 을지연습 대비 암호장비？논리, 보안자재 점검 - 을지연습 관련 비밀작성용 PC에 인터넷 연결 금지 9월 (9.16) o 기관(부서)내 비인가 무선인터넷 시스템(공유기, AP) 사용여부 점검 o 인가 무선인터넷 시스템(AP) 점검 - 암호화 적용 여부, 관리자 비밀번호 설정 여부(기본 비밀번호 사용 등) - 비인가 사용자 접근통제 대책 10월 (10.21) o 라우터, 스위치 등 네트워크 장비보안 재정비 - 관리자 비밀번호 설정여부(기본 비밀번호 사용 등) - 불필요 접근포트 차단 - 관리자페이지 접근제어 설정 등 11월 (11.18) o 공유폴더 사용실태 점검 - 비밀번호 설정 등 접근통제 여부, 불필요 공유폴더 삭제 등 o 비밀 외주발간 시 보안대책 점검 - 발간업체 PC 등에 작업내용 저장 여부 중점 확인 - 비밀발간 의뢰시 출력물 또는 인가 받은 비밀용USB만 사용 여부 12월 (12.16) o 장기 미사용 등 불필요 VPN 계정 재정비 o 불용 PC, 복합기 등 디지털 저장매체 불용처리 적정성 점검 - 저장매체 임의 반출 금지, 저장자료 완전 삭제 등 관련절차 이행 붙임2 ？사이버보안진단의 날？ 체크리스트 ？ 기관(부서)명 : 구분 번호 공통 점검항목 이행여부 공통 점검 사항 1 PC？노트북 보안취약점 점검 및 제거 2 PC·노트북 관리대장 작성 및 현행화(보유중인 모든장비 포함) 3 정보시스템 관리대장 작성 및 현행화 4 전산장비(휴대용저장매체) 반출입대장 관리 5 업무PC 인터넷 차단여부 확인(망분리 시행부서) 6 인터넷 PC내 업무자료 저장여부 점검(망분리 시행부서) 7 정보시스템 관리용PC, 반출입노트북 내 업무자료 저장여부 점검 8 o 정보화사업 보안관리 - 보안서약서 징구 - 보안교육 실시 - 비인가 PC, 휴대용저장매체 반입금지 - 자료제공시 자료인수인계 대장관리 - 제공자료 보안관리(캐비닛잠금, 중요파일 암호화) - 사업종료시 제공자료 회수 및 삭제 - 사업종료시 보안확약서 징구 구분 번호 2월 중점 점검항목 [매월 중점 점검사항] 월별 중점 점검 사항 9 o 정보시스템 보안관리 실태 점검 - 중요정보 암호화 - 사용자계정 현행화(미사용·불필요 계정 삭제 또는 접속권한 중지) - 정보시스템 접근권한 적절성 여부 점검 - 비인가자 접속시도, 허가되지 않는 작업 여부 등 접근기록 점검 - 내부설정 백업 여부 및 백업시스템 정상작동 여부점검 - 관리용PC 지정 10 o 홈페이지내 행정정보 게시관련 보안관리 강화 - 개인정보, 중요 정책정보는 비공개 - 비밀 등을 홈페이지에 게재한 경우 국정원 통보 및 경위조사 실시 2020. . . 작 성 자 부 서 명 직급 성명 (인) 부 서 장 부 서 명 직급 성명 (인) 붙임3 정보시스템 사용자 계정 점검 체크리스트 ○ 시스템명 : ○ 부 서 명 : 번호 점검항목 점검결과 체크 1 접근권한 및 접근기록 관리 1-1. 계정별 접근권한 생성, 변경, 회수 또는 삭제 등에 대한 내역을 기록하고 3년 이상 보관한다. □ 1-2. 계정별 접근기록(접속기록)을 1년 이상 보관한다. □ 2 제한된 접근권한 부여 및 점검 2-1. 시스템에 계정별로 제한된 접근권한을 부여할 수 있는 기능이 없거나, 기능이 있지만 사용하지 않는다. □ 2-2. 계정별로 제한된 접근권한을 부여하고 있다. □ 2-3. 용역업체 인원에게 관리자 계정을 부여하지 않는다. □ 2-4. 비밀번호 등 식별 및 인증수단이 없는 사용자 계정이 없다. □ 3 외부인 계정관리 3-1. 외부인에게 부여한 계정이 있으나, 별도의 승인없이 임의로 부여하고 있다. □ 3-2. 외부인에게 부여한 계정이 있으나, 부서 보안담당관(부서장 등)의 승인을 득하였으며, 일정기간 동안만 접속을 허용한다. □ 3-5. 외부인에게 부여한 계정이 없다. □ 4 미사용·불필요 계정 회수 또는 삭제 4-1. 퇴직·전보자 계정, 기한만료된 외부인 계정 등 미사용·불필요 계정을 즉시 회수 또는 삭제한다. □ 5 로그인 보안조치 5-1. 로그인 반복실패시(5회 이상) 접속 중단시킬 수 있는 기능이 있다. □ 5-2. 동일계정에 대한 동시 로그인 차단기능이 있다 □ 5-3. 로그인시 첫 화면에 최종 접속기록(접속 IP·시간)을 표시한다 □ 5-4. 주기적으로 비밀번호(9자리 이상)를 변경한다. □ 6 사용자 인증방식 6-1. 아이디·비밀번호 방식만 사용한다. □ 6-2. 전자서명(인증서), OTP 등 보안성이 높은 사용자 인증 방식과 아이디·비밀번호 방식을 병행하여 사용한다. □ 6-3. 전자서명(인증서), OTP 등 보안성이 높은 사용자 인증 방식만 사용한다. □

19548555

20210929014724

본청

정보통신보안담당관-601

D0000039093303