주요정보통신 기반시설 취약점 진단 상세 가이드란?
한국인터넷진흥원에서 제공하는 "주요정보통신기반시설을 위한 기술적 취약점 분석 평가 상세 가이드" 입니다.
반드시 주요정보통신기반시설만을 위한 가이드는 아니며, 일반적으로 많은 기업에서 이 가이드를 기준으로 취약점을 진단하고 있습니다.
정보통신기반시설이란?
정보통신기반 보호법 제2조(정의) 1항
① “정보통신기반시설”이라 함은 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 말한다.
그리고 법령에서 주요정보통신기반시설은 중앙행정기관의 장에 의해 정보통신기반시설 중 주요정보통신기반시설을 지정합니다.
정보통신기반 보호법 제8조(주요정보통신기반시설의 지정 등) 1항
①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 해당 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 제1호에 따른 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
3. 다른 정보통신기반시설과의 상호연계성
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 용이성
주요정보통신기반시설에 지정이 되면 매년 관리적, 기술적 취약점 분석, 평가를 실시하여 중앙행정기관의 장에게 결과를 제출해야합니다. 그중 기술적 취약점 진단은 "주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드"를 기준으로 진단을 하고 있습니다. 이 가이드는 주요정보통신기반시설 뿐만 아니라 다양한 기관 및 기업에서 사용하고 있습니다.
지정된 기관은 공개하지 않습니다.
주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 다운로드 받는 곳
https://www.kisa.or.kr/2060204/form?postSeq=12&page=1
가이드는 유닉스서버, 윈도우서버, 보안장비, 네트워크장비, 제어시스템, PC, DBMS, Web(웹), 이동통신, 클라우드 총 10개로 분류되어 있습니다.
진단방법
주요정보통신기반시설일 경우 진단은 전담반을 구성하여 진단을 하도록 되어있으며, 전담반을 구성할 수 없다면 전문 기관에 맡겨 취약점 진단을 수행할 수 있습니다.
정보통신기반 보호법 제9조(취약점의 분석ㆍ평가)
①관리기관의 장은 대통령령으로 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다.
② 중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령할 수 있다.
1. 새로운 형태의 전자적 침해행위로부터 주요정보통신기반시설을 보호하기 위하여 필요한 경우
2. 주요정보통신기반시설에 중대한 변화가 발생하여 별도의 취약점 분석ㆍ평가가 필요한 경우
③관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석ㆍ평가하는 전담반을 구성하여야 한다.
④관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 할 수 있다. 다만, 이 경우 제3항에 따른 전담반을 구성하지 아니할 수 있다.
1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조의 규정에 의한 한국인터넷진흥원(이하 “인터넷진흥원”이라 한다)
2. 제16조의 규정에 의한 정보공유ㆍ분석센터(대통령령이 정하는 기준을 충족하는 정보공유ㆍ분석센터에 한한다)
3. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업
4. 「정부출연연구기관 등의 설립ㆍ운영 및 육성에 관한 법률」 제8조의 규정에 의한 한국전자통신연구원
셀프 진단방법
주요정보통신 기반시설이 아니라면 셀프로 기업의 기술진단을 해볼 수 있습니다. 물론, 하다보면 객관적 평가보다는 주관적 의견이 반영되기 때문에 믿을 만한 결과를 얻지 못할 수 있지만 기업의 기술적 보안수준을 향상시킬 수 있을 것으로 생각됩니다.
1. 정보자산에 대한 항목을 추려 정보자산관리대장 만들기
항목은 가이드의 분류인 유닉스서버, 윈도우서버, 보안장비, 네트워크장비, 제어시스템, PC, DBMS, Web(웹), 이동통신, 클라우드를 기준으로 나누어 기록합니다.
그외 정보팀에서 관리하는 항목을 함께 넣어주어도 됩니다. 예를 들어, 스토리지, 소프트웨어 등 전산팀의 업무 범위에 맞춰 정리하면 됩니다.
2. 정리한 정보자산의 취약점 진단하기
항목별로 가이드에 나와있는 조치방법에 들어가 항목을 확인하면됩니다.
예를 들어 패스워드 복잡성의 경우 step 1)에 해당하는 항목에 들어가 어떻게 설정되어있는지 확인하고 수정해주면됩니다.
3. 즉시 조치가 어렵다면
조치기간을 설정하여 조치를 수행하면 됩니다. 장기조치로도 조치가 어렵다면, 위험수용, 위험회피, 위험감소, 위험전가로 분류하여 주기적으로 관리해주면 됩니다.
앞으로
공부를 위해 진단 항목을 하나씩 기록으로 남겨보려고 합니다. 저와 같은 고민을 가지고 계시는 분들도 계실 것 같습니다.
초보지만 열심히 공부해서 전문가가 될 수 있는 그날까지 해보려고 합니다. 화이팅! 취약점 진단을 마스터하는 그날까지 화이팅!