워크스테이션 보안

• 워크스테이션(PC 등 업무용 전산장비) 접근을 차단하는 정책･수단으로 다음사항을 포함하여야 합니다.

- 기본 계정 삭제

- 비밀번호 주기적 변경

- 화면 자동 잠금

- 일반사용자 admin 기능 未부여

- 사용자 PC 보안솔루션 탑재

• 기본 기능만 허락받은 사용자가 인가받지 않은 시스템, 애플리케이션,데이터에 접속하는 것을 차하기 위해 다음 조치를 취하여야 합니다.

- 접근통제정책(표준･절차･가이드라인) 정의

- 일반사용자 시스템 권한 차등 부여

- 중요 앱․데이터 서버가 있는 서버실 등에 대한 비인가자의 물리적 접근 차단

• 시스템 운영체제 및 S/W 취약성에 대해 대처하기 위하여 다음 조치를 취하여야 합니다.

- 운영체제 및 S/W 취약성에 대한 정책과 표준 정의

- 정책에 따른 운영체제 및 S/W 보안 업데이트

- 취약성 여부 수시 점검

- 불법, 보안취약 S/W 설치 차단

• 워크스테이션에 대한 바이러스･악성코드를 예방･탐지･치료하기 위하여 다음 조치를 취하여야 합니다.

- 백신과 악성코드 정책･표준･절차 충실히 이행

- 단말기에 대한 안티바이러스 솔루션(스캔 및 자동 업데이트) 도입･이행

- 정보보호시스템(방화벽･백신･패치관리) 주기적 업데이트

• 워크스테이션에 사전 인가받지 않은 저장･전산장치 연결을 차단하기 위하여 비인가 단말기의 네트워크 접근제어(포트 차단 등) 정책이 수립되어 현장에서 충실히 이행되고 있으며 교육 등을 통해 지속 유지하여야 합니다.
   
• 인터넷상 검증되지 않은 사이트에 접속하여 파일 등을 다운받는 경우에 대한 접속 차단 정책을 운영하기 위하여 다음과 같은 조치를 취하여야 합니다.

- 정책 및 시스템 운영, 임직원 대상 교육 실시

- 차단 정책 주기적 업데이트(신규 취약사이트 방어)

- 내외부망간 적절한 필터링 및 안티바이러스 스캐닝 실시

LAN 영역 보안

• LAN 시설(데이터센터･전산실･케이블룸 등)에 대한 비인가 접근을 차단하기 위하여 다음과 같은 조치를 취하여야 합니다.

- LAN시설에 대한 물리적 보안정책, 표준, 절차 구비

- LAN시설 등을 보호지역으로 지정하고 CCTV 등의 보안장비 운영

- LAN시설은 상시 시건하고 필요시 승인절차에 따라 제한 개방

• 시스템･애플리케이션･중요데이터에 대한 접근통제 정책에 따라 접근권한을 부여하고 세부권한(R/W/D)도 차등 배분하여 비인가 접근을 차단하여야 합니다.
   
• LAN 서버 운영체제 취약성에 대한 정책, 표준, 절차를 구비하고 주기적 취약성평가를 실시하여 LAN 서버 운영체제의 취약점을 제거하여야 합니다.
   
• LAN 서버상 응용 프로그램 취약성을 점검하기 위하여 △ LAN 서버상 S/W 취약성 정책을 정의하고 △ 취약점 발견 즉시 패치하여야 합니다.
   
• 무선랜에 대한 비인가자 접근을 차단하기 위하여 다음과 같은 조치가 가능합니다.

- 무선랜 서비스 범위･용도 정의･접근통제 등 관리 방안 마련

- 무선네트워크 키 사용

- WAP 브로드캐스팅 비활성화(WPA2 이상 사용)

- 계정 부여 前後 보안조치(신원검증 및 권한삭제)

- 우회 정보통신망(스마트폰 테더링 등) 사용 차단

LAN-to-Wan 영역 보안

• 비인가자에 의한 네트워크 및 포트 탐색을 차단하기 위하여 다음과 같은 조치가 필요합니다.

- 도메인내 핑, 프로빙 등 비활성화

- 취약한 원격연결서비스 제한

- 외부 탐색 여부 모니터링 등 수행

• 외부의 비인가된 접근 차단을 위해 IP트래픽의 이상 유무를 모니터링하고 즉각 차단하여야 합니다.
   
• 네트워크 장비(IP라우터, 방화벽 등) 취약성(운영체제･환경설정)을 점검하기 위하여 네트워크 취약성 점검을 위한 취약점 정의하고, S/W･H/W 업데이트를 신속하게 하여야 합니다.
   
• (조직 구성원에 의한) '원격지･조직내 민감 데이터 안전 통신'을 위하여 조직 내 모든 인프라 및 데이터 대상으로 자산 분류기준을 적용하고 ACL상 소스 IP 주소 등 중요정보의 외부전송 금지 정책을 수행하여야 합니다.
   
• 검증되지 않은 이메일 첨부물 및 URL 접근을 차단하기 위하여 다음과 같은 조치를 하여야 합니다.

- 이메일 보안강화를 위한 보안정책 유무 및 직원 교육 실시

- 이메일 서버 보안조치(보안솔루션 탑재, 이메일 필터링)

- 기관 메일과 상용메일의 연계사용 차단

WAN 영역 보안

• 인터넷을 통한 통신 시 스니핑 등 기밀성 훼손 가능성에 대비하기 위하여 인터넷 사용과 관련 데이터 등급 표준에 대한 기관 및 관계기관의 정책을 준수하고 통신간 암호화 등 보호정책을 운영하여야 합니다.
   
• 서비스거부 공격(DoS) 및 분산서비스거부 공격(DDoS), SYN Flooding, IP Spoofing 공격에 대한 대비책을 마련하고 적용하여야 합니다.

- IP추적이 가능한 방화벽과 IP라우터 WAN 인터페이스에 TCP SYN Flooding과 ICMP Ping 패킷을 차단하기 위한 필터를 적용하여야 합니다.

- 통신업체(Service Provider)에게 ‘CERT Advisory CA-1996-21’문서에 있는 것을 참조하여 IP라우터 WAN Interface에 적절한 필터를 적용하도록 요청하여야 합니다.

• 조직내 데이터(정보)를 무단 변경할 수 있는 위험성에 대비하기 위하여 중요 정보 전송 시 암호화, 데이터 백업･복구테스트, Data Diddling 방지 등 데이터 무단 변경 대비책을 마련하여야 합니다.
   
• TCP/IP(HTTP, FTP, TFTP), SNMP 등 네트워크 관리 프로토콜의 보안취약성을 보완하기 위하여 다음과 같은 조치를 하여야 합니다.

- 적합한 네트워크 프로토콜 사용 및 데이터 분류 표준 적용

- 기밀 데이터 처리 시 암호화 조치

- TFTP와 SNMP 격리조치 및 네트워크 매니저(VLAN) 활용

- 라우터의 외부방향 WAN 인터페이스상 ACL 설정

- 네트워크 매니징 VLAN으로 독립적 WAN을 창출

- SNMP와 Router가 LAN-to-WAN을 통해 IP주소를 찾는 것을 허용하는 방화벽의 ACL 엄격 적용

• 트래픽 혼합방지 등 우수 품질의 WAN 통신 서비스수준을 유지하기 위하여 다음과 같은 조치를 하여야 합니다.

- WAN 구간에서의 VPN 통신

- SLA(서비스 수준 협약)상 통신서비스 가용성･보안성 확보

- 100% 가용성이 요구되는 서비스(사업)에 대해서 부가적 통신망(물리망)과 WAN 커넥션을 확보

원격접속 보안

• 외부 해커의 ID･패스워드 무차별 대입공격 등 로그인시도에 대한 대응하기 위하여 다음과 같은 조치를 하여야 합니다.

- 보안사고 등 이벤트 발생시 ID･패스워드 변경

- 9자리 이상의 대소문자･숫자･특수문자 조합으로 패스워드 구성

- 패스워드 再사용 제한

- 일정 횟수(5회) 이상 로그인 시도 차단

• 비인가자가 원격지에서 IT시스템, DB, 애플리케이션에 대한 접근 기도시 다음과 같은 대응책을 구비하여야 합니다.

- 원격지에서 중요 자원 접근 시 2단계 인증

- 정보보호시스템 등 중요 시스템의 원격접속 자체 제한

- 시스템･D/B상의 연구자료 등 중요정보 암호화

• 원격 근무 직원(용역업체 포함)의 시스템 접근 권한이 있는 통신기기 및 인증수단 도난(분실) 등에 대하여 다음과 같은 대책을 구비하여야 합니다.

- 데이터 암호화

- 분실 신고 즉시 권한 삭제

• 홈페이지 등 공개 웹서비스에 대하여 다음과 같은 보안대책을 수리하여야 합니다.

- 전체 웹서비스에 대한 IP주소, URL, 포트 등의 목록을 작성, 유지

- 전체 웹서비스에 대한 주기적인 보안취약점 점검

- 홈페이지 등 공개 웹페이지의 서버는 내부망과 분리된 DMZ 영역에 설치, 운영

중요 시스템 및 데이터 보안

• 중요한 업무시스템에 대하여 다음과 같은 부가적 보안대책을 수립하여야 합니다.

- 관리자 사이트 접속 시 내부망 관리자(IP, MAC)만 접근토록 조치

- 로그인 5회 이상 실패 시 접속 제한

- OTP 등 2단계 인증 방식 적용

- 동일한 사용자가 서로 다른 노드에서 동시에 접속하고자 할 때 접속을 차단함과 동시에 접속 IP∙시간 등을 기록

- 중요 업무시스템 외부 원격 접속 금지

- 시스템 운용을 위한 서비스(관리 콘솔에 대한 물리적 접근 포함)에 관리자 이외 접근 차단

- 모의침투테스트 등으로 연 1회 이상 취약점 점검

• 출력물 인증·명시 등 연구데이터 출력 관련 다음과 같은 보안조치를 취하여야 합니다.

- 연구데이터 등 연구자료 출력 시 연구책임자 승인절차 운영

- 출력물을 통해 출력자 및 출력일시 확인 가능

- DLP, DRM 등을 통해 출력기록(프린트, 스캔, 복사, 팩스 등)을 관리하고 6개월 이상 유지

- 외부반출문서 관리를 위한 목록관리

- 워터마크 등 기타 출력물 보안조치 적용

• 개인정보 보호를 위하여 다음과 같은 대책이 있어야 합니다.

- 수집･보유하고 있는 개인정보를 개인정보보호법 등 관련 법규에 따라 관리

- 개인정보 요소들을 다른 데이터베이스와 별도로 분리･보관

- 스토리지･DB 내 암호화하여 개인정보 보관

재해복구 및 사업연속성

• 랜섬웨어 감염, 재해발생 등 예기치 않은 자료손실･훼손 등 장애에 대비하기 위하여 BIA(업무영향분석)에 따른 정보자산 분류 및 백업(원격지 포함)을 수행하여야 합니다.
   
• 非전산자료의 훼손･멸실에 대한 장기 보관 대책을 위하여 디지털 전환 등 정책을 수립･시행하여야 합니다.
   
• 재해발생으로 일정기간 시스템이 다운되는 경우에 대비하기 위하여 다음과 같은 복구대책을 수립하여야 합니다.

- 조직 임무에 중요한 정보자산 복구를 위한 DRP(재해복구계획) 수립

- 가용성이 중요한 시스템에 대한 실시간 백업 수행

- 주기적인 백업 및 복구테스트 실시

용역업체 관련 전산망 보호

• 용역업체 전산망과 발주기관 전산망을 물리적 또는 논리적으로 분리하고 장비통제를 실시하여야 합니다.
   
• 용역업체 직원의 업무수행 PC에서의 인터넷 접속을 차단하고 별도 인터넷 전용 PC를 사용하게 하는 등 보안조치를 취하여야 합니다.
   
• 용역업체의 외부 원격작업에 대하여 다음과 같은 승인절차 및 보안대책을 적용하여야 합니다.

- 원격작업 시 승인절차 운영

- 사용 서비스 및 접근계정 제한(최소권한 부여)

- 지정된 서버 外 접근 금지

- 암호화 통신 사용

망분리와 클라우드 보안

• 내부망･외부망간 자료전송 시 다음과 같은 보안대책을 수립･운영하여야 합니다.

- 외부망→내부망 자료전송 후 백신프로그램으로 악성코드 점검

- 자료전송 서버의 중계 이력(내부망↔외부망) 등 전송 로그 6개월이상 보관

- 중계서버에 접근하여 자료를 송∙수신할 수 있는 서버･서비스 제한

- 내부망→외부망으로 자료 전송 시 관리책임자 등에 의한 승인절차 구비

- 외부망→내부망으로 자료 전송 시 사전에 허용된 파일형식만 전송 (금지된 파일형식을 전송하는 경우 보안성검토를 실시 포함)

- 망분리 시 외부망 PC에도 휴대용저장장치 매체제어 정책 운영

• 클라우드 환경에 사용시 독립된 가상 LAN망에서 가상 방화벽과 서버 분리 등 보안조치를 수행하여야 합니다.