단계별 내부통제항목 - 예방(10)

 

 

④ 네트워크 보안
네트워크 주요 자산에 대한 “목록” 및 “구성도”를 관리하고 “위험 평가”를 통한 내부 네트워크와 외부 네트워크가 “물리적” 또는 “논리적”으로 분리되어야 하며 “내부 네트워크”에서는 “사설 IP 어드레스”를 사용하여 안전한 접근 제어가 이루어져야 한다. “무선네트워크” 구성 시에는 “내부 승인 절차”를 마련하여 비 인가된 무선네트워크 장비를 운용하지 않도록 하며, 무선네트워크를 이용한 정보 송·수신 시에는 “암호화 기준”에 따라 암호화 되어야 한다. 또한 전산센터 등 “통제구역” 내에서는 “무선네트워크 사용을 제한”하여야 한다. 

관련표준 및 지침

K-ISMS	11.2.7 무선네트워크 보안
ISO/IEC 27002:2013	A.13.1.1 Network controls A.13.1.2 Security of network services A.13.1.3 Segregation in networks
NIST SP 800-53	AC-3, AC-17, AC-18, AC-20, CA-3, SC-5, SC-7, SC-8, SC-10 CA-3, SA-9 AC-4, SC-2, SC-7

 

 

⑤ 저장매체 관리
중요정보 유출 방지를 위하여 “휴대용 저장매체 취급 및 관리에 관한 정책 및 절차”를 수립하고 이행하여야 하며, 휴대용 저장매체의 “보유현황” 및 “관리실태”를 “주기적으로 점검”하여야 한다. “통제구역 및 제한구역”에서는 휴대용 저장매체 사용을 “금지”하고 휴대용 저장매체를 통한 “악성코드”에 감염되지 않도록 대책을 마련하여야 한다. 또한 “저장매체 폐기 및 재사용” 시 해당 절차를 수립하고 절차에 따라 “정보가 복구되지 않는 방법”으로 처리하여야 한다. 자체적인 폐기는 “관리대장”을 작성하고 외부 업체를 통해 폐기할 경우에는 폐기 절차를 “계약서”에 명시하고 폐기 증적을 “사진”, “동영상” 등으로 남기고 확인하여야 한다. 

 

관련표준 및 지침

K-ISMS	11.4.1 정보시스템 저장매체 관리 11.4.2 휴대용 저장매체 관리
ISO/IEC 27002:2013	A.8.3.1 Management of removable media A.8.3.2 Disposal of media A.8.3.3 Physical media transfer A.13.2.3 Electronic messaging
NIST SP 800-53	MP-1, MP-4, MP-5, MP-6, MP-7 MP-6 MP-5 AU-10, SC-7, SC-8, SC-44

 

 

⑥ 악성코드 통제
“악성코드”로부터 정보시스템을 보호하기 위하여 “보호 대책”을 수립하고 이행하여야 하며, “백신 프로그램”을 통한 “악성코드 예방”, “탐지 활동”을 지속해서 수행하여야 한다. 또한 악성코드 감염 발견 시 “대응 절차”를 수립하고 시행하여야 한다. 

관련표준 및 지침

K-ISMS	11.5.1 악성코드 통제
ISO/IEC 27002:2013	A.12.2.1 Controls against malware
NIST SP 800-53	AC-19, AT-2, AT-3, CM-11, IR-2, IR-8, MA-3, MP-7, SC-7, SC-42, SI-1, SI-3, SI-5, SI-7

 

 

⑦ 패치 관리
시스템, 운영체제, 소프트웨어 등의 “취약점”으로 발생할 수 있는 “침해사고”를 예방하기 위하여 최신 “패치”를 “정기적으로 적용”하여야 한다. 패치 적용 시 시스템에 미치는 영향을 분석하고 적용하여야 하며, “인터넷 접속을 통한 패치 적용”은 “원칙적으로 금지”하여야 한다. 또한, “패치 관리시스템(PMS: Patch Management System)”을 사용하는 경우에는 “접근통제” 등 충분한 보안대책을 마련하여야 한다. 

관련표준 및 지침

K-ISMS	11.5.2 패치관리
ISO/IEC 27002:2013	N/A
NIST SP 800-53	N/A

 

 

⑧ 소프트웨어 설치 통제
소프트웨어 설치는 “적절한 절차”에 의해서 이루어져야 한다. 설치되는 소프트웨어는 조직 내에서 사전 정의되어야 하고 정의되지 않은 소프트웨어 설치는 원칙적으로 금지하여야 한다. 부득이하게 정의되지 않은 소프트웨어를 설치하는 경우에는 적절한 승인 절차에 의하여 승인 후에 설치되어야 한다. 합법적이고 적절한 소프트웨어 설치에 관해서는 주기적으로 모니터링하여야 한다. 

 

관련표준 및 지침

K-ISMS	N/A
ISO/IEC 27002:2013	A.12.6.2 Restrictions on software installation
NIST SP 800-53	N/A

 

 

[참고]

- 패치는 프로그램의 일부를 빠르게 고치는 일을 말한다(패치라는 용어 대신에 “fix”라는 말을 쓰는 경우도 있다). 소프트웨어 제작자의 베타판이나 시험 기간중 또는 제품이 정식으로 발매된 이후에도 문제(흔히 버그라고 불린다)는 반드시 발견된다. 패치는 사용자에게 제공되는 즉각적인 해결책으로서, 소프트웨어 메이커의 웹 사이트 등으로부터 다운받을 수 있다.
그러나 패치는 그 문제를 위해 반드시 최상의 해결 방안은 아니며, 소프트웨어 개발자들은 종종 더 나은 해결책을 찾아내어 다음에 출시될 정식 버전의 패키지 프로그램에 반영 하고는 한다. 패치는 보통 컴파일된 코드, 즉 바이너리 코드 또는 목적 코드를 대체하거나 추가로 삽입하는 목적으로 개발되고 배포된다. 대형 운영 체체에서는 패치의 설치 내용을 기록, 추적하고, 관리하는 특별한 프로그램이 제공되기도 한다.
[(컴퓨터인터넷IT용어대사전, 전산용어사전편찬위원회)

- 패치 관리시스템(Patch Management System): 소프트웨어의 결함을 보완하기 위하여 개발사가 추가로 내놓은 수정용 소프트웨어를 관리하는 시스템
- 한국인터넷진흥원(2013), “ISMS 인증기준 세부점검항목”, 한국인터넷진흥원
- ISO (2012), “Information technology - Security techniques - Code of practice for information security controls,” ISO.
- Ross, Ronald S (2013), “Security and Privacy Controls for Federal Information Systems and Organizations,”