공부

2.12.1 재해·재난 대비 안전조치 인증기준: 자연재해, 통신·전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고, 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다. 결함사례#1 IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우가 있다. 특히나 침해 사고도 아니고, 재해 복구 사고는 더욱 흔치 않기는 하다. 그런데 그렇다고 해서 일어나지 않는 일은 아니다. 당장 최근에 카카오톡의 사태도 있었고 말이다. 그렇기에 이에..

2.11.1 사고 예방 및 대응체계 구축 인증기준: 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다. 침해사례#1 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우가 있다. 군대 시절에 훈련 때마다 위기조치반을 소집해서 대응하던 것들이 생각난다. 당시 나 같은 통신병이나 상황병들은 반드시 몇몇이 위기조치반에 소집되었는데, 나도 일병까지만 하더라도 내가 정확히 무슨 일을 해야 하는지 알 수 없었다. 그저 가만히 선임들과 앉아있으며 자리를 지키는 게 전부였다. 그러다 선임병 라인에 오르면서, 선임병..

2.10.1 보안시스템 운영 인증기준: 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립·이행하고 보안시스템별 정책적용 현황을 관리하여야 한다. 결함사례#1 침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우가 있다. 보안정책에 대한 검토는 정기적으로 수행하며 각 정책의 타당성을 따지는 작업이 필요하다. 이게 참 신기하게도, 한 번 하고 끝나는 일이 될 수가 없다. 1월에는 타당했던 정책이 7월에는 타당하지 않을 수도 있다. 진짜로 그렇다. 법의 개정 때문일 수도 있고, 이유야 다양하다. 침입차단시스템만 그런 게 아니라, 정책, 지침, 프레임워크라는 것에 대해서는 주기적인 검토가 필요하다...

2.9.1 변경관리 인증기준: 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다. 결함사례#1 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안위험성 및 성능 평가에 대한 수행·승인 증거자료가 확인되지 않은 경우가 있다. 언제나 변경 작업이 있을 때는 그에 따른 위험 평가를 하는 것이 보편적이다. 이미 여러 번 작업을 하였다고 하더라도, 새로운 취약점이 생길 수도 있기 때문이다. 그렇기에 이를 누락하지 말고, 변경 업무와 한 세트로 받아들이고 작업에 임해야 할 것이다. 결함사례#2 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크..

최근 성인 게임 파일로 위장한 악성코드 유포사례가 발견돼 화제라고 한다. 파일 공유 사이트에서 주로 발견되는데, 게임 실행 파일을 실행하면, 원격제어 악성코드인 Remcos Rat이 다운로드되는 것이다. Remcos Rat에 감염될 경우, 공격자가 사용자 PC를 원격으로 제어하는 권한을 얻게 된다. 그래서 공격자는 이 권한을 통해 추가적인 공격을 수행하게 되는 것이다. 이런 악성코드에 있어서 성인 파일, 음란물 등이 특히 취약한 이유는 상당수의 성인 사이트가 양지 같은 음지이기 때문이라고 생각한다. 대한민국은 성인이 성인물을 볼 수 없는, 성인물에 있어서는 극도로 음지로 내모는 국가 중 하나이다. 성인 관련 문화 좀 양지로 올려 세수를 확보한다면 얼마나 좋겠냐만.. 아무튼 나라는 분명 성인물에 발작하는데..

2.8.1 보안 요구사항 정의 인증기준: 정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. 결함사례#1 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우가 있다. 정보시스템에 대한 보안성 기준과 절차를 마련하는 것은 언제나 필수적인 일이다. 이것에 따라 타당성을 검토하여 인수할 준비를 할 수 있기 때문이다. 부동산을 살 때 그 부동산에 대한 정보, 입지, 미래에 가격이 오를만한 가능성 등을 전부 검토하지 않는가. 그거와 다를 바가 없다. 도입하기 전에는 도입 계획이 필요한 법이고, 그에 따라 검토는 필수적으로 이뤄져야 한다. 결함사례#2 신규 시스템 도입 시 기존 운영환경에..

2.7.1 암호정책 적용 인증기준: 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. 결함사례#1 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우가 있다. 대상 별로 어떻게 암호화를 해야 하고, 어떤 암호화 알고리즘을 적용해야 하는지도 이미 성문화 되어있고, 그렇기에 역할 및 책임에 대해 명시하는 것은 어려운 일이 아니라고 본다. 개인적으로 '책임'을 명시하는 것을 정말 중요시 여겨야 한다고 생각하는데, 개인적으로는 자리가 사람을..

2.6.1 네트워크 접근 인증기준: 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립· 이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. 결함사례#1 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보 처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우가 있다. VPN이나 전용망을 사용하여 접근통제 영역을 구축해야 하는데, 일반 회선을 이용하게 되면 보안에 매우 취약해지게 된다. 이것은 전혀 보안에 대한 기본적인 방어도 구..

2.5.1 사용자 계정 관리 인증기준: 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. 결함사례#1 사용자 및 개인정보취급자에 대한 계정·권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우가 있다. 절차 없이 구두나 이메일로만 처리하게 되면 이에 대한 책임 권한을 따지는 것이 불분명해지게 된다. 결국 책임은 해당 사용자 보다는 담당자가 지게 되는 것이다. 명확한 절차를 거쳐서 해당 계정에 대한 ..

2.4.1 보호구역 지정 인증기준: 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다. 결함사례#1 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우가 있다. 이는 서류를 온전히 이해하지 않고 그저 양식을 사용하는 것에서 그치기에 발생하는 경우로 보인다. 정확히 어떤 범위가 포함되어야 하는지 온전히 인지를 하고 직접 서류를 작성해봐야 한다. 그리고 그것을 주기적으로 검토 및 업데이트할 필요가 있다. 결함사례#2..