본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

ISMS 인증 주요 결함항목 및 대응방안

2016.04.05

지난 시간까지 ISMS 인증에 대한 소개 및 보안솔루션 구성방안에 대해서 설명을 드렸습니다. 그렇다면 ISMS 인증심사 과정에서 자주 나오는 주요 결함항목에는 어떤 것이 있을까요?

이번 시간에는 인증심사 시 발견되는 주요 결함항목들에 대해 알아보고, 이에 대한 보완조치를 위해 어떤 대응방안들이 있는지 알아보고자 합니다.

먼저 ISMS 인증 심사기준에 대해서 알아보도록 하겠습니다. ISMS의 인증심사 기준은 정보보호 5단계 관리과정 요구사항 12개 통제항목, 정보보호대책 13개 분야 92개 통제 항목 총 104개 통제사항으로 구성되어 있습니다.

그 중에서도 주요 결함항목은 매년 인증심사에서 도출된 결함을 정리•분석하여 도출되며, 차년도 인증심사에 활용 및 인증기준 개정 시 반영되는 중요한 항목들입니다. 따라서 주요 결함항목들이 무엇이고, 그에 대한 대응방안이 무엇인지 미리 확인 후 인증심사에 대비한다면 좀더 효과적인 대응할 수 있을 것입니다.

l 정보보호관리체게 인증심사 기준(2015). KISA

ISMS 인증 주요 결함항목

ISMS 인증 시 주요 결함항목은 무엇인지 KISA의 ‘ISMS 인증제도 운영안내’ 자료에 기재된 2014년도 주요 결함항목을 중심으로 살펴보겠습니다.

l ISMS 인증 주요 결함 분석(2015). KISA

‘사용자 패스워드 관리, 보안시스템 운영, 정보자산 식별’ 항목은 2013년과 동일하게 2014년도에도 상위 3개 항목에 해당되는 발생빈도가 높은 결함항목입니다. 나머지 항목들도 2013년 결함항목과 비교해 보면 ‘인터넷 접속, 취약점 점검’ 항목이 신규로 추가되었을 뿐 대부분의 항목들이 지속적으로 상위 항목에 존재하는 것을 확인할 수 있습니다. 즉, 주요 결함항목들은 인증심사를 받는 많은 신청기관들이 유사하다고 볼 수 있습니다.

l 2013/2014년 ISMS 인증심사 주요 결함항목 비교. KISA

지금부터 주요 결함항목 10개에 대해서 좀더 세부적으로 확인해 보고, 이에 대한 대응방안들이 무엇이 있는지 소개해 드리도록 하겠습니다.

① 사용자 패스워드 관리

결함항목 중 빈도수가 가장 높았던 사용자 패스워드 관리는 패스워드에 대한 보안 정책이 미비하고 관리절차가 없는 경우가 이에 해당합니다.

● 결함사례

  • 안전한 패스워드 사용 및 관리절차 부재
  • 일부 시스템의 경우 복잡도, 변경주기 등 미 설정
  • 개인정보취급자의 패스워드 정책 관련 법적 요구사항 미준수

● 결함대응 방안

  • 안전한 패스워드 사용 및 관리절차 수립 및 이행
  1. 영문대소자•숫자•특수문자 2종류 혼합 10자리이상, 3종류 혼합 8자리 이상
  2. 유추 가능한 패스워드 사용 금지 (연속된 숫자, 생일, 전화번호, 잘 알려진 단어 등)
  3. 분기당 1회 이상 패스워드 변경
  • 정보시스템의 관리자 패스워드는 일반 사용자 패스워드와 별도로 관리해야 하며 관리자 패스워드를 기록한 문서 또는 저장장치(보안USB 등)는 비밀등급에 준하여 취급하고, 내화 금고 등 잠금 장치로 비인가자의 접근을 통제할 수 있는 안전한 곳에 보관하여야 한다.
  • 교육, 홍보, 안내 등을 통해 사용자 계정 및 패스워드의 안전한 관리 절차에 대해 공지
  • 응용 프로그램, SSO 솔루션 등을 사용하는 경우 안전한 패스워드 규칙이 적용될 수 있도록 보안정책 설정

② 보안시스템 운영

주요 보안시스템의 보안정책에 대한 등록•변경•삭제 등 관리 절차 및 정책에 대한 주기적인 타당성 검토 및 모니터링 등을 수행하지 않고 있는 경우입니다.

● 결함사례

  • 보안정책에 대한 변경 및 관리절차 부재
  • 정책의 타당성 및 적정성에 대한 주기적인 검토 미수행
  • 관리자 페이지(관리콘솔) 외부접근 허용, 접속 IP 무제한 허용(관리자 IP로 한정 필요)

● 결함대응 방안

  • 보안시스템별로 정책(Ruleset) 신규 등록, 변경, 삭제 등을 위한 공식적인 절차(신청, 승인, 적용 등)를 수립•이행
  • 정책의 타당성 및 적정성을 주기적으로 검토하여 정책 삭제 또는 변경 수행(미승인 정책, 장기미사용 정책, 퇴직자•직무변경 관련 정책 등)
  • 외부침입 탐지 및 차단, 내외부자에 의한 정보유출 방지 등을 위한 보안시스템 운영 절차 수립
  • 사용자 인증, 관리자 단말 IP 또는 MAC 접근통제 등의 보호대책을 적용하여 보안시스템 관리자 등 접근이 허용된 인원 이외의 비인가자 접근 통제 적용
  • IDS, IPS, 웹방화벽 등의 보안정책을 최신화(최신 보안패턴 업데이트)
  • 주요장비에 대한 관리자외의 비인가자 접근제한(IP, MAC, 중복로그인 제한 등)
  • ESM등을 통한 실시간 및 주기적인 보안로그 모니터링 분석

③ 정보자산 식별

주요 정보자산에 대한 식별 및 중요도 평가 등이 누락된 경우입니다.

● 결함사례

  • 인증 범위 내 주요 정보자산 식별 누락: 위험관리 대상에서 제외
  • 정보자산의 변경 내역을 관리하지 않고 있음: 신규 자산 도입과정에서의 보안성 검토 누락으로 이어짐
  • 정보자산(개인정보, 문서, 하드웨어 등) 중요도 산정 기준 부재에 따른 중요도 평가 누락

● 결함대응 방안

  • 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하고 수립된 분류기준에 따라 정보보호 관리체계 범위 내 모든 정보자산을 식별
  • 식별된 정보자산 정보를 확인할 수 있도록 목록으로 관리하고, 정기적으로 정보자산 조사를 수행하여 정보자산목록을 최신으로 유지
  • 정보자산의 유출, 장애 및 침해 발생 시 조직의 업무에 미치는 영향을 고려하여 식별된 정보자산의 중요도를 평가할 수 있도록 기준 수립(기밀성, 무결성, 가용성, 법적 요구사항 등 고려)
  • 문서, 자산관리시스템 등의 솔루션으로 관리

④ 네트워크 접근

네트워크 접근통제를 위한 변경관리 절차 및 정보자산의 중요도에 따른 내•외부 네트워크에 대한 분리가 안되고 있는 경우입니다.

● 결함사례

  • 네트워크 구성변경 시 변경관리 절차 및 보안성 검토 미흡
  • 인가되지 않은 단말 또는 인터넷 망에서 내부 시스템•네트워크 접근
  • 시스템 접근권한을 가진 개발자 및 중요정보 접근 가능자와 일반 사용자(외부자 등) 간 네트워크 미분리

● 결함대응 방안

  • 네트워크 신규생성 및 변경은 조직의 정보보호 환경에 많은 영향을 미치기 때문에 주요 변경사항에 대해서는 보안성을 검토하고 책임자의 승인필요
  • 네트워크를 구성하는 주요자산목록, 구성도, IP 현황 등을 최신으로 유지하고 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리
  • 핵심 업무영역의 네트워크는 위험평가를 통해 물리적 또는 논리적으로 영역을 분리하고 영역간 접근통제 수행
  • 침입차단시스템, ACL(Access Control List) 설정이 가능한 네트워크 장비 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제
  • 정보시스템 및 중요 PC 등에 IP 기반 접근통제 적용 시 승인절차를 구현하고 허가되지 않은 IP의 사용은 통제하여 인가된 사용자•단말만 네트워크에 접근 가능하도록 통제
  • 물리적으로 떨어진 장소와 네트워크 연결이 필요한 경우 전용회선 또는 VPN을 활용하여 접근통제 강화
  • 방화벽, 서버접근제어 솔루션 등을 통해서 접근제어를 수행하며, 관련 접근로그 수집 및 관리
  • IP 관리시스템, NAC 등을 통한 IP 사용에 대한 승인절차 및 통제 수행

⑤ 인터넷 접속

중요 정보 취급자 및 운영자 PC에 대한 인터넷 접속 통제 및 모니터링 등이 진행되지 않고 있는 경우입니다.

● 결함사례

  • 중요정보 취급자 및 운영자 PC에 대한 인터넷 접속제한 조치 부재
  • 인터넷 접근 모니터링 및 통제 부재

● 결함대응 방안

  • 인터넷 연결에 대한 네트워크 구성 정책, 사용자 접속정책 등을 보안 정책 또는 지침에 정의
  • 중요정보를 취급∙운영하는 주요 직무자(개인정보취급자, 시스템관리자 등)의 경우 인터넷 접속 또는 서비스(P2P, 웹하드, 웹메일, 메신저 등)를 제한하는 등의 보호대책 수립 및 이행
    1. 망분리 대상 조건에 부합하는 경우 개인정보를 처리(다운로드, 파기, 접근권한 설정)하는 개인정보취급자 PC에서 외부 인터넷 접속 차단
  • 악성코드 유입, 리버스 커넥션이 차단되도록 내부 중요서버(DB서버, 파일서버, 패치서버 등)에서 외부 인터넷 접속 제한
    1. 원칙적으로 인터넷망과 내부망 PC 간의 자료전송은 차단하고, 필요한 경우 별도의 통제•승인 절차를 거쳐 전송하도록 제한 및 해당 로그를 주기적으로 검토
  • DLP, 유해사이트차단, 메일보안솔루션, 개인정보 유출차단 솔루션 등을 통한 개인정보 및 주요정보 유출 차단 정책 설정 및 모니터링

⑥ 취약점 점검

주요 시스템에 대한 주기적인 취약점 점검 후 조치가 진행되지 않고 있으며, 이에 대한 관리절차 등이 없는 경우입니다.

● 결함사례

  • 공개 웹 페이지에 대하여 최근 2년 내 웹 취약점 점검 수행 이력 없음
  • 시스템 취약점 점검 대상 중 일부 중요 자산이 누락됨

● 결함대응 방안

  • 인터넷 연결에 대한 네트워크 구성 정책, 사용자 접속정책 등을 보안 정책 또는 지침에 정의
  • 정보시스템 취약점 점검 정책 및 절차 수립
    1. 취약점 점검 대상(서버, 네트워크 장비 등), 취약점 점검 주기, 담당자 및 책임자 지정, 점검 절차 및 방법 등을 정의
  • 정보시스템 중요도에 따라 주기적으로 취약점 점검을 실시
  • 취약점 점검 시 ‘점검일시’, ‘점검대상’, ‘점검방법’, ‘점검내용 및 결과’, ‘발견사항’, ‘ 조치사항’ 등의 내용 이력 관리
  • 취약점 점검 결과 발견된 취약점 별로 대응방안, 조치계획 및 조치결과를 문서화하여야 하며, 조치결과서를 작성하여 개인정보보호 책임자에게 결과 보고
  • 웹•서버•네트워크•DB 취약점 스캐너 및 외부 모의해킹 등을 통한 주기적인 취약점 점검이 수행되어야 하며, 점검항목에 최신 취약점 등이 반영되었는지 확인

⑦ 암호정책수립

중요 정보보호를 위해서 법적 요구사항을 반영한 암호화 정책 수립 및 기술적인 보호조치가 필요한데 이에 대한 대응이 부족한 경우 입니다.

● 결함사례

  • 개인정보, 기밀정보 등 중요 정보에 대한 암호화 정책 미수립
  • 암호화 대상 개인정보 저장 시 Base64 인코딩 적용
  • 중요 개인정보를 개인용 컴퓨터(PC 등)에 암호화 하지 않고 저장
  • 암호화 키 관리 절차 부재

● 결함대응 방안

  • 조직 내 개인정보, 기밀정보, 영업정보, 인사정보와 같은 중요정보에 대해 전송 및 저장 시 암호화 정책 및 절차 수립
    1. 취급 정보 민감도 및 중요도에 따라 암호화 대상 정의(고유식별정보, 금융정보, 비밀번호, 바이오 정보)
  • 키 관리서버, HSM 등을 통한 암호화 키 관리
  • DB암호화 솔루션을 통해 검증된 알고리즘을 통한 암호화 저장 및 DB접근제어 솔루션을 통한 주요정보 접근이력 및 변경내역 수집 관리
  • 개인용 PC내 개인정보 관리를 위한 개인정보보호 솔루션 등을 통한 주기적인 점검 후 암호화 및 삭제 수행

⑧ 위험식별 및 평가

보호 대상에 대한 주기적인 위험 식별 및 평가가 진행되지 않고, 이에 대한 관리절차 등이 없는 경우입니다.

● 결함사례

  • 공개 웹 페이지에 대하여 취약점 점검 수행 계획이 없음
  • 보호 대상 자산목록이 관리되지 않고, 위험관리 절차가 수립되어 있지 않음

● 결함대응 방안

  • 관리•물리•기술적 취약점진단을 실시하여 취약점을 식별하고 해당자산 중요도 및 위협 정도를 고려해 위험도 산정하는 위험평가 작업을 연 1회 수행
    1. 위험관리 대상: 정보보호 관리체계 인증범위 내 핵심자산 및 서비스를 누락 없이 포함
    2. 위험관리 수행인력: 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 인력과 관련 부서 실무책임자가 참여(위험관리 전문가, 정보보호관리자, IT 실무 책임자, 현업부서 실무 책임자 등)
  • 식별된 위험과 각 위험도를 검토하여 수용 가능한 목표 위험수준(DoA)을 정한 뒤 이를 초과하는 위험을 식별하고 식별된 위험에 대한 평가 보고서를 정보보호 최고책임자를 포함한 경영진에게 보고
  • 관련 법률이 개정되었을 경우 보안정책 및 보안 체크리스트에 반영 필요
  • 취약점 스캐너, 모의해킹 등을 통한 주기적인 위험 평가 수행 후 이력관리

⑨ 접근권한 검토

정보시스템 및 중요 정보에 대한 접근권한에 대한 정기적인 검토 및 관리절차 등이 부재한 경우입니다.

● 결함사례

  • 직무 변경자에 대한 접근권한 회수가 누락됨
  • 주기적으로 접근 권한 적절성 검토 절차 없음

● 결함대응 방안

  • 공식 절차에 따른 접근권한 부여 여부, 승인 절차 구현 및 이력관리 여부, 과도한 접근권한 부여 등에 대한 적정성 검토
  • 장기 미사용, 직무변경, 휴직, 퇴직, 업무시간 외 사용 등의 경우 접근권한 사용 현황 검토
    1. 장기 미사용(3개월 권고) 계정 및 접근권한 삭제
    2. 직무변경 시 기존 권한을 회수하고 신규 업무에 적합한 권한을 부여
    3. 휴직(병가, 출산 등) 시 계정 및 권한 회수
    4. 퇴직 시 지체 없이 계정을 삭제(단, 계정삭제가 어려운 경우 권한 회수 한 후 계정을 정지)
  • 접근권한 검토 기준 별로 검토주체, 검토방법, 주기(최소 분기 1회 이상 권고) 등을 구체적으로 정의하여 이행
  • 인사시스템과 연계된 인증시스템 등을 통해서 인사이동, 퇴직 등의 변동사항 발생 시 접근권한에 대한 변경 및 회수가 이뤄져야 함
  • 서버접근제어, DB접근제어, ESM 등을 통한 권한외 접근이력로그 확인 및 주기적인 접근로그 모니터링과 관리 수행

⑩ 로그기록 및 보존

주요 시스템에 대한 로그 저장과 법적 요구사항을 만족하는 로그 보존 정책 부재 및 접속기록 백업 등에 대한 미준수 경우입니다.

● 결함사례

  • 로그저장 및 보존에 대한 정책 부재
  • 접속기록의 백업 및 위•변조 방지 법적 요구사항 미준수

● 결함대응 방안

  • 로그 기록 및 보존이 필요한 주요 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비, DB 등)을 지정하고, 각 시스템 및 장비별로 기록해야 할 로그유형 및 보존기간 정의
    1. 보안관련 감사로그: 사용자 접속기록, 인증 성공•실패 로그, 파일 접근, 계정 및 권한 등록•변경•삭제 등
    2. 시스템 이벤트 로그: 운영체제 구성요소에 의해 발생되는 로그(시스템 시작, 종료, 상태, 에러코드 등)
    3. 보안시스템 정책(룰 셋 등) 등록, 변경, 삭제 및 이벤트 로그
  • 개인정보취급시스템의 접속기록은 최소 6개월 이상, 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한을 최소화하여 비인가자에 의한 로그기록 위•변조, 삭제 방지
  • 중요정보 및 정보시스템 사용자 접속기록을 주기적으로 검토하여 이상징후를 확인(검토주기: 월 1회 이상 권고)
  • 통합로그 관리솔루션 등을 통해서 관련로그에 대한 위•변조 삭제가 불가능한 매체 및 WORM 방식의 저장

지금까지 ISMS 인증심사 주요 결함항목 및 대응방안 등에 대해서 알아봤습니다. ISMS 인증을 준비하는 신청기관의 경우 주요결함 사항 및 대응방안을 참조하여 사전준비를 한다면 인증심사 준비에 도움이 될 수 있을 것으로 보입니다.

ISMS 인증심사를 받기 위해서는 주요 결함항목에 대한 대응방안 외에도 보안 전체적인 관점에서 보안관리체계 수립, 기술적 진단 등이 필요합니다. 또한, 결함항목에 대한 조치방안을 수립할 때는 해당 결함항목에 대한 단순한 조치보다는 전사정보보호체계 개선을 위해서 근본적인 원인을 찾아서 개선방안을 수립 후 진행하는 것이 보안측면에서 좀 더 큰 효과를 얻을 수 있을 것입니다.

그리고 ISMS 인증심사 대비를 위해서는 개별신청기관의 보안현황 및 신청준비 기간 등을 고려하여 ISMS 인증 컨설팅을 받거나 취약점 진단 등을 받아서 대응하는 방안 등을 고려해 볼 수 있습니다.

ISMS 관련된 전 영역의 보안솔루션에 대한 선정 및 구축 경험을 가지고 있는 LG CNS는 언제라도 여러분들께 필요한 최적의 보안솔루션을 제안•구축할 수 있도록 준비하고 있습니다.

글 | LG CNS 보안컨설팅팀

[‘보안, 이렇게 하면 된다’ 연재 현황]

  • [1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
  • [2편] ISMS 인증을 위한 보안솔루션 구성 방안
  • [3편] ISMS 인증 주요 결함사항 및 대응방안
  • [4편] 정보보호 관련 인증 및 평가 제도
  • [5편] 스마트폰의 보안 위협과 대응 방안
  • [6편] IoT 보안 취약점 사례 소재 및 취약점 진단
  • [7편] 스마트폰 앱 서비스 보안의 현재와 미래
  • [8편] 중국 개인정보 보호법 제도 동향 및 대응방향
  • [9편] 출입 보안을 위한 보안 설계
  • [10편] 소프트웨어 개발 보안 – 시큐어 코딩
  • [11편] 당신의 출입카드는 안녕하십니까?
  • [12편] 통합 보안 관리 동향 및 활용 방안
  • [13편] 비대면 실명인증이란 무엇인가?
  • [14편] 프로젝트에서 소스 코드 보안 점검하기
  • [15편] 차세대 행위 기반 위협 탐지 방식에 관하여
  • [16편] 핀테크 보안 위협과 대응 방안
  • [17편] 인공지능과 보안
  • [18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
  • [19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
  • [19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
  • [20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
  • [20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
  • [21편] 유전자 정보 보안 안전한가?

챗봇과 대화를 할 수 있어요