정보보호조치에 관한 지침
정보통신망법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용에 대하여 정하는 것을 목적으로 하는 법률
- 준수하지 않을 경우 과태료나 벌금을 맞을 수 있는 개인정보 보호법 하위 고시와는 다르게 이 지침은 처벌 규정이 없어 단순 참고용으로만 사용된다.
- 다만, ISMS의 기준으로도 사용되므로 정보보호 담당자라면 내용을 숙지할 필요가 있다.
- 실질적인 내용은 대부분 '별표1'에 있다.
법률 근거[편집 | 원본 편집]
정보통신망법 제45조(정보통신망의 안정성 확보 등) ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다
- 1. 정보통신서비스 제공자
- 2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 "정보통신망연결기기등"이라 한다)를 제조하거나 수입하는 자
② 과학기술정보통신부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(이하 "정보보호지침"이라 한다)을 정하여 고시하고 제1항 각 호의 어느 하나에 해당하는 자에게 이를 지키도록 권고할 수 있다.
③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.
- 1. 정당한 권한이 없는 자가 정보통신망에 접근ㆍ침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치
- 2. 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치
- 3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적ㆍ물리적 보호조치
- 4. 정보통신망의 안정 및 정보보호를 위한 인력ㆍ조직ㆍ경비의 확보 및 관련 계획수립 등 관리적 보호조치
- 5. 정보통신망연결기기등의 정보보호를 위한 기술적 보호조치
④ 과학기술정보통신부장관은 관계 중앙행정기관의 장에게 소관 분야의 정보통신망연결기기등과 관련된 시험ㆍ검사ㆍ인증 등의 기준에 정보보호지침의 내용을 반영할 것을 요청할 수 있다.
정의[편집 | 원본 편집]
이 지침에서 사용하는 용어의 정의는 다음과 같다.
- 1. "정보보호조직"이라 함은 정보통신서비스를 안전하게 제공하고 정보보호 활동을 체계적으로 이행할 수 있도록 하는 업무 조직을 말한다.
- 2. "정보통신설비"라 함은 컴퓨터 장치 등 정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 말한다.
- 3. "서비스수준협약"이라 함은 서비스 제공자가 서비스 가입자와 합의를 통하여 사전에 정의된 수준의 서비스를 제공하기로 맺는 협약을 말한다.
- 4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.
- 5. "침입차단시스템"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다.
- 6. "침입탐지시스템"이라 함은 네트워크 또는 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 위법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 장비 또는 프로그램을 말한다.
- 7. "웹서버"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.
- 8. "DNS서버"라 함은 컴퓨터가 인식하는 IP주소를 사람이 인식하기 쉬운 도메인 이름으로 상호 변환하는 시스템을 운영하는 장치를 말한다.
- 9. "DB서버"라 함은 여러 사람에 의해 공유되어 사용될 목적으로 통합하여 관리되는 데이터베이스 처리를 위한 서버를 말한다.
- 10. "DHCP서버"라 함은 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당할 수 있도록 해주는 동적 호스트 설정 통신규약 서버를 말한다.
- 11. "라우터"라 함은 국제관문 게이트웨이, 무선응용프로토콜(WAP) 게이트웨이, 백본 라우터 등을 말한다.
- 12. "스위치"라 함은 백본 스위치, L4 ∼ L7 스위치, 인터넷접속교환기 등을 말한다.
- 13. "ACL(Access Control List)"이라 함은 특정 시스템에 접근할 수 있는 권한을 컴퓨터 운영체계에 알리기 위해 설정해 놓은 목록을 말한다.
- 14. "프로토콜"이라 함은 정보기기 사이에서 정보교환이 필요한 경우, 이를 원활하게 하기 위하여 정한 여러 가지 통신규칙과 방법 등 통신규약을 말한다.
- 15. "취약점 점검"이라 함은 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점에 대하여 점검하는 것을 말한다.
- 16. "관리용 단말"이라 함은 네트워크 장비, 웹서버, DB서버 등 주요 정보통신설비 유지·보수 및 관리를 위하여 정보통신설비와 접속되어 있는 장비 등을 말한다.
정보보호조치[편집 | 원본 편집]
- 제3조(정보보호조치의 내용) 법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신망의 안전성 및 정보의 신뢰성을 확보하기 위하여 마련하여야 하는 관리적·기술적·물리적 보호조치의 구체적인 내용은 별표 1과 같다.
- 제4조(정보보호조치 이행여부 점검) 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다.
- 제5조(규제의 재검토) 「과학기술정보통신부장관은「행정규제기본법」제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 2014년 1월 1일을 기준으로 매 3년마다(매 3년이 되는 해의 1월 1일 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
보호조치의 구체적인 내용(별표1)[편집 | 원본 편집]
구 분 | 세 부 조 치 사 항 | ||
1.관
리 적
호 조 치 |
1.1.
정보보호 조직의 구성․운영 |
1.1.1.
정보보호조직의 구성 |
|
1.1.2.
정보보호 최고 책임자의 지정 |
| ||
1.1.3.
정보보호조직 구성원의 역할 |
| ||
1.2.
정보보호 계획 등의 수립 및 관리 |
1.2.1.
정보보호 방침의 수립․이행 |
| |
1.2.2.
정보보호 실행계획의 수립․이행 |
| ||
1.2.3.
정보보호 실무지침의 마련․준수 |
| ||
1.2.4.
정보보호 사전점검 |
| ||
1.3.
인적 보안 |
1.3.1.
내부인력 보안 |
| |
1.3.2.
외부인력 보안 |
| ||
1.3.3.
위탁운영 보안 |
| ||
1.4.
이용자 보호 |
1.4.1.
정보보호 정보 제공 |
| |
1.4.2.
정보보호 현황 공개 |
| ||
1.5. 침해사고 대응 | 1.5.1.
침해사고 대응 계획의 수립․이행 |
| |
1.6. 정보보호
조치 점검 |
1.6.1.
정보보호조치의 자체 점검 |
| |
1.7. 정보자산 관리 | 1.7.1.
정보통신설비 및 시설의 현황 관리 |
| |
1.8. 정보보호 투자 | 1.8.1.
정보보호 투자계획 수립․이행 |
| |
기 술 적
호 조 치 |
2.1.
네트워크 보안 |
2.1.1.
트래픽 모니터링 |
|
2.1.2.
무선서비스 보안 |
| ||
2.1.3.
정보보호시스템 설치․운영 |
| ||
2.1.4.
정보보호를 위한 모니터링 |
| ||
2.2.
정보통신 설비 보안 |
2.2.1.
웹서버 보안 |
| |
2.2.2.
DNS서버 보안 |
| ||
2.2.3.
DHCP서버 보안 |
| ||
2.2.4.
DB서버 보안 |
| ||
2.2.5.
라우터/스위치 보안 |
| ||
2.2.6.
정보보호시스템 보안 |
| ||
2.2.7.
취약점 점검 |
| ||
2.2.8.
접근통제 및 보안설정 관리 |
| ||
2.2.9.
관리자 계정의 비밀번호 관리 |
| ||
2.2.10.
로그 관리 |
| ||
2.2.11.
보안패치 관리 |
| ||
2.2.12.
백업 및 복구 |
| ||
2.2.13.
중요정보의 암호화 |
| ||
2.2.14.
관리용 단말 보안 |
| ||
3.
물 리 적
호 조 치 |
3.1. 출입 및 접근 보안 | 3.1.1.
정보통신시설의 출입․접근 통제 |
|
3.2.
부대설비 및 시설 운영․관리 |
3.2.1.
백업설비 및 시설 설치․운영 |
|
비고
- 1. 2.2.7~2.2.14의 사항은 2.2.1~2.2.6에 해당하는 설비에 적용된다.
- 2. 2.1.1.의 규정에 따른 주요회선에 대한 트래픽 소통량 모니터링은 관리자 등이 모니터링 현장에 상주하지 않는 방법으로 실시할 수 있다.
- 2.2.11.의 규정에 따른 보안패치 정보의 입수․적용 주기는 정보보호관리자의 판단에 따라 정한다.