④ 네트워크 접근 통제
접근 통제 정책에 따라 인가된 사용자만이 네트워크에 접근할 수 있도록 “IP주소(IP Address)”를 할당하여야 하며, “네트워크 구성 변경” 시에는 “변경 관리 절차”에 따라 “보안성”을 검토하고 승인받아야 한다. 또한 “내부망”의 “네트워크 IP주소 체계”는 외부에 유출 시 안전한 “국제표준”에 의거한 “사설 IP주소 대역”을 사용하고, “법적 요구사항”, “정보자산의 중요도”에 따라 네트워크 영역을 “물리적” 또는 “논리적”으로 분리하여야 한다. 물리적으로 떨어진 “IDC 센터”, “지점”, “지사” 등과의 네트워크 연결은 안전한 “전용회선”이나 “VPN(Virtual Private Network” 등을 사용하여야 한다.
관련표준 및 지침
| K-ISMS | 10.4.1 네트워크 접근 |
| ISO/IEC 27002:2013 | A.9.1.2 Access to networks and network services |
| NIST SP 800-53 | AC-6, IA-2, SC-7 |
⑤ 서버 접근 통제
서버 별로 “접근이 허용된 사용자”만이 “안전한 접근수단”을 이용하여 접근하여야 하며, 서버에 접속 후 “일정한 시간 동안” 사용이 없으면 “연결을 자동으로 종료”하여야 한다. 사용하지 않은 “서비스”나 “포트(Port)”는 침해사고 예방을 위하여 “제거” 혹은 “차단”되어야 하며 모든 서버의 접근 기록 및 사용 기록은 기록되고 보존되어야 한다. “중요 서버”는 “독립된 서버”로 구성하여 다른 서버와 서비스 및 하드웨어 공유 시 가용성에 침해당하지 않도록 하여야 하며, 외부의 침해에 따른 보안 요구사항을 만족하여야 한다.
관련표준 및 지침
| K-ISMS | 10.4.2 서버 접근 |
| ISO/IEC 27002:2013 | A.9.4.1 Information access restriction A.9.4.2 Secure log-on procedures A.9.4.4 Use of privileged utility programs |
| NIST SP 800-53 | AC-1, AC-3, AC-6, AC-22, AC-24 AC-7, AC-8, AC-9, IA-2, IA-5, IA-6, IA-8 AC-3, AC-6, AU-2, SC-2 |
⑥ 응용프로그램 통제
응용프로그램은 사용자의 “업무 및 역할”에 따라 접근권한을 부여하여야 하며, 개인정보와 같은 “중요정보”의 유출을 “최소화”하도록 응용프로그램을 개발하여야 한다. 또한 사용자의 응용프로그램 “동시” 접속 수를 제한하고, “일정 시간 동안” 사용하지 않는 사용자는 “세션(Session)”을 자동으로 종료하여야 하며, “관리자 전용 응용프로그램”은 관리자만 사용할 수 있도록 별도의 통제 장치를 마련하여야 한다.
관련표준 및 지침
| K-ISMS | 10.4.3 응용 프로그램 접근 |
| ISO/IEC 27002:2013 | A.9.4.1 Information access restriction A.9.4.2 Secure log-on procedures A.9.4.4 Use of privileged utility programs |
| NIST SP 800-53 | AC-1, AC-3, AC-6, AC-22, AC-24 AC-7, AC-8, AC-9, IA-2, IA-5, IA-6, IA-8 AC-3, AC-6, AU-2, SC-2 |
⑦ 데이터베이스 접근 통제
데이터베이스 접근 통제는 “데이터베이스 관리자(DBA)”와 “사용자”의 업무에 따른 “접근 정책”을 수립 및 수행하여야 하며, 개인정보를 포함한 “중요정보”를 저장하고 있는 데이터베이스는 별도의 “네트워크로 분리”하여 저장하여야 하고 “업무상 취급 권한”이 있는 자만이 “접근하도록 제한”하여야 한다. 또한 “데이터베이스 관리자(DBA)”만이 “데이터베이스 시스템(DBMS)”을 관리하여야 하며, 사용하지 않은 “데이터베이스 계정”은 “삭제” 또는 “접근”이 불가능하도록 조처를 해야 한다. 데이터베이스의 “접근내역” 및 사용내역은 기록하고 최소 “월 1회 이상” 주기적으로 “검토”하여야 한다.
관련표준 및 지침
| K-ISMS | 10.4.4 데이터 베이스 접근 |
| ISO/IEC 27002:2013 | A.9.4.1 Information access restriction A.9.4.2 Secure log-on procedures A.9.4.4 Use of privileged utility programs |
| NIST SP 800-53 | AC-1, AC-3, AC-6, AC-22, AC-24 AC-7, AC-8, AC-9, IA-2, IA-5, IA-6, IA-8 AC-3, AC-6, AU-2, SC-2 |
⑧ 모바일 기기 접근 통제
“모바일 기기”를 업무 목적으로 사용하는 경우 “모바일 기기 보안 통제 정책”을 수립하고 시행하여야 하며, “사용 범위”를 명확히 정의하고 사전 “승인 절차”를 거쳐야 한다. 또한 모바일 기기의 오남용 여부를 파악할 수 있도록 “모바일기기 정보”를 등록하고 “모니터링”하여야 한다.
관련표준 및 지침
| K-ISMS | 10.4.5 모바일 기기 접근 |
| ISO/IEC 27002:2013 | A.9.4.1 Information access restriction A.9.4.2 Secure log-on procedures A.9.4.4 Use of privileged utility programs |
| NIST SP 800-53 | AC-1, AC-3, AC-6, AC-22, AC-24 AC-7, AC-8, AC-9, IA-2, IA-5, IA-6, IA-8 AC-3, AC-6, AU-2, SC-2 |
⑨ 인터넷 접속 통제
개인정보를 포함한 중요정보를 취급하는 내부자는 “인터넷 접속”을 “제한”하거나 “차단”하여야 하며, “내부 서버”에서의 인터넷 접속은 차단하여야 한다. 인터넷 접속은 “침입 차단 시스템(Firewall)” , “침입탐지시스템(IDS: Intrusion Detection System)”을 통하여 통제 가능하며, 인터넷 네트워크와 업무용 네트워크를 물리적·논리적으로 “분리”하여 통제할 수 있다. 또한, 모든 내부자의 “업무용 PC”에서 외부로부터 “악성코드 유입”을 방지하기 위하여 “유해사이트” 등의 접속을 차단하여야 한다.
관련표준 및 지침
| K-ISMS | 10.4.6 인터넷 접속 |
| ISO/IEC 27002:2013 | N/A |
| NIST SP 800-53 | N/A |
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 예방(10) (0) | 2022.07.25 |
|---|---|
| 단계별 내부통제항목 - 예방(9) (0) | 2022.07.24 |
| 단계별 내부통제항목 - 예방(7) (0) | 2022.07.22 |
| 단계별 내부통제항목 - 예방(6) (0) | 2022.07.21 |
| 단계별 내부통제항목 - 예방(5) (0) | 2022.07.20 |
댓글