다시 뛰는 공정도시 서울!

문서번호 교통운영과-2774 결재일자 2022. 3. 2. 공개여부 부분공개(5) 방침번호 시 민 주무관 신호운영팀장 교통운영과장 오정석 윤양호 03/02 강진동 협조 실무사무관 차경호 2022년 교통신호제어시스템 취약점 분석평가용역 착수계획 보고 2022년 교통신호제어시스템 취약점 분석평가용역 착수 계획 보고 2022. 3 도시교통실 (교통운영과) 2022년 교통신호제어시스템 취약점 분석평가용역 착수 계획 보고 2022년 교통신호제어시스템 정보보안 취약점 분석평가용역 수행 착수계획을 보고함. Ⅰ 착수보고회 □ 일 시 : 2022. 3. 7.(월), 14:00~14:50 (약 1시간) □ 장 소 : 서울시청 서소문별관 6층 회의실 □ 참석자 : 총 10명 내외 ○ 서 울 시 : 신호운영팀장, 업무 담당자 등 ○ 한국지역정보개발원 : 정보보호기획부 담당자 ○ 싸이버원컨소시엄 : 취약점 분석？평가 요원 2명 □ 보고내용 ○ 관리/물리적 정보보호 관리체계 운영 및 통제에 대한 진단방법 보고 ○ 기술적 진단을 통한 서버, 네트워크, 보안장비, DBMS, PC, 이동통신, 클라우드,제어시스템등의 보안 설정 취약점 분석 ○ 모의해킹을 통한 운영중인 IT서비스에 대해 모의 침투로 취약점 진단 ○ 취약점 중점 추진사항 및 취약점 분석？평가 상세 수행 방안 협의 < 용역 위탁 개요 > ？ 위탁기관 : 한국지역정보개발원(담당부서: 정보보호기획부) ？ 위탁기간 : 2022. 1. 1 ~ 12. 31. ？ 위탁금액 : 56,000천원 ？ 위탁근거 : 정보통신기반보호법 제9조, 행안부 소관 주요기반시설 보호지침 제 17조 ？ 사 업 자 : 싸이버원 컨소시엄(5개사) Ⅱ 용역수행 개요 □ 수행근거 ○ 정보통신기반보호법 제5조, 제9조, 동법 시행령 제8조, 제17조 ○ 행정안전부 소관 주요정보통신기반시설 보호지침 제12조, 제14조, 제17조 □ 사 업 명 : 지자체 주요정보통신기반시설 취약점 분석？평가 □ 용역기간 : 2022. 1. 1 ~ 12. 31 ○ ○ □ 대상시설 : 서울특별시 교통신호제어시스템 □ 진단대상 ○ 주요정보통신기반시설 관리기관의 정보보호관리체계 ○ 정보시스템 및 시설물의 물리적 보호구역 ○ 정보시스템(Unix서버, Windows서버, 네트워크, 보안장비, DBMS, PC), 제어시스템, 이동통신, 클라우드 □ 수행 절차 □ 용역수행조직 : 싸이버원 컨소시엄(5개사) ○ 취약점 분석？평가 : ○ 모의해킹(훈련) : Ⅲ 용역 내용 □ 취약점 진단 ○ 근거 :「주요정보통신기반시설 취약점 분석·평가 기준」을 준용하여 취약점 진단( 과학기술정보통신부 고시 제2021-28호) ○ 점검항목 : 총 450개 항목 - 관리적 취약점 진단 : 13개 영역 113개 항목 - 물리적 취약점 진단 : 4개 영역 18개 항목 - 기술적 취약점 진단 : 319 항목 ○ 결과값 산출 및 분석 - 정보보호 수준을 정량화하기 위해 산출식을 이용한 백분율 값 산출 진단결과 평가항목의 위험등급 상 중 하 취약점 제거 (만족) 10 점 8 점 6 점 일부 취약점만 제거 (부분만족) 5 점 4 점 3 점 취약점 발견 (미흡) 0 점 0 점 0 점 - 진단 분석 : 결과 도출된 위험등급 점수에 따라 우선순위 결정 □ 위험 평가 ○ 위험평가 절차 자산 중요도 평가 해당 자산이 가지고 있는 중요도를 산정하여 가치 평가 CIA(기밀성, 무결성, 가용성) 기준에 의해 등급 산정 위협/취약성 평가 잠재적인 위협의 영향 및 발생 가능성을 분석하여 위험등급 도출 위험도 산정 자산의 가치와 위협/취약성 평가 결과를 고려하여 해당 자산의 위험도 산출 결과 보고서 작성 위험분석을 통해 도출된 위험을 측정 기관이 관리하여야 하는 핵심 위험 항목 도출 ○ 위험유형별 관리 방안 및 수용 결정 - 위험 감소(Mitigation) : 위험을 감소시킬 수 있는 방안을 채택 구현 - 위험 수용(Accept) : 위험을 받아들이고 그에 따른 비용을 감수 □ 보호대책 수립 ○ 개선대책 계획 수립 절차 조치환경 분석 투입 비용, 문제 해결 난이도, 위험평가 수준 등의 기관 환경 분석 취약점 조치계획 취약점 조치를 위한 조치시기 결정 및 담당자 선정 유사한 취약점을 그룹화하여 보호대책 과제 선정 보호대책 수립 도출된 보호대책 과제의 상세 조치 계획 수립 ‘23년도 보호대책서(안) 작성 ○ 조치시기 구분 기간 설명 단기 6개월 이내 연계 시스템과의 영향도 평가 등 구현 방법 협의 필요 사항 중기 1년 이내 예산이 반영되거나 연계시스템, 타 부서의 협의, 영향도가 필요한 사항 장기 3년 이내 예산이 반영되거나 연계시스템, 타 부서의 협의, 영향도가 필요한 사항 위험 발생가능성이 적으며, 위험발생으로 인한 피해도가 낮은 사항 ※ 조치시기의 기준일은 기반시설 보호대책 기준에 따라 변경될 수 있음 □ 침해사고대응 모의훈련 ○ 훈련절차 초등 대응 사고신고 및 담당자 소집과 긴급조치 수행 사고 대응 침해사고 유형별 시나리오 상황에 적합한 대응 조치 수행 중적 수집 침해사고 발생 배경 및 원인조사에 필요한 증적자료 수집 사고 복구 복구 우선순위 선정 및 절차에 따른 신속한 복구수행 결과 보고 침해사고 대응/복구 조치 내역 및 증적 첨부 ○ 유형별 시니라오 ① 이메일 첨부 파일을 통한 업무 PC 랜섬웨어 감염 ② 서비스 거부 공격으로 인한 제어시스템 마비 ③ USB를 통한 악성코드 감염 ④ 비인가 무선AP를 통한 기반시설 접근 ⑤ 현장 기기의 랜선을 절취하여 제어시스템 서버 장애 유발 Ⅳ 행정 사항 □ 서울경찰청 신호운영실 행정지원 사항 ○ 취약점 분석 평가 공간 지원 ○ 작업 IP 및 교통제어시스템 운영관련 내부 보안 서류 등 제공 ○ 각종 설비에 대한 스크립터 시행 붙임 : 1. 착수보고서 1부. 2. 취약점 진단 계획서 1부. 3. 사전요청 증빙자료 목록 1부. 4. 진단 스크립트 1부. 끝

25495847

20220304055007

본청

교통운영과-2774

D0000044853338