IV. 무기체계 사이버보안 강화 방안
4.6.3. 무기체계에 특화된 정보보호 관리체계
사이버사에서는 국방정보체계 점검을 위해 ‘주요정보통신기반시설 취약점 분석 ㆍ평가 기준을 적용하고 있다. 하지만 무기체계 점검을 위한 기준으로 적용하기 에는 제한되는 부분이 많다. 따라서 정보통신기반시설의 기준과 ISMS 제도의 인 증기준을 참고하여 무기체계에 적합한 공통된 무기체계 전용 사이버 보안 인증 체계 신설이 필요하다.
주요정보통신 기반시설 취약점 분석ㆍ평가 기준은 과학기술정보통신부고시 제 2021-103호(’21.12.28. 일부개정)를 적용하고 있다. 취약점 분석 단계에서 점검 항목 을 도출하고 항목별 점검 기준 도출하여 취약점 평가를 시행한다. 관리적ㆍ물리 적ㆍ기술적 분야별로 점검 기준이 수립되어 있으며 KISA에서 발간하는 ‘주요 정 보통신기반시설 기술적 취약점 분석 평가 상세 가이드’를 기준으로 점검한다. 무 기체계 사이버 보안에 적합하도록 점검 항목 및 방법을 재작성하여 최적화 하는 것이 필요하다.
ISMS 인증제도의 경우 관리체계 기반마련, 위험관리, 관리체계 운영, 관리체 계 점검 및 개선 프로세스에 대해 체계적으로 인증을 수행하게 된다. 주요정보통 신기반시설 취약점 분석ㆍ평가기준은 시스템별 점검 기준에 치중한다면 ISMS 인증은 제도적 관리적 측면에 보다 중점을 두고 있다.
따라서 두 가지 제도의 기준을 적용하여 무기체계에 적합한 통합 방안을 마련 하여 법령에 의해 반드시 무기체계 사이버 보안을 평가하고 인증하고 개선하는 제도적 장치 마련이 시급하다. 이를 통해 국방분야에서 운용되고 있는 수많은 무 기체계에 대해 전수 조사 차원의 보안 취약점 확인이 가능하고 효과적으로 개선 이 가능 할 것이다. 위와 같은 문제들을 해소하기 위해 ISMS-W를 제안한다.
1) ISMS-W(Weapon systems) 개요
ISMS-P와 주요정보통신 기반시설 취약점 분석ㆍ평가 기준를 통합하여 무기 체계 대상 새로운 인증기준인 ISMS-W를 제안한다. ISMS-P에서 개인정보 분야 는 제외하였고 무기체계에 부합되는 인증기준들을 적용하되 무기체계와 적합하
도록 용어 및 일부 항목을 수정하였다. 기반시설 점검기준에서는 대부분의 항목 들이 ISMS 점검기준에 포함되어 있기 때문에 상세한 항목까지 포함하지 않았다.
우선순위에 있어 ISMS가 제품의 수명주기 전 영역에 대한 절차적 기준과 점검 방법을 제시하지만 기반시설 취약점 분석ㆍ평가는 관리적인 부분은 전혀 고려하 지 않고 시스템별 취약점에 대한 점검기법만 나열하고 있다. 다만, Web 취약점 점검항목의 경우 ISMS 점검 항목에는 상세히 명시되어 있지 않아 SQL인젝션 등 28개 점검항목은 웹취약점 제거항목(2.6.5)에 전부 포함하였다.
ISMS-W는 무기체계 전용 인증 기준을 제안하는 것으로 체크리스트 기반의 주요 확인사항만 제시하였다. 관련 법규, 세부 설명, 증거자료 및 결함사례를 포 함할 경우 보안상 영향을 줄 수 있기 때문에 제안하는 내용을 기반으로 무기체 계에 적합한 항목을 軍에서 내부적으로 적용하여 작성해야 할 것이다.
제안하는 항목은 ISMS-P 102개 인증기준 항목[그림 Ⅳ-8][65]에서 개인정보 보호 영역은 제외한 ISMS 80개 영역 중 48개 항목을 적용하였고, 물리적 망분리 등 6개 항목은 신설하였다. 4개의 항목은 항목명을 수정하였으며 접근통제(2.2.1)
의 경우 7개 항목을 통합하여 1개로 적용하였다.
[그림 Ⅳ-8] ISMS-P 인증기준 항목
ISMS-W에 대한 인증기준에 대한 변경 사항은 [표 Ⅳ-6]과 같다. ISMS의 Plan(계획)-Do(실행)-Check(평가)-Act(개선)로 이어지는 PDCA를 기반으로 인증 기 준을 새롭게 제시한다.
인증 구 분 인증기준 분야별 개수
ISMS -W (45)
1. 관리체계 수립(5) 1.1 보안정책(5) ∙
2. 보호대책 구현 (38)
2.1 망분리(1) 2.2 접근통제(1)
2.3 인증 및 권한관리(4) 2.4 암호화 적용(2)
2.5 무기체계 운용관리(5) 2.6 무기체계 보안관리(9)
2.7 사고예방 및 대응(3) 2.8 인원 보안(8)
2.9 시설 보안(5) ∙
3. 점 검(1) 3.1 무기체계 점검(1) ∙
4. 개 선(1) 4.1 무기체계 개선(1) ∙
[표 Ⅳ-6] ISMS-W 인증기준 제안
2) ISMS-W 인증 기준
영 역 분 야 항목 ISMS-P
1.
관리 체계 수립
1.1 보안 정책
1.1.1 범위 설정 1.1.4 범위 설정 1.1.2 자산 식별 1.2.1 정보자산 식별 1.1.3 운영현황 관리 1.3.3 운영현황 관리 1.1.4 자산 관리 2.1.3 정보자산 관리 1.1.5 보호대책 구현 1.3.1 보호대책 구현
2.
보호 대책 구현
2.1 망분리 2.1.1 물리적 망분리 신설 항목
2.2 접근통제 2.2.1 무기체계 접근통제
2.6.1 네트워크 접근 2.6.2 정보시스템 접근 2.6.3 응용프로그램 접근 2.6.4 데이터베이스 접근 2.6.5 무선 네트워크 접근 2.6.6 원격접근 통제 2.6.7 인터넷 접근 통제
2.3 인증 및 권한 관리
2.3.1 계정 관리 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.3.2 사용자 인증 2.5.3 사용자 인증 2.3.3 비밀번호 관리 2.5.4 비밀번호 관리
2.3.4 관리자 계정 및 권한관리 2.5.5 관리자 계정 및 권한 관리
2.4 암호화 적용 2.4.1 암호정책 적용 2.7.1 암호정책 적용 2.4.2 암호키 관리 2.7.2 암호키 관리
영 역 분 야 항목 ISMS-P
2.
보호 대책 구현
2.5 무기체계 운용 관리
2.5.1 변경 관리 2.9.1 변경 관리 2.5.2 성능 및 장애관리 2.9.2 성능 및 장애관리 2.5.3 백업 및 복구 2.9.3 백업 및 복구
2.5.4 로그 관리 및 점검 2.9.4 로그 및 접속기록 관리 2.9.5 로그 및 접속기록 점검 2.5.5 자산 재활용 및 폐기 2.9.7 자산 재활용 및 폐기
2.6 무기체계 보안 관리
2.6.1 정보보호 시스템 운영 2.10.1 보안시스템 운영 2.6.2 무기체계 단말기 보안 2.10.6 업무용 단말기 보안 2.6.3 취약한 서비스 통제 신설 항목
2.6.4 비인가SW 통제 신설 항목 2.6.5 웹 취약점 제거 신설 항목
2.6.6 공격표면 식별 및 통제 신설 항목 2.10.7 보조저장매체 관리 2.6.7 바이러스 방역체계 2.10.9 악성코드 통제
2.6.8 패치 관리 2.10.8 패치 관리 2.6.9 클린PC 관리 신설 항목
2.7 사고예방 및 대응
2.7.1 취약점 점검 및 조치 2.11.2 취약점 점검 및 조치 2.7.2 이상행위 분석 및 모니터링 2.11.3 이상행위 분석 및 모니터링 2.7.3 피해복구 시험 및 개선 2.12.2 재해복구 시험 및 개선
2.
보호 대책 구현
2.8 인원 보안
2.8.1 주요직무자 지정 및 관리 2.2.1 주요 직무자 지정 및 관리 2.8.2 인식제고 및 교육훈련 2.2.4 인식제고 및 교육훈련 2.8.3 전역 및 직무변경 관리 2.2.5 퇴직 및 직무변경 관리 2.8.4 보안 위반 시 조치 2.2.6 보안 위반 시 조치 2.8.5 외부자 현황 관리 2.3.1 외부자 현황 관리 2.8.6 외부자 계약시 보안 2.3.2 외부자 계약시 보안 2.8.7 외부자 보안이행 관리 2.3.3 외부자 보안이행 관리 2.8.8 계약변경 및 만료시 보안 2.3.4 계약변경 및 만료시 보안
2.9 시설 보안
2.9.1 출입통제 2.4.2 출입통제 2.9.2 정보시스템 물리적 보호 2.4.3 정보시스템 보호 2.9.3 보호설비 운영 2.4.4 보호설비 운영 2.9.4 보호구역 내 작업 2.4.5 보호구역 내 작업 2.9.5 반ㆍ출입 기기 통제 2.4.6 반출입 기기 통제 3. 점검 3.1 무기체계 점검 3.1.1 무기관리체계 점검 1.4.2 관리체계 점검 4. 개선 4.1 무기체계 개선 4.1.1 무기관리체계 개선 1.4.3 관리체계 개선
3) ISMS-W 인증 항목별 주요 확인사항
분 야 항목 주요 확인사항
1.1 보안정책
1.1.1 범위 설정
∙ 무기체계가 누락되지 않고 관리체계 범위에 포함되었는가?
∙ 무기체계 관리 범위에서 제외될 경우 명확한 근거 및 지휘관 승인 등 근거 를 기록하여 관리하는가?
∙ 무기체계 관리 범위 설정 관련 관리 대상을 문서로 작성하였는가?
1.1.2 자산 식별
∙ 무기체계 관리대상의 모든 범위를 식별 후 누락없이 관리중에 있는가?
∙ 식별된 무기체계에 대해 지휘관 승인 후 적절한 보호등급을 부여하였는가?
∙ 정지적인 자산 확인을 통해 무기체계 현황을 최신화 하고 있는가?
1.1.3 운영 현황
관리
∙ 주간, 월간, 분기 단위 또는 수시 수행해야 되는 무기체계 정보보호 활동에 대해 문서로 작성하여 관리중에 있는가?
∙ 지휘관은 무기체계 운영 활동에 대해 주기적으로 확인 및 관리를 하고 있 는가?
1.1.4 자산 관리
∙ 무기체계의 보호수준에 따른 취급절차(생성·도입, 저장, 이용, 파기)와 보호 대책을 정의 후 이행중에 있는가?
∙ 무기체계별 운용실무자와 책임자를 적절히 선정 후 관리하고 있는가?
1.1.5 보호대책
구현
∙ 보호대책서에 따른 보호 대책을 구현 후 실시 결과를 지휘관(부서장)에게 보고하고 있는가?
∙ 인증기준에 따른 보호대책 및 운영 현황을 구체적으로 작성였는가?
2.1 망분리
2.1.1 물리적 망분리
∙ 무기체계를 외부망과 물리적으로 분리 운영하고 있는가?
∙ 외부망(내부망 또는 타 전장망 등)과의 연결접점에 대해 불가피할 경우 일 방향 전송을 실시하고 있는가?
∙ 타체계와 연동이 필요할 경우 관련 보안절차를 준수하였는가?
2.2 접근통제
2.2.1 무기체계 접근통제
∙ 서버, 네트워크, 응용프로그램, DB 등 무기체계에 접근 가능한 모든 경로 식별 후 접근통제 정책을 반영하여 승인된 사용자만 접근 가능하도록 통제 하고 있는가?
∙ 네트워크 영역에 대한 물리적 또는 논리적 분리 후 각 영역간의 접근통제 정책을 제대로 적용중에 있는가?
∙ 시스템 접속 후 업무 미처리 시간이 사전 규정된 시간을 초과할 경우 자동 으로 접속을 차단하고 있는가?
∙ 원격으로 정보시스템 접속은 금지하되 부득이한 경우 승인권자의 승인 후 특정 단말기에 한해서만 접근을 허용하는가?
2.3 인증 및 권한관리
2.3.1 계정 관리
∙ 계정과 접근권한에 대한 등록‧변경‧삭제 시 공식적인 절차를 수립 후 적용 중에 있는가?
∙ 운용자 직무에 따른 접근권한 분류 기준에 따라 필요한 최소한의 권한을 부여하고 있는가?
∙ 운용자를 명확히 확인할 수 있는 식별자를 할당하고 추정 가능한 식별자 사용을 제한하는가?
분 야 항목 주요 확인사항
2.3 인증 및 권한관리
2.3.2 사용자 인증
∙ 무기체계 접근 시 무분별한 로그인 통제, 불법 로그인 경고 등 사용자 인 증 절차를 준수하고 있는가?
∙ 외부에서 접속하려는 경우에는 안전한 인증 및 적합한 보안 절차를 준수하 고 있는가?
2.3.3 비밀번호
관리
∙ 사용자 비밀번호 설정 시 작성규칙을 준수하고 있는가?
∙ 규정에 적합한 비밀번호 작성 정책을 수립 후 이행중에 있는가?
2.3.4 관리자 계정
및 권한 관리
∙ 관리자 계정 권한 신청 및 승인 절차를 수립 후 최소 인원에게 권한을 부 여하고 있는가?
∙ 관리자 계정 및 권한에 대해 식별하고 통제절차를 준수하는가?
2.4.
암호화 적용
2.4.1 암호정책
적용
∙ 보호대책에 명시된 무기체계별 암호정책을 준수하고 있는가?
∙ 암호정책을 준수하여 암호화를 수행하고 있는가?
2.4.2 암호키 관리
∙ 보호대책에 부합되는 암호키 관리 절차를 수립 후 이행 하는가?
∙ 안전한 장소에 암호키를 보관하고 암호키 사용 시 최소한의 접근 권한을 부여하고 있는가?
2.5 무기체계 운용 관리
2.5.1 변경 관리
∙ 무기체계의 주요 자산 변경 시 관련 절차 수립 후 적용하고 있는가?
∙ 주요 자산 변경 前 성능 및 보안 영향 분석 후 적절히 적용하고 있는가?
2.5.2 성능 및 장애 관리
∙ 무기체계 성능과 용량에 대해 모니터링 체계를 구축하여 가용성을 보장하 고 있는가?
∙ 무기체계 성능과 용량 모니터링을 통해 임계치를 초과 할 경우 대응 절차 를 준수하고 있는가?
∙ 가용성을 제한하는 무기체계 장애 발생 시 즉각적인 확인 및 대응을 위한 구체적인 절차를 수립하고 이행하고 있는가?
∙ 무기체계 장애 발생 시 보고 절차 준수 및 조치 내역을 기록 후 관리하고 있는가?
∙ 무기체계에 심각한 장애를 초래할 경우 원인분석을 통해 적절한 대책을 수 립하였는가?
2.5.3 백업 및
복구
∙ 규정에 적합한 백업 및 복구 절차를 수립하여 정상적으로 이행하고 있는 가?
∙ 백업 자료에 대해 주기적으로 복구 훈련을 하고 있는가?
∙ 재난에 따른 가용성 보장을 위해 백업 매체를 물리적으로 이격된 장소에 보안성이 담보된 상태로 안전하게 보관하고 있는가?