취약점 점검에 대해 규정하는 법률 및 국내/외 제도

, , , , , ,

안녕하세요. 본 포스팅에서는 '취약점 점검’에 대해 규정하는 법률 및 국내/외 제도를 정리 해보도록 하겠습니다.

본 포스팅의 목적은 독자가 속해있는 기업이 1) 취약점 점검을 수행해야 하는지, 혹은 2) 어떤 법/제도에 의해 취약점 점검을 수행해야 하는지, 3) 취약점 점검을 강제하는 규정이 어떤것이 있는지에 대한 궁금증을 해소하는데에 있습니다. 

우선 취약점 점검을 강제하는 법률 및 국내/외 제도는 아래와 같이 5가지로 분류됩니다.

1) 정보통신기반보호법
2) 정보통신망법 이용촉진 및 정보보호 등에 관한 법률
3) 전자금융감독규정
4) ISMS (Information Security Management System)
5) ISO 27001:2013

하나씩 자세히 알아보겠습니다. 



1. 정보통신기반보호법


1-1. 세부 규정

<제9조 (취약점의 분석/평가) - 출처. 법제처 공식 홈페이지>

1-2 상세 내용

위 법령에서 정의한 [취약점 분석/평가]는 453개의 관리적/물리적/기술적 점검 항목에 대한 취약여부를 점검하고 모의해킹, 침투테스트 등을 수행하는 종합적인 위험진단입니다.
  
해당 [취약점 분석/평가] 중 기술적 점검은, 시스템에 대한 실제 보안값 설정에 관한 것으로 각 시스템에 대한 명령어 코드(Command),  메뉴 구성(UI)과 같은 기술적인 사항을 알아야만 가능하기에, 주요정보통신기반시설 담당자들이 어려움을 느낄 수 있습니다. 이에 안행부는 전체 313개 기술적 점검항목에 대한 점검방법 및 조치방법 및 상세 매뉴얼을 개발하였습니다.
[참고 - 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세 가이드]


1-3 [취약점 분석 / 평가 ] 수행 주체 및 주기

  • 수행 주체
    • 주요정보통신기반시설의 관리기관이 직접 수행할 경우 자체 전담반을 구성하여 운영
    • 관리기관이 외부기관에게 위탁할 경우, 지식정보보안 컨설팅전문업체 등 전문기관에 위탁 수행

  • 수행 주기
    • 1) 주요정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에 취약점 분석 / 평가를 실시
      • 6개월 이내 취약점 분석.평가를 수행치 못할 경우 관할 중앙행정 기관의 장의 승인을 얻어 3개월 연장가능(총9개월)
      • 주요정보통신기반시설로 최초 지정일로 부터 6개월 이전 취약점 분석.평가를 하였을 경우 수행한 것으로 간주
    • 2) 매년 정기적으로 취약점 분석 / 평가 실시

취약점 분석.평가 수행시, 가용자원과 대상시설 식별, 자산 중요도 산정 및 해당 시스템 대한 정밀분석을 실시해야 하며, 만약 취약점 분석.평가 대상시설에 중대한 변화가 있거나, 관리기관의 장이 필요하다고 판단하는 경우에는 1년이 되지않아도 취약점 분석·평가를 실시할 수 있습니다. 


2. 정보통신망법 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)

<제47조(이용자의 정보보호) - 출처. 법제처 공식 홈페이지>


3. 전자금융감독규정

전자금융감독규정 제15조(해킹 등 방지대책) 및 제17조(홈페이지 등 공개용 웹서버 방지대책), '금융IT부문 보호업무 모범규준' 에 의거 금융회사 등은 주기적으로 취약점 분석 / 평가를 실시하도록 하고 있습니다.

<제15조 (해킹 등 방지 대책) - 출처. 법제처 공식 홈페이지>

<제17조 (홈페이지 등 공개용 웹서버 관리대책) - 출처. 법제처 공식 홈페이지>


또한 취약점 분석/평가 범위가 확대되어, 금융회사등은 전자금융감독규정 제37조의2의 규정에 따라 전자금융기반시설에 대한 취약점 분석/평가를 실시할 때 전자금융기반시설에 포함되지 않는 ‘비 금융 전산시스템’에 대한 침해사고가 전자금융기반시설로 전파될 가능성이 있는 경우, 해당 비 금융전산시스템을 취약점 분석/대상에 포함되도록 하고 있습니다. 

즉, 금융회사등은 非금융 전산시스템에 대한 침해사고가 전자금융기 시설로 전파되는 것을 사전에 예방하기 위해 非금융 전산시스템에 대해 주기적으로 취약점 점검을 시행하도록 노력하여야 합니다. 
[참고 - 금융회사 정보기술(IT) 부문 보호업무 이행지침]

4. 정보보호관리체계 (이하 ISMS)

ISMS는 조직의 자산에 대한 안전성 및 신뢰성을 향상시키기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적인 관리/운영을 통하여 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현하기 위한 일련의 과정 및 활동을 말합니다.

ISMS에서는 아래와 같은 항목에서 취약점 점검을 요구하고 있습니다.
(전체 104개 통제항목 중 4개 통제항목)

4-1. [관리과정 - 3. 위험관리 - 3.2 위험 식별 및 평가]
  • 통제내용 : 위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하여 관리하여야 한다
  • 점검항목 : 정보보호 관리체계 인증범위 내의 정보시스템 자산에 대해 취약점 점검을 통한 기술적 위험을 식별하고 있는가?
  • 설명 : 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.

4-2. [8. 시스템 개발 보안 -  8.2  구현 및 이관 보안 - 8.2.1 구현 및 시험]
  • 통제내용 : 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.
  • 설명 : 코딩 완료 후 안전한 코딩 표준 및 규약 준수 여부를 점검하고 기술적 보안 취약점이 존재하는 지 확인하여 취약점 발견 시 재코딩을 하여야 한다.
  • 시스템이 안전한 코딩표준에 따라 구현하는 지 소스코드 검증 (소스코드 검증도구 활용 등)
  • 코딩이 완료된 프로그램은 운영환경과 동일한 환경에서 취약점 점검도구 또는 모의진단을 통한 취약점 노출 여부를 점검

4-3. [11.2  시스템 및 서비스 운영 보안 11.2.8  공개서버 보안]
  • 통제내용 : 웹사이트 등에 정보를 공개하는 경우 정보 수집, 저장, 공개에 따른 허가 및 게시절차를 수립하고 공개서버에 대한 물리적, 기술적 보호대책을 수립하여야 한다.
  • 점검항목 (1/2) : 공개서버의 취약점 점검을 주기적으로 수행하고 발견된 취약점을 조치하고 있는가?
  • 설명 : 웹서버의 경우 최소한 OWASP TOP 10 웹취약점은 기본적으로 점검하여 취약점이 발견된 경우 신속하게 조치를 하여야 한다. (인증기준 11.2.10 취약점 점검 참고)
  • 참고 : 전자금융거래법 '전자금융감독규정(고시)' 제17조(홈페이지 등 공개용 웹서버 관리대책) /웹서버구축 보안점검 안내서 (KISA)

  • 점검항목 (2/2) : 웹서버 등 공개 서버를 운영하는 경우 이에 대한 보호대책을 마련하고 있는가?
  • 설명 : 공개서버(웹서버, 메일서버 등)를 운영하는 경우 다음과 같은 보호대책을 마련하여야 한다.
    • 공개서버 전용서버로 운영
    • 웹서버를 통한 개인정보 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축
    • 접근권한 설정
    • 백신설치 및 OS 최신 패치
    • 불필요한 서비스 제거 및 포트 차단
    • 불필요한 소프트웨어 ∙ 스크립트 ∙ 실행파일 등 설치 금지 등
    • 불필요한 페이지(테스트 페이지) 및 에러처리 미흡에 따른 시스템 정보 노출 방지
    • 주기적인 취약점 점검 등

4-4 [11.2 시스템 및 서비스 운영 보안 - 11.2.10 취약점 점검]
  • 통제내용 : 정보시스템이 알려진 취약점에 노출되어 있는 지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치하여야 한다.
  • 점검항목 : 정보시스템 취약점 점검 절차를 수립하여 정기적으로 점검을 수행하고 있는가?
  • 설명
    • 정보시스템 취약점 점검 정책과 절차를 다음과 같은 내용을 포함하여 수립하여야 한다.
      • 취약점 점검 대상 (예 : 서버, 네트워크 장비 등)
      • 취약점 점검 주기
      • 취약점 점검 담당자 및 책임자 지정
      • 취약점 점검 절차 및 방법 등

    • 정보시스템 중요도에 따라 주기적으로 다음과 같은 내용을 포함하여 취약점 점검을 실시하여야 한다.
      • 라우터, 스위치 등 네트워크 장비 구성, 설정 취약점
      • 서버 OS, 보안 설정 취약점
      • 방화벽 등 정보보호시스템 취약점
      • 어플리케이션 취약점
      • 웹서비스 취약점
      • 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점

    • 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려하여야 한다.
    • 취약점 점검 시 이력관리가 될 수 있도록 '점검일시', '점검대상', '점검방법', '점검내용 및 결과', '발견사항', ' 조치사항' 등이 포함된 보고서를 작성하여야 한다.
  • 점검항목  : 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?
    • 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치결과를 문서화하여야 하며 조치결과서를 작성하여 책임자에게 보고하여야 한다.
    • 불가피하게 조치를 할 수 없는 취약점의 경우 그 사유를 명확하게 확인하고 책임자에게 보고하여야 한다.

자세히 기재하니 내용이 복잡해 보이네요. 
간단히 요약하면 ISMS 적용 대상자는 정보보호관리체계 범위 내의 정보시스템을 대상으로 1) 정기적으로 취약점 점검을 수행하고, 2) 웹사이트에 대한 취약점 점검을 수행하고, 3) 발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고해야 합니다. 

5. ISO27001

ISMS는 국내에서 수행 및 적용하는 인증 제도이고, ISO27001은 국제 정보보호인증제도 입니다.
ISO27001에 대한 상세한 설명은 본 포스팅의 목적에 벗어나는 내용이므로 생략하도록 하겠습니다.

ISO 27001에서는 아래의 항목에서 취약점 점검을 요구하고 있습니다.
  • 통제항목 : A.12.6 기술적 취약성 관리 - A.12.6.1 기술적 취약성 관리 
  • 통제 : 조직내에서 사용하고 있는 정보시스템의 기술적 취약점 정보를 정확하고 신속하게 확보하고, 조직은 이러한 취약점에 노출된 사례에 대해 적절하게 평가하고 관련 위험을 해결하기 위한 적절한 조치를 취해야 합니다.
<ISO27001 : 2013 통제항목 - 12.6.1 Management of technical vulnerabilities >








No comments

0 개의 댓글:

댓글 쓰기

피드 구독하기: 댓글 (Atom)

Popular Posts

  • [세계사] 기독교의 동서 분열 - 로마 가톨릭교회와 동방 정교회
    종교에 관심이 많은 것은 아니지만 기독교의 동서 분열은 한번 정리할 가치있다고 생각했다.  기독교의 동서 분열 은 기독교 역사상 11세기에 로마 가톨릭 교회와 동방 정교회가 상호 파문으로 분리된 사실을 말한다. 교회가 동서로 분열된 이유는 교리, ...
  • [세계사] 마그나 카르타 / 권리청원 / 권리장전
    영국에서 발생한  마그나 카르타 / 권리 청원 / 권리 장전 은 헌정사상 가장 중요한 의미를 가지는 의회 제정법이다. 이와 같은 역사가 기반이 되었기 때문에 오늘날 영국이 선진국으로서 세계를 호령하게 되었는지 모르겠다. 훗날 전세계에 영향을 미칠 그들...
Powered by Blogger.