단계별 내부통제항목 - 탐지 (1)

 

 

탐지(Detection)

1) 물리 보안

① CCTV 설치
“영상정보처리기기 운영 및 관리 방침”을 수립하고 법규에서 요구하는 기준에 따라 출입구 및 보호구역에 CCTV를 설치하고 “비인가자”의 “무단출입”을 통제하여야 한다. 기록된 영상정보는 보안사고 발생 시 비인가자의 무단출입을 탐지하기 위하여 영상정보처리기기 운영, 관리 방침 및 법규에서 명시한 “보관기간” 동안 안전하게 보관하여야 하며, 영상정보가 “분실”, “도난”, “유출”, “변조” 또는 “훼손”되지 않도록 “접근통제” 및 “접근권한” 등의 “제한 조치”를 하여야 한다. 

관련표준 및 지침

K-ISMS	7.1.2 보호설비
ISO/IEC 27002:2013	N/A
NIST SP 800-53	N/A

 

 

2) 시스템 개발 보안
① 로그 기능
정보시스템 설계 시 “감사증적” 등을 확보할 “로그 기능”을 개발하여야 한다. 로그는 “사용자 및 관리자 접속 기록”, “사용자 권한 부여, 변경, 말소 기록”, “정보시스템 시작 및 중지 기록”, “특수 권한으로의 접근 및 사용 기록”, “주요 업무 행위에 대한 로그 기록” 등을 기록할 수 있도록 설계 및 개발하여야 한다. 

관련표준 및 지침

K-ISMS	8.1.3 보안로그 기능
ISO/IEC 27002:2013	N/A
NIST SP 800-53	N/A

 

 

3) 접근통제
① 접근권한 검토
“정보시스템” 및 “중요정보”의 “접근권한”의 적정성 여부를 “정기적”으로 “검토”하여야 한다. 접근권한의 적정성은 “정의된 절차에 따른 접근권한 부여 여부”, “업무별, 역할별 적절한 접근권한 부여 여부”, “접근권한 승인자의 적절성”, “직무 변경 시 적절한 접근권한 부여 여부”, “퇴직, 휴직, 장기 미사용 시의 접근권한 관리 여부” 등을 검토하여야 한다.

관련표준 및 지침

K-ISMS	10.2.3 접근권한 검토
ISO/IEC 27002:2013	A.9.2.5 Review of user access rights
NIST SP 800-53	AC-2

 

 

4) 운영 보안
탐지 단계에서의 “운영 보안”은 정기적인 취약점 점검을 통하여 취약점을 탐지하고 보완하며, 보존된 로그를 “주기적으로 검토”하여 보안사고를 탐지하여야 한다. 또한 중요 자산 보호 및 정보보호를 위하여 연 1회 이상 보안 점검을 시행하여야 한다.

① 취약점 점검
“정보시스템의 취약점 점검 절차”를 수립하고 “정기적”으로 “취약점 점검을 수행”하고 발견된 취약점을 보완하여야 한다. 취약점 점검 시 “모의 침투 테스트”를 수행하는 것을 고려하고, 취약점 점검 후 발견된 취약점의 “대응 방안” 및 “조치 결과”를 문서화하여야 한다. 
또한, “전자금융 감독규정” “제17조(홈페이지 등 공개용 웹서버 관리대책)” 조항에 다음과 같은 취약점 점검을 수행하도록 규정하고 있다. 

『제17조(홈페이지 등 공개용 웹서버 관리대책) 
③ 금융기관 또는 전자금융업자는 홈페이지 등 공개용 웹서버에 대해 6개월마다 취약점을 분석·평가하고 그 이행계획을 수립·시행하여야 한다.
④ 금융기관 또는 전자금융업자는 공개용 웹서버가 해킹 공격에 노출되지 않도록 다음 각호에 대하여 적절하게 대응 조치하여야 한다.
1. 악의적인 명령어 주입 공격(SQL injection)
2. 업로드 취약점
3. 취약한 세션 관리(cookie injection)
4. 악의적인 명령 실행(XSS)
5. 버퍼 오버플로우(buffer overflow)
6. 부적절한 파라미터(parameter)
7. 접근통제 취약점
8. 서버 설정과 관련한 부적절한 환경설정 취약점』 

관련표준 및 지침

K-ISMS	11.2.10 취약점 점검
ISO/IEC 27002:2013	A.12.6.1 Management of technical vulnerabilities
NIST SP 800-53	CA-7, RA-3, RA-5, SI-2, SI-5

 

 

② 로그 관리 및 검토
정보시스템 및 장비 별로 “기록해야 할 로그의 유형을 정의”하고 “일정 기간 보존”하여야 한다. 보존된 로그는 “주기적으로 검토”하여야 하며, 로그기록에 대한 접근통제를 실시하고 “접근권한은 최소”로 하여야 한다. 또한 “중요자산” 및 “중요정보”에 대한 “사용자 접속 기록”과 “침해 시도” 행위를 “주기적으로 검토”하고 “이상징후” 발견 시에는 절차에 따라 대응하여야 한다. 
정보통신망 이용촉진 및 정보보호 등에 관한 법률의 “개인정보의 기술적·관리적 보호조치 기준” “제5조(접속기록의 위·변조 방지)” 조항에 다음과 같이 로그 관리를 규정하고 있다.

『제5조(접속기록의 위·변조 방지) ① 정보통신 서비스 제공자 등은 개인정보 취급자가 개인정보 처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존·관리하여야 한다.
② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존·관리해야 할 최소 기간을 2년으로 한다.
③ 정보통신 서비스 제공자 등은 개인정보 취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.』 

관련표준 및 지침

K-ISMS	11.6.1 시각 동기화 11.6.2 로그기록 및 보존 11.6.3 접근 및 사용 모니터링 11.6.4 침해시도 모니터링
ISO/IEC 27002:2013	A.12.4.1 Event logging A.12.4.2 Protection of log information A.12.4.3 Administrator and operator logs A.12.4.4 Clock synchronization
NIST SP 800-53	AU-4, AU-5, AU-9, SI-4 AU-2, AU-3, AU-12 AU-8