본인확인 지원포털

본인확인기관 지정정기심사
1장. 물리적·기술적·관리적 조치계획
정보통신망 침해행위의 방지에 관한 사항과
시스템 및 네트워크의 운영·보안·관리에 관한 사항 편

안녕하세요.
이번 차시에는 정보통신망 침해행위 방지에 관한 사항의 적정성을 심사하는 기준과
시스템 및 네트워크의 운영·보안 및 관리에 관한 사항의 적정성을 심사하는 기준에 대해 알아보도록 하겠습니다.

먼저, 정보통신망 침해행위 방지에 관한 사항의 적정성을 심사하는 기준부터 알아보겠습니다.
해당 영역은 개인정보 보호법의 구체적 고시인 ‘개인정보의 안전성 확보조치 기준‘ 중 제6조 접근통제와
밀접한 관련이 있습니다.

-심사대상-
먼저, 정보통신망 침해행위 방지에 관한 사항을 심사하는 항목으로 침입차단(방화벽/웹 방화벽 등) ·
탐지·방지시스템, 시스템 접근 통제, 저장정보의 조작·파괴·은닉 및 유출방지 등이 심사대상입니다.
<심사대상>
1. 본인확인업무와 관련된 방화벽, IPS, IDS
2. 상용 서버/시스템 접근 통제 솔루션
3. TCPWrapper 등 리눅스 운영체제에서 기본 제공하는 접근통제 모듈 환경설정
4. 안티바이러스 솔루션
5. 통합로그 관리시스템, 보안이벤트 분석 관리시스템
해당 심사영역은 정보통신망을 통한 침해행위에 대하여 외부적으로 어떻게 방어하고
내부적으로는 불법적인 침해행위에 대한 모니터링 활동, 이를 위한 구체적인 보안정책 수립과
외부로부터의 해킹공격 및 내부로부터의 주요정보 유출이 없음을 증명하는
보안시스템 로그 저장과 주기적 분석 활동에 대하여 심사합니다.

좀 더 구체적으로 해당 영역을 알아보겠습니다.

-침입차단, 탐지, 방지 시스템 종류-
-방화벽, 웹 방화벽(WAF), IDS, IPS, DDos방지 솔루션, SSL복호화 장비 등
첫째, 침입차단시스템인 방화벽 등을 통하여 외부의 불법적인 침해행위를 방지하기 위한
보안정책 및 보안솔루션에 대한 설정을 심사합니다.

-서버 및 시스템 접근통제 솔루션-
-상용 서버 접근통제 솔루션
-TCPWrapper, IPTavles, Firewalld 등 리눅스 운영체제 기본제공 모듈
-레드헷리눅스, CentOS 계열 7버전은 TCPWrapper 설치불가 → 별도보안대책 제시
둘째, 서버를 비롯한 정보시스템 접속 시 접근통제 원칙과 운영을 확인하고,
개인정보취급자 등에 대하여 최소한의 권한부여 여부와 적절한 접근통제를 수행하는지 심사합니다.

-백신 소프트웨어-
-클라이언트 뿐만 아니라 서버(리눅스 등) 백신도 포함
-EDR(엔드포인트 탐지 대응), EPP
셋째, 내부의 안전한 보안을 보증하기 위하여 서버 및 단말기에 대한 백신 소프트웨어 설치 여부 및
최신 패턴을 주기적으로 업데이트하여 바이러스를 탐지하는지 심사합니다.

-로그 저장 시스템 종류-
-통합로그시스템, ESM, SEIM 등(보안이벤트 로그관리시스템)
마지막으로, 외부 및 내부에서 발생하는 보안 이벤트 현황과 본인확인 관련 주요 정보의 변조 및
삭제방지를 위해 모든 행위에 대한 모니터링 여부와 이를 로그형태로 저장하는 통합로그 시스템을 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
방화벽 등이 포함된 최신 네트워크 구성도,
방화벽, 웹 방화벽, IPS, IDS, DDoS 방지 솔루션 등에 대한 자산목록 및 최신 패치 업데이트 일자,
방화벽의 인바운드(INBound), 아웃바운드(OUTBound) 룰 설정, 최신 취약점 진단 자료,
서버 및 시스템 접근통제 원칙, 보안시스템 루트(root) 권한자 목록,
서버 To 서버 접근통제 현황 및 예외 사항 처리 프로세스,
백신 소프트웨어 설치 현황 및 패턴 업데이트 정책,
통합로그 저장 시스템에 연동되는 보안솔루션 항목, 로그 보존 연한, 주기적 검토 이력 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행되는데요.

-현장실사 대상 담당자-
대상 담당자는 보안솔루션을 아웃소싱 외주위탁에 맡길 경우, 기관 보안담당자 이외에 방화벽을 비롯한
네트워크 기반 보안솔루션 운영자, 서버 접근통제 솔루션 운영자(서버 운영자) 및
백신소프트웨어, 통합로그 관리 운영자 등이 해당됩니다.
인터뷰 및 현장점검은 담당자에게 본인확인서비스와 관련된 방화벽 보안 정책,
본인확인서비스 수행 시 보안솔루션 측면에서 트래픽 흐름 설명,
서버 및 시스템 접근통제 원칙 및 예외 사항에 대한 별도 대책,
백신 소프트웨어 운영현황 및 패턴 업데이트 방법,
통합로그시스템으로 전송되는 보안솔루션 목록과 구체적 연동 로그 등의 자료 및 설명을 요청하고
담당자 인터뷰 진행 후, 요청받은 자료와 지침을 근거로 실제 현장점검을 수행합니다.
앞에서도 말씀드린 것처럼 해당 영역은 개인정보 보호법 하위고시인 ‘개인정보의 안전성 확보조치 기준‘ 중
제6조 접근통제 영역에 해당되는 영역입니다.
따라서, 개인정보 보호법에 제시한 필수문서인 ‘개인정보 내부관리계획＇지침 안에 해당 영역의 모든 내용이 포함되어 있어야 함을 강조드립니다.

이에 해당되는 간단한 미흡 사례를 살펴보면,
<미흡사례 예시 : 본인확인업무 관련 방화벽 룰 설정이 주기적으로 검토되지 않았음>
외부의 불법적인 침입을 막기 위한 방화벽 정책 중 일부가 1년이 지나도록 한번도 사용한 적이 없는
정책이 삭제되지 않고 지속적으로 유지되는 경우, 방화벽 설정 관련 미흡사례가 됩니다.
서버 접근 통제영역의 경우에는,
<미흡사례 예시 : 본인확인 서버 일부가 본인확인서비스와 관련없는 서버와의 접근통제 원칙이 적용되지 않았음>
정보시스템 서버접속 시에는 반드시 서버 접근통제 솔루션을 사용하지만, 서버 투(To) 서버에 대한 접근통제 원칙이 없거나 적용하지 않는다면 이 역시 미흡사례가 됩니다.

다음으로 시스템 및 네트워크의 운영·보안 및 관리에 관한 사항의 적정성을 심사하는 기준에 대해 알아보도록 하겠습니다.

-운영·보안 및 관리에 관한 사항-
<본인확인서비스 네트워크 망 분리 현황>
<본인확인서비스와 관련된 정보시스템 모니터링 현황>
<대체수단 부정방지 모니터링 정책>
<시스템 취약점 점검 및 조치이력>
<형상관리시스템 운영 등 소스코드 권한 및 변경관리 현황>
시스템 및 네트워크의 운영·보안 및 관리에 관한 사항의 항목으로 본인확인시스템 보안,
네트워크 및 시스템 안정성 점검, 시스템 취약점 점검, 소프트웨어의 임의변경·삭제 방지 등이 심사 대상입니다.

해당 심사영역에서는

-망 분리현황-
<물리적 망 분리/논리적 망 분리>
<망 분리 대상자 현행화>
첫째, 본인확인서비스와 관련된 네트워크, 서버 및 주요 개인정보취급자 PC의 망분리 현황, 재택근무 등 원격근무 시 보안정책을 심사합니다.

-모니터링 시스템-
<본인확인서비스 지속적 확인>
<장애 처리 프로세스>
둘째, 본인확인서비스의 365일 * 24시간 지속적 서비스 제공을 위한 주요 프로그램, 프로세스, 데몬 등을 모니터링하는 솔루션 및 운영체계를 심사합니다.

-대체수단 부정방지정책 및 시스템-

셋째, 본인확인서비스의 대체수단 부정사용 여부에 대한 부정방지정책(FDS시스템) 및 이상행위에 대한 모니터링 여부를 심사합니다.

-시스템 취약점 점검-
<주요 정보통신기반시설 취약점 점검>
<모의해킹 결과 보고서>
넷째, 주요 정보통신 기반시설 및 전자금융기반시설 보안 취약점 점검 활동 여부와 실제 조치완료한 항목을 심사합니다.

-SW 개발 라이스사이클 관리-
<형상관리, 배포관리 솔루션>
<안드로이드 및 IOS APP 배포 절차>
다섯째, 본인확인서비스 관련 소스 코드 보안을 위한 형상관리, 버전관리, 배포관리 등 소프트웨어 개발과관련된 라이프사이클을 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
본인확인업무 관련 망 분리 대상자 리스트, 망 분리 현황 네트워크 구성도, 원격근무 보안 정책,
WEB, WAS(AP 포함), EAI, ESB, FEP, DBMS, 컨테이너 등 본인확인서비스 프로그램 모니터링 현황,
FDS(부정방지솔루션) 정책 및 이상행위 분석 여부,
시스템 취약점 점검 완료보고서, 모의해킹 결과보고서, 취약점 위험수용 시 CISO 승인 문서,
운영체제, DBMS별 EoS(End of Service), EoL 관리 목록, 오픈소스 주요 CVE 취약점 패치 이력,
소스코드 형상관리(Git 계열 포함), 배포관리, 버전관리, 주요 레파지토리 권한 부여 현황,
시큐어코딩 솔루션에 적용되는 보안정책(KISA의 49가지 원칙,OWASP TOP10등),
네이티브앱(Native APP, 안드로이드, IOS) 통합IDE툴 버전관리,
난독화 솔루션 적용여부 및 APK, IPA 빌드 배포 관리등이 있습니다.

현장 실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행되는데요,

-시스템 취약점 점검 관련 담당자-
*네트워크 관리자, 서버 운영자, 서버 개발자, 안드로이드 개발자, ios개발자
대상 담당자는 정보보안담당자, 취약점 수행 및 조치완료 담당자, 모의해킹 담당자(기관에서 직접 수행 시), 서버 운영 및 FDS 담당자,
서버 개발자와 안드로이드, IOS 앱 개발자가 있습니다.
인터뷰 및 현장점검은 담당자에게 망 분리 대상과 적용된 망 분리 현황 설명,
원격근무 절차 및 적용되는 보안정책, 본인확인서비스 모니터링 정책과 장애 처리 프로세스,
부정방지시스템(FDS)을 통한 이상행위 분석 여부,
주요 정보통신 기반시설 및 전자금융기반시설 보안 취약점 점검 증적과 위험수용 CISO 승인이력,
본인확인서비스와 관련된 서버 사이드 개발,
클라이언트 개발 시 보안 정책 및 시큐어코딩 정책 등의 자료 및 설명을 요청하고
담당자 인터뷰 진행 후, 요청받은 자료와 지침을 근거로 실제 현장점검을 수행합니다.

이 영역에서 가장 중요한 시스템 취약점 점검과 안드로이드 및 IOS 앱 보안 관련에 대하여 구체적으로 알아보겠습니다.

본인확인서비스 관련 필수 취약점 제거 항목 중 CISO 위험수용 승인없이 임의적인 취약점 미 조치 항목이 존재함
본인확인기관 심사 시 시스템 취약점 점검은 정보통신기반보호법 기준인 주요 정보통신 기반시설 취약점 점검 항목을 우선으로 합니다.
따라서, 주요 정보통신 기반시설 취약점 점검 항목 중 ‘상＇에 관련된 항목을
CISO 위험수용 승인없이 임의적으로 미조치한 경우는 미흡사항으로 처리됩니다.

다른 예로, 정보통신기반 보호법이 아닌 전자금융거래법이 우선 적용되어 전자금융감독규정 준수가 필수인 기관은
전자금융기반시설 보안 취약점 점검 이력과 주요 정보통신 기반시설 취약점 점검 이력 등
2가지 모두를 수행해야 하고 이에 대한 근거가 제시되어야 합니다.

<미흡사례 예시>
-본인확인서비스를 위한 안드로이드 App에 난독화 솔루션이 미 적용되어, 소스코드 리버스엔지니어링이 가능함
본인확인서비스를 위한 별도의 네이티브앱(Native APP)이 존재하는 경우,
안드로이드 기준 난독화 솔루션이 적용되지 않은 경우, 앱 소스 코드 검증 가이드라인에 따라 미흡사례가 됩니다.

이번 차시는 정보통신망 침해행의 방지에 관한 사항의 적정성을 심사하는 기준과 시스템 및 네트워크의 운영·보안 및 관리에 관한 사항의 적정성을 심사하는 기준에 대해 알아보았습니다.

감사합니다.

-한국인터넷진흥원-