본인확인 지원포털

본인확인기관 지정정기심사
1장 물리적·기술적·관리적 조치계획
긴급상황 및 비상상태의 대응에 관한 사항 편

안녕하세요.
이번 차시에는 긴급상황 및 비상상태의 대응에 관한 사항 적정성을 심사하는 기준에 대해 알아보도록 하겠습니다.

-심사대상-
먼저, 비상계획 및 재난복구절차의 적정성을 심사하는 항목으로
본인확인서비스가 포함된 업무 연속성 계획(BCP)의 적정성,
본인확인서비스에 대한 IT재해복구 체계의 적정성,
본인확인서비스에 대한 적절한 복구 목표시간 및 복구 목표시점 수립 여부,
본인확인서비스에 대한 IT재해복구 훈련 시행 여부 등이 심사 대상입니다.

해당 심사영역에서는

-비상계획 및 재난복구 절차-
첫째, 본인확인서비스가 포함된 업무 연속성 계획 및 IT재해복구 체계가 적절하게 구축되었는지 심사합니다.
* 본인확인서비스가 포함된 업무 연속성 계획이 수립되어야 함
* 재해상황 시 본인확인서비스 IT 정보시스템을 복구할 수 있는 구체적인 절차 등이 마련되어야 함

-복구 목표-
둘째, 본인확인서비스에 대한 복구 목표시간 및 복구 목표시점이 적절한지 심사합니다.
* 본인확인서비스에 대한 적절한 복구 목표시간(RTO)및 복구 목표시점(RPO)을 정의해야 함

-IT 재해복구 모의훈련
셋째, 업무 연속성 계획(BCP) 및 IT재해복구 정책에 따라 재해복구 모의훈련을 수행하고 개선사항을 도출하는지 심사합니다.
* 본인확인서비스 대상 IT재해복구 모의훈련은 매년 다양한 재해상황을 가정하여 수행하고, 도출된 개선사항을
차년도 훈련에 반영하도록 한다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
본인확인서비스가 반영된 업무 연속성 계획(BCP),
IT재해복구 관련 정책 및 지침,
복구 목표시간 및 복구 목표시점 산정 근거,
IT재해복구 시 비상 대응 조직도 및 비상 연락망 현황,
본인확인서비스 관련 정보시스템 정기점검 보고서(월간 보고서 등),
IT재해복구 모의훈련 계획서 및 시행 결과 보고서 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행되는데요,
대상 담당자는 업무 연속성 계획 담당자, IT재해복구 담당자가 있습니다.
인터뷰에서는 담당자에게
본인확인서비스가 포함된 업무 연속성 계획(BCP) 관련 설명,
본인확인서비스에 대한 서비스 운영 수준(고가용성 구성, DR 구축 등) 설명,
복구 목표시간(RTO), 복구 목표시점 산정 근거 관련 설명,
본인확인 관련 정보시스템에 대한 월간 정기점검 현황 설명,
IT재해복구 모의훈련 시행 계획 및 결과 관련 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

현장실사에서는 장애 및 재해발생에 효과적으로 대처할 수 있는 비상계획 및 재난복구절차 구축하고 있는지 여부를 심사하기 위해

-현장실사 증적자료-
본인확인서비스 핵심 설비의 고가용성 구성 및 DR운영 현황,
복구 우선순위에 부합되게 가용성 확보조치가 적용되었는지 여부,
복구 목표시간(RTO), 복구 목표시점(RPO)의 달성 가능성 검증,
본인확인 정보시스템에 대한 백업 스케줄 및 수행 결과현황 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 2가지를 짚어보고 넘어가도록 하겠습니다
첫번째 미흡사례로는,
업무 연속성 계획 또는 IT재해복구 지침 등에 본인확인서비스에 대한 복구 목표시간, 복구 목표시점을 산정하지 않은 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
본인확인서비스 대상 데이터베이스의 백업정책이
조직에서 정의한 복구 목표시점을 달성할 수 없는 상태로 운영되고 있는 문제점이 확인된 사례가 있습니다.

-백업 및 복구계획의 적정성-
다음은 백업 및 복구계획의 적정성을 심사하는 항목으로
본인확인서비스 관련 운영데이터, 소프트웨어, 정보시스템 등에 대한 백업 및 복구 계획 수립의 적절성,
본인확인서비스 관련 백업대상, 백업주기, 백업방법 등의 적절성,
본인확인서비스 관련 정보시스템 복구 테스트 시나리오 및 수행 결과,
재난에 대비하여 백업 매체를 소산하는 등의 추가적인 보안대책 마련 여부 등이 심사 대상입니다.
해당 심사영역에서는

-백업 및 복구 정책-
첫째, 본인확인서비스 관련 운영데이터, 소프트웨어, 정보시스템 등에 대한 백업 및 복구정책이 적절하게 수립되었는지 심사합니다.
* 조직의 목표가 반영된 백업 정책 및 복구 정책이 수립되어야 함

-복구 테스트 결과-
둘째, 본인확인서비스 관련 백업 절차의 적절성 및 복구 테스트 결과가 조직의 복구 목표시간(RTO) 및 복구 목표시점(RPO)에 부합하는지 심사합니다.
* 실제 운영중인 백업스케쥴에 따라 생성된 백업본을 대상으로 복구 테스트를 수행하고 해당 결과는 조직의 복구 목표시점에 부합해야 함

-백업본의 소산-
셋째, 재난에 대비하여 백업 매체를 소산하는 등의 추가적인 보안대책을 마련하고 있는지 심사합니다.
* 소산장소는 주)사이트와 동일 재난 노출범위(예 : 동일 지진대)를 벗어난 거리에 위치한 장소를 권장

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
본인확인서비스 관련 백업 및 복구 정책, 지침, 절차 문서,
본인확인서비스에 대한 복구 목표시간, 복구 목표시점 정의 자료,
본인확인서비스 관련 복구 테스트 작업 계획서 및 결과 보고서,
소산 백업 운영 현황 및 미디어 보관 장소 확인(현장 사진 등),
(통합)백업도구에 반영된 실제 백업 스케줄 현황표(또는 스크린샷) 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행되는데요,
대상 담당자는 백업 담당자, IT재해복구 담당자가 있습니다.
인터뷰에서는 담당자에게
본인확인서비스 관련 백업 및 복구계획 관련 내용 설명,
복구 목표시간(RTO), 복구 목표시점(RPO) 산정 근거 관련 설명,
최근 수행된 복구 테스트 시나리오 및 결과 관련 설명,
백업도구 운영 및 유지보수 관련 설명,
백업 매체 소산 등 추가적인 보안대책 관련 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

현장실사 증적자료
현장실사에서는 백업 및 복구계획이 적절하게 수립되었는지 여부를 심사하기 위해
백업(운영체제, 데이터베이스, 파일시스템)을 수행하는 백업솔루션에 적용된 백업 정책 현황,
최근 복구 테스트 결과가 조직의 복구 목표시간(RTO), 복구 목표시점(RPO)에 부합하는지 여부,
소산 백업 운영 현황 및 미디어 보관 장소 확인(현장 사진 등) 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 2가지를 짚어보고 넘어가도록 하겠습니다
첫번째 미흡사례로는,
본인확인서비스 관련 백업 대상, 백업 주기, 백업 절차, 복구절차 등이 포함된 백업 관련 정책 및 지침이 수립되지 않은 문제점이 확인된 사례가 있습니다.
- 백업정책
* 구체적인 백업대상, 백업주기, 백업방법, 복구 방법 등이 포함되어야 함
두번째 미흡사례로는,
백업정책에 따라 백업은 수행되고 있으나 복구정책에 근거하여 정기적으로 수행되어야 할 복구 테스트를 수년간 수행하지 않은 문제점이 확인된 사례가 있습니다.
- 백업정책
* 복구 테스트는 관련 지침 내 수행주기에 맞춰 정기적으로 수행하고 도출된 개선사항을 차기 훈련에 반영해야 함

-연계정보 비상대응 심사대상-
다음은 연계정보 비상대응의 적정성을 심사하는 항목으로
본인확인 연계정보(CI)에 대한 정당한 생성 절차 수립 여부,
본인확인 연계정보(CI) 생성을 위한 소스코드와 비밀정보에 대한 안전한 관리 및 접근통제 수행 여부,
본인확인 연계정보 생성 알고리즘에 입력되는 한국인터넷진흥원과 공유하는 비밀정보에 대한 안전한 암호화 수행 여부,
본인확인 연계정보 생성이 가능한 SW모듈을 외부환경으로 반출 시 안전한 방법 및 정보보호 최고책임자의 승인하에 수행되는지 여부,
인터페이스 전문 규격에 본인확인 연계정보 CI1 필드 외에 CI2 필드도 반영하고 있는지 여부,
연계정보(CI) 생성 알고리즘에 사용되는 KEY 노출 시 대응 절차 수립여부 등이 심사 대상입니다.

해당 심사영역 에서는
첫째, 연계정보 처리절차가 적절한지 심사합니다.
본인확인 연계정보(CI)에 대한 정당한 생성 절차 수립·운영 여부.
* 본인확인 연계정보에 대한 정당한 생성 절차를 수립하여야 함
* 요청 및 제공에 대한 정당성 확인 필수
둘째, 연계정보 생성 알고리즘 관리 절차가 적절한지 심사합니다.
- 연계정보 생성 알고리즘 관리
* 접근통제 수행, 안전한 암호화 적용, 외부 반출 시 보호대책을 반드시 마련해야 함
본인확인 연계정보(CI) 생성을 위한 소스코드와 비밀정보에 대한 안전한 관리 및 접근통제 수행 여부,
본인확인 연계정보 생성 알고리즘에 입력되는 한국인터넷진흥원과 공유하는 비밀정보에 대한 안전한 암호화수행 여부,
본인확인 연계정보 생성이 가능한 SW모듈을 외부환경으로 반출 시 안전한 방법 및 정보보호 최고책임자의 승인하에 수행되는지 여부.
셋째, 연계정보 생성 비상대응 절차가 적절한지 심사합니다.
인터페이스 전문 규격에 본인확인 연계정보 CI1 필드 외에 CI2 필드도 반영하고 있는지 여부,
연계정보(CI) 생성 알고리즘에 사용되는 KEY 노출 시 대응 절차 수립 여부.
* KEY 노출에 따른 비상 대응이 가능하도록 연계정보가 포함된 관련 전문 및 모듈에 예비 CI필드를 반영해야 함

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
본인확인 연계정보 생성모듈에 대한 보안관리 기준,
본인확인 연계정보 생성모듈 접근통제 정책,
본인확인 연계정보 생성 SW 모듈 반출 및 승인 이력,
본인확인 연계정보 생성 알고리즘 및 키(KEY) 보안관리 현황,
연계정보 제공 관련 전체 인터페이스 전문 규격서,
연계정보 생성 암호키 노출 시 대응 절차서 및 훈련 시나리오 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행되는데요,
대상 담당자는 대·내외 인터페이스 담당자, 암호키 담당자, 본인확인서비스 개발자가 있습니다.
인터뷰에서는 담당자에게 인터페이스 전문 적용 현황 및 인터페이스별 로깅 수준 설정 관련 설명,
전문 통신 로그에 대한 파기 정책 적용 및 백업 관련 설명,
암호키에 대한 보호대책 관련 설명(접근통제 정책 등),
연계정보 생성, 제공 관련 로직 구현부 소스코드에 대한 설명,
암호키 노출에 따른 비상 대응 훈련 시나리오(조직구성, 책임과 역할 등) 관련 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하시는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 연계정보 비상대응 절차가 적절한지 여부를 심사하기 위해
본인확인 연계정보 생성 모듈 소스코드 점검,
인터페이스 전문 통신 시 실제 반영된 규격 점검,
전문통신에 따른 통신 로깅(File로그, DB로그) 점검,
본인확인 연계정보 생성 모듈에 사용된 암호화 알고리즘 확인,
본인확인 연계정보 생성 SW 모듈 반출 대장 및 승인 현황 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 2가지를 짚어보고 넘어가도록 하겠습니다
첫번째 미흡사례로는,
-바상대응 절차 미흡
* 본인확인 연계정보(CI)생성 알고리즘의 암호키 노출 상황을 가정한 비상 대응 절차를 수립해야 함
본인확인 연계정보(CI) 생성 알고리즘에 사용되는 KEY 노출 시 비상대응 절차를 수립하여야 하나
이에 대한 대응 절차를 수립하지 않은 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
-인터페이스 전문 현행화 미흡- * 비상 상황을 대비한 Cl2 필드가 반영된 최신 인터페이스 전문을 적용해야 함
암호키 노출 등 비상 상황에 대비하여 CI2 필드로 전환할 수 있도록 준비하여야 하나 구 버전의 인터페이스 전문을 사용하고 있어 이에 대한 대비가 되어있지 않은 문제점이 확인된 사례가 있습니다.

-회선장애대응의 적정성 심사대상-
다음은 회선 장애대응의 적정성을 심사하는 항목으로
본인확인서비스에 대한 네트워크 모니터링 및 장애대응 체계 관련 현황,
네트워크 회선 이중화 구성 관련 현황,
본인확인서비스 응용프로그램 수준에서의 페일 오버(Fail-Over) 기능 구현 여부 등이 심사 대상입니다.

해당 심사영역에서는
첫째, 본인확인서비스 네트워크에 대한 모니터링 및 장애 대응 정책이 적절하게 수립되었는지 심사합니다.
- 네트워크 모니터링 시스템(NMS, MRTG 등)을 통하여 지속적으로 모니터링 및 대응 권장
둘째, 본인확인서비스 네트워크의 회선 이중화 구성이 적절한지 심사합니다.
- 본인확인서비스 네트워크는 물리적으로 회선 이중화 구성을 해야 함
셋째, 본인확인서비스 응용프로그램 수준에서의 페일 오버(Fail-Over) 기능 구현이 적절한지 심사합니다.
- 본인확인서비스 회선 장애 시 응용수준에서 적시에 Fail-Over 되도록 구현하여야 함 또는 Active-Active 구성도 가능

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
본인확인서비스 전체 네트워크 구성도,
본인확인서비스 네트워크 장비 콘피그(Config) 파일,
본인확인서비스 네트워크 모니터링 현황 및 장애처리 보고서,
본인확인서비스 페일 오버(Fail-Over) 기능 구현부(소스코드 등) 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행되는데요,
대상 담당자는 네트워크 담당자, 본인확인서비스 개발자가 있습니다.
인터뷰에서는 담당자에게
네트워크 구성 및 운영 전반 관련 내용 설명,
네트워크 장애 대응 모니터링 및 장애조치 현황 설명,
본인확인서비스 회선 이중화 구성 관련 설명,
본인확인서비스 응용프로그램 수준에서 페일 오버(Fail-Over) 구현 로직 관련 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하시는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 회선장애 대응절차가 적절한지 여부를 심사하기 위해
본인확인서비스 관련 네트워크 장비(L4/L3스위치, 라우터 등) 콘피그(Config) 점검,
물리회선 이중화 및 관련 장비 구성 현황,
네트워크 구성도와 실제 구현된 네트워크 아키텍처 일치 여부 확인,
본인확인서비스 페일 오버(Fail-Over) 기능 구현부(소스코드 등) 점검,
네트워크 장비 접근통제 및 유지보수 현황 확인,
본인확인서비스 네트워크 모니터링 및 장애처리 현황 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 2가지를 짚어보고 넘어가도록 하겠습니다
첫번째 미흡사례로는, 본인확인서비스 회선을 이중화 하지 아니하고
단일 ISP의 회선만으로 서비스를 제공하는 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
본인확인서비스 네트워크는 이중화 구성이 되어 있었지만 주 네트워크 장애 발생 시
본인확인서비스 응용프로그램이 정상적으로 페일 오버(Fail-Over) 동작을 하지 않아
본인확인 업무가 일시적으로 중단되는 문제점이 확인된 사례가 있습니다.
이번 차시는 비상계획 및 재난복구절차의 적정성을 심사하는 기준에 대해 알아봤습니다.

감사합니다.

-한국인터넷진흥원-