정보보호조치에 관한 지침

From IT Wiki
Revision as of 20:26, 11 July 2023 by 심사언 (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

정보통신망법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용에 대하여 정하는 것을 목적으로 하는 법률

  • 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다.
    • 다만, ISMS의 기준으로도 사용되므로 정보보호 담당자라면 내용을 숙지할 필요가 있다.
  • 실질적인 내용은 대부분 '별표1'에 있다.

법률 근거[edit | edit source]

정보통신망법 제45조(정보통신망의 안정성 확보 등) ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다

  • 1. 정보통신서비스 제공자
  • 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자

② 과학기술정보통신부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(이하 "정보보호지침"이라 한다)을 정하여 고시하고 제1항 각 호의 어느 하나에 해당하는 자에게 이를 지키도록 권고할 수 있다.

③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.

  • 1. 정당한 권한이 없는 자가 정보통신망에 접근ㆍ침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치
  • 2. 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치
  • 3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적ㆍ물리적 보호조치
  • 4. 정보통신망의 안정 및 정보보호를 위한 인력ㆍ조직ㆍ경비의 확보 및 관련 계획수립 등 관리적 보호조치
  • 5. 정보통신망연결기기등의 정보보호를 위한 기술적 보호조치

④ 과학기술정보통신부장관은 관계 중앙행정기관의 장에게 소관 분야의 정보통신망연결기기등과 관련된 시험ㆍ검사ㆍ인증 등의 기준에 정보보호지침의 내용을 반영할 것을 요청할 수 있다.

정의[edit | edit source]

이 지침에서 사용하는 용어의 정의는 다음과 같다.  

  • 1. "정보보호조직"이라 함은 정보통신서비스를 안전하게 제공하고 정보보호 활동을 체계적으로 이행할 수 있도록 하는 업무 조직을 말한다.
  • 2. "정보통신설비"라 함은 컴퓨터 장치 등 정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 말한다.
  • 3. "서비스수준협약"이라 함은 서비스 제공자가 서비스 가입자와 합의를 통하여 사전에 정의된 수준의 서비스를 제공하기로 맺는 협약을 말한다.
  • 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.
  • 5. "침입차단시스템"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다.
  • 6. "침입탐지시스템"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다.
  • 7. "웹서버"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.
  • 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다.
  • 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다.
  • 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다.
  • 11. "라우터"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다.
  • 12. "스위치"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다.
  • 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다.
  • 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다.
  • 15. "취약점 점검"이라 함은 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점에 대하여 점검하는 것을 말한다.
  • 16. "관리용 단말"이라 함은 네트워크 장비, 웹서버, DB서버 등 주요 정보통신설비 유지·보수 및 관리를 위하여 정보통신설비와 접속되어 있는 장비 등을 말한다.

정보보호조치[edit | edit source]

  • 제3조(정보보호조치의 내용) 법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신망의 안전성 및 정보의 신뢰성을 확보하기 위하여 마련하여야 하는 관리적·기술적·물리적 보호조치의 구체적인 내용은 별표 1과 같다.
  • 제4조(정보보호조치 이행여부 점검) 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다.
  • 제5조(규제의 재검토) 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

보호조치의 구체적인 내용(별표1)[edit | edit source]

구 분 세 부 조 치 사 항
1.관


1.1.

정보보호

조직의 구성․운영

1.1.1.

정보보호조직의 구성

  • 정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구성된 정보보호조직을 운영
1.1.2.

정보보호 최고

책임자의 지정

  • 기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정
1.1.3.

정보보호조직

구성원의 역할

  • 정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘
  • 정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리
  • 정보보호담당자는 정보보호 업무의 분야별 실무를 담당
1.2.

정보보호

계획 등의 수립 및 관리

1.2.1.

정보보호 방침의 수립․이행

  • 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립
  • 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상의 요구사항을 문서화하고 시행
1.2.2.

정보보호 실행계획의

수립․이행

  • 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립
  • 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검
1.2.3.

정보보호 실무지침의

마련․준수

  • 정보통신설비 및 시설에 대한 관리적․기술적․물리적 보호조치의 구체적인 시행 방법․절차 등을 규정한 정보보호 실무지침을 마련
  • 정보보호 최고책임자가 실무지침을 승인하고 관련 법․제도, 설비의 교체 등 변경사유가 발생할 경우 보완하여 관리
1.2.4.

정보보호 사전점검

  • 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보호에 관한 사항을 고려
1.3.

인적 보안

1.3.1.

내부인력 보안

  • 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근 권한을 제거
  • 임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호 실천수칙 보급 등)를 실시
  • 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하는 자에게 정기적으로 정보보호 교육 실시
1.3.2.

외부인력 보안

  • 자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구
1.3.3.

위탁운영 보안

  • 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준협약 등에 ‘정보보호에 관한 위탁업체의 책임범위’, ‘위탁업무 중단에 따른 비상대책’ 등을 반영
1.4.

이용자 보호

1.4.1.

정보보호 정보 제공

  • 이용자에게 침해사고 예․경보, 보안취약점, 계정․비밀번호 관리방안 등의 정보를 지속적으로 제공
1.4.2.

정보보호 현황 공개

  • 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개
1.5. 침해사고 대응 1.5.1.

침해사고 대응

계획의 수립․이행

  • 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응 방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등을 포함한 침해사고 대응계획을 마련․시행
1.6. 정보보호

조치 점검

1.6.1.

정보보호조치의

자체 점검

  • 정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침의 기준에 따라 자체적으로 정보보호 현황을 점검
1.7. 정보자산 관리 1.7.1.

정보통신설비 및 시설의 현황 관리

  • 정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완․관리
  • 정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네트워크와 분리된 환경에서 안전하게 관리
1.8. 정보보호 투자 1.8.1.

정보보호 투자계획 수립․이행

  • 기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보기술부문 예산의 5%이상)의 정보보호 예산 편성 및 집행





2.


2.1.

네트워크 보안

2.1.1.

트래픽 모니터링

  • 네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외부망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터링
2.1.2.

무선서비스 보안

  • 무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자인증, 데이터암호화 등 보안조치를 마련
2.1.3.

정보보호시스템 설치․운영

  • 외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템 등 네트워크의 안전성을 제고할 수 있는 정보보호시스템을 설치․운영
2.1.4.

정보보호를 위한 모니터링

  • 주요시스템․네크워크 사용 및 접근이 명확하게 허용된 범위 안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는 위탁운영을 통하여 침해사고 탐지․대응 체계 운영
2.2.

정보통신

설비 보안

2.2.1.

웹서버 보안

  • 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에 설치
2.2.2.

DNS서버 보안

  • 과부하에 대비한 부하분산 대책을 마련
  • 설정파일 백업 실시
2.2.3.

DHCP서버 보안

  • 과부하에 대비한 부하분산 대책을 마련=
  • 설정파일 백업 실시
  • IP 할당 상황 등에 대한 로그기록 유지․관리
2.2.4.

DB서버 보안

  • 내부망에 설치
  • 외부망에서 직접 접속할 수 없도록 네트워크를 구성
2.2.5.

라우터/스위치 보안

  • ACL(Access Control List) 등의 접근제어 기능을 적용할 수 있는 설비를 사용
2.2.6.

정보보호시스템 보안

  • 이상징후 탐지를 알리는 경고 기능을 설정하여 운영
  • 정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작동 여부를 주기적으로 점검(월 1회 이상)
2.2.7.

취약점 점검

  • 연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완
2.2.8.

접근통제 및 보안설정 관리

  • 인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가 절차를 강화
  • 불필요한 프로토콜 및 서비스 제거 등 보안설정
2.2.9.

관리자 계정의

비밀번호 관리

  • 관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가능한 자리수가 8자리 미만일 때는 설정 가능한 최대의 자리수로 설정
  • 최소 3개월에 1회 이상 비밀번호 변경
2.2.10.

로그 관리

  • 최소 1개월 이상 로그기록 유지․관리(정보보호시스템은 3개월)
2.2.11.

보안패치 관리

  • 보안패치 정보를 주기적으로 입수하고 적용
  • 주요 보안패치에 대해서는 적용일 등 패치정보를 기록․관리
2.2.12.

백업 및 복구

  • 주요정보를 주기적으로 백업
  • 백업 담당자, 백업 및 복구 방법․절차․주기 등을 기록․관리
2.2.13.

중요정보의 암호화

  • 비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장
  • 주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등은 안전한 암호알고리듬으로 암호화하여 저장
2.2.14.

관리용 단말 보안

  • 일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버, 웹서버 등 주요 정보통신설비의 접속에만 사용
  • 전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수립하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있도록 통제
  • 관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소프트웨어 예방․탐지 활동 실시
3.


3.1. 출입 및 접근 보안 3.1.1.

정보통신시설의 출입․접근 통제

  • 비인가자가 출입할 수 없도록 잠금장치를 설치
  • 출입자의 기록을 1개월 이상 유지․보관
3.2.

부대설비 및 시설 운영․관리

3.2.1.

백업설비 및 시설 설치․운영

  • 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설치․운영

비고

  • 1. 2.2.7~2.2.14의 사항은 2.2.1~2.2.6에 해당하는 설비에 적용된다.
  • 2. 2.1.1.의 규정에 따른 주요회선에 대한 트래픽 소통량 모니터링은 관리자 등이 모니터링 현장에 상주하지 않는 방법으로 실시할 수 있다.
  • 2.2.11.의 규정에 따른 보안패치 정보의 입수․적용 주기는 정보보호관리자의 판단에 따라 정한다.