ISMS-P 인증 기준 2.7.2.암호키 관리 편집하기

[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증 기준 2.7.암호화 적용|2.7.암호화 적용]]
== 개요 ==

{| class="wikitable
!항목
!2.7.2.암호키 관리
|-
| style="text-align:center"|'''인증기준'''
|암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다.
|-
|'''주요 확인사항'''
|
* 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립‧이행하고 있는가?
** (가상자산사업자) 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립‧이행하고 있는가? - 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차  - 개인키 passphrase 설정 및 관리 방안  - 개인키의 안전한 보관(핫월렛, 콜드월렛)  - 개인키 접근 및 사용 절차  - 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책  - 개인키 백업 및 소산  - 개인키 관련 책임추적성 확보  - 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니 터링  - 기타(키 분할, passhrase 분할, 멀티시그, H/W월 렛 등)
**(가상자산사업자) 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경 우에도, 취급업소내 가상자산의 송/수신시 2인 이상 의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가?
**(가상자산사업자) 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가? 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대책을 마련하고 있는가?
**(가상자산사업자)  월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하고 있는가?

* 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?
** (가상자산사업자)  핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하고 있는가?
|-
|'''관련 법규'''
|
* 개인정보 보호법 제29조(안전조치의무) 
* 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)
* 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)
|}

== 세부 설명 ==

* 암호키 생성, 이용, 보관, 배포, 파기에 대하여 다음과 같은 내용이 포함된 정책 및 절차를 수립하여야 한다.
** 암호키 관리 담당자
** 암호키 생성, 보관(소산 백업 등) 방법
** 암호키 배포 대상자 및 배포방법(복호화 권한 부여 포함)
** 암호키 사용 유효기간(변경 주기) : 암호키 변경 시 비용, 업무중요도 등을 고려하여 결정
** 암호키 복구 및 폐기 절차와 방법
** 소스코드에 하드코딩 방식의 암호키 기록 금지에 관한 사항 등
* 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하여야 한다.
** 암호키 손상 시 시스템 또는 암호화된 정보의 복구를 위하여 암호키는 별도의 매체에 저장한 후 안전한 장소에 보관(암호키 관리시스템, 물리적 분리된 곳 등)
** 암호키에 대한 접근권한 최소화 및 접근 모니터링
== 증거 자료 ==
* 암호키 관리정책
* 암호키 관리대장 및 관리시스템 화면
== 결함 사례 ==
* 암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자별로 암호키 관리 수준 및 방법 상이 등 암호키 관리에 취약사항이 존재하는 경우
* 내부 규정에 중요 정보를 암호화할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을 작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
@@ 14번째 줄: / 14번째 줄: @@
 |
 * 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립‧이행하고 있는가?
-** (가상자산사업자) 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립‧이행하고 있는가?
+** (가상자산사업자) 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립‧이행하고 있는가? - 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차  - 개인키 passphrase 설정 및 관리 방안  - 개인키의 안전한 보관(핫월렛, 콜드월렛)  - 개인키 접근 및 사용 절차  - 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책  - 개인키 백업 및 소산  - 개인키 관련 책임추적성 확보  - 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니 터링  - 기타(키 분할, passhrase 분할, 멀티시그, H/W월 렛 등)
-*** 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차
-*** 개인키 passphrase 설정 및 관리 방안
-*** 개인키의 안전한 보관(핫월렛, 콜드월렛)
-*** 개인키 접근 및 사용 절차
-*** 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책
-*** 개인키 백업 및 소산
-*** 개인키 관련 책임추적성 확보
-*** 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니 터링
-*** 기타(키 분할, passhrase 분할, 멀티시그, H/W월 렛 등)
 **(가상자산사업자) 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경 우에도, 취급업소내 가상자산의 송/수신시 2인 이상 의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가?
 **(가상자산사업자) 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가? 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대책을 마련하고 있는가?