제 6강
2012학년도 1학기
컴퓨터보안
1
제 58조(주요 정보통신기반기설 보안대책)
① 대학은「정보통신기반보호법」및 같은 법 시행령에 따라 주요 정보통 신기반시설(이하 “주요기반시설”이라 한다)에 대한 보호대책을 수립ㆍ 시행하여야 한다.
② 대학은 제1항의 보호대책을 수립하는 경우에 다음 각 호의 사항이 포 함되도록 하고, 전년도 추진실적 평가 및 문제점에 대한 개선사항을 익년 도 보호대책에 반영하여야 한다.
1. 소관 주요기반시설 현황 및 보호 목적
2. 전년도 보호업무 추진실적 및 당해 연도 추진계획
3. 보안취약점 분석ㆍ평가 결과 및 도출된 문제점에 대한 개선사항
4. 침해사고 발생 시 대응 및 복구대책
5. 전자적 침해행위 예방을 위한 관리적ㆍ물리적ㆍ기술적 보안대책 등정보보안 관리 : 정보통신기반시설 보안대책
정보보안지침 , 건국대학교, 2012
제 59조(주요기반시설 지정)
① 대학은 소관 정보통신망에 대하여 주요기반시설 지정을 추진할 경우에
「정보통신기반 보호법」제8조의 규정에 의한 기반시설 지정기준에 부합 하는지 여부를 검토하여야 한다.
② 보안담당관은 효율적인 정보보안 업무 수행을 위하여 필요하다고 판단 되는 경우에는 총장에게 소관에 대하여 그 지정 또는 해지를 권고할 수 있 다.
③ 국가정보원장은 주요기반시설 지정 업무에 활용할 수 있도록 공공분야 주요기반시설에 대한 지정 평가기준(안)을 마련하여 대학에게 통보할 수 있 다.
3
정보보안 관리 : 정보통신기반시설 보안대책
정보보안지침 , 건국대학교, 2012
제60조(주요기반시설 취약점 분석ㆍ평가 보안관리)
① 주요기반시설을 관리하는 부서(이하 “관리부서”이라 한다)의 장은 지식 정보보안컨설팅 전문업체 등 외부기관에 소관 기반시설의 취약점 분석ㆍ평 가를 의뢰하고자 하는 경우에는 자료유출 방지 등을 위한 보안대책을 수립하 여야 한다.
② 관리부서의 장은 외부기관에 의뢰하여 취약점 분석ㆍ평가를 완료하였을 경우에는 외부기관이 제출한 평가결과(취약점 및 관련 보호대책을 포함한다) 에 대한 적절성을 검증하여야 한다. 단, 관리부서의 장이 필요하다고 판단되 는 경우 보안심사위원회에 적절성 검증을 의뢰할 수 있다.
③ 관리부서의 장은 취약점 분석ㆍ평가 세부 결과를 그 중요성과 가치의 정도 에 따라 대외비 또는 비밀로 지정 관리하고 인터넷이나 학회지 등 외부에 공 개 또는 발표하여서는 아니 된다. 다만, 정보보안 기술 교류나 학문적 연구 등 을 목적으로 하는 비공개 회의 등의 경우에는 자체 보안성 검토를 거친 후 발 표할 수 있다.
④ 관리부서의 장은 취약점 분석ㆍ평가의 효율적 수행을 위하여 보안심사위 원회에 평가 방향, 평가중점사항, 평가결과 적절성 검증, 평가업체 보안점검 등의 지원을 요청할 수 있다.정보보안 관리 : 정보통신기반시설 보안대책
정보보안지침 , 건국대학교, 2012
제 61조(제어시스템 보안관리)
① 대학은 중앙에서 감시 및 제어하기 위한 정보시스템(이하 ‘제어시스템’
이라 한다)을 구축할 경우 보안대책을 수립하고 보안담당관을 경유하여 보 안심사위원회에 보안성 검토를 요청하여야 한다.
② 시스템관리자는 제어시스템 도입ㆍ교체 시 최신백신 설치, 응용프로그 램 보안패치 및 침해사고 대응책을 마련하고 주기적으로 취약점을 점검하 여야 한다.
③ 대학은 중요한 제어시스템 구축 시 해당 시스템을 내부 업무망 및 인터 넷망 등 상용망과 분리 운용한다.
④ 제3항에도 불구하고 제어시스템을 업무망과 상용망 간 연동이 필요할 경우에는 보안심사위원회의 사전 승인절차를 거쳐 연동구간에 일방향 통 신장비 설치 등 안전한 망 연동 기법을 적용하여야 한다.
5
정보보안 관리 : 정보통신기반시설 보안대책
정보보안지침 , 건국대학교, 2012
제 62조(보안관제센터 구축)
① 대학은 소관 정보통신망에 대한 사이버공격 정보를 수집ㆍ분석ㆍ대응 할 수 있는 보안관제센터를 설치하여야 한다. 다만 국가ㆍ공공기관이 운영 하는 보안관제센터에 관련 업무를 위탁할 수 있다.
② 보안관제센터를 운영하는 기관의 장은 보안관제 업무를 하루 24시간 중 단 없이 수행하여야 하며 보안관제센터 운영에 필요한 전담직원을 배치하 여야 한다.
③ 대학은 사이버공격 정보를 수집할 경우, 피해 유무를 파악하고 공격 IP 차단, 로그자료 보존 등 초동조치를 신속하게 취하여야 한다. 이 경우, 사고 원인 규명 시까지 피해시스템에 대한 증거를 보전하고 임의로 관련 자료를 삭제하거나 포맷하여서는 아니 된다.
④ 대학은 초동조치가 끝난 경우에 교육과학기술부장관과 협의하여 보안 대책을 수립ㆍ시행하여야 한다.
⑤ 대학은 사이버공격 정보의 신속한 수집 및 전파를 위하여 교육과학기술 부장관 등과 비상연락체계를 구축하여야 한다.
보안관제
정보보안지침 , 건국대학교, 2012
제 63조(정보공유)
① 대학은 관계법규에 위배되지 않는 범위 내에서 수집ㆍ탐지한 사이버공 격 정보를 교육과학기술부장관, 및 시․도교육감 및 국가정보원장에게 제공 하여야 한다.
② 보안관제센터를 운영하는 기관의 장은 별지 제8호 서식에 따라 보안관 제센터의 운영현황을 작성하여 교육과학기술부장관에게 통보하여야 한다. 다만, 기 제출한 경우에는 변동사항에 한하여 통보한다.
③ 보안관제센터를 운영하는 기관의 장은 보안관제시 수집된 사이버공격 정보가 여타 보안관제센터의 소관 업무와 연관될 경우에 해당 보안관제센 터의 장에게 별지 제9호 서식에 따라 신속히 이관하여야 한다.
④ 교육과학기술부장관은 제1항 내지 제3항의 규정에 따른 사이버공격 정 보를 전자적으로 공유하기 위해 보안대책이 강구된 통합보안관제정보공유 시스템을 구축ㆍ운영할 수 있으며, 대학은 특별한 사정이 없는 한 동 시스 템을 활용하여야 한다.
7
보안관제
정보보안지침 , 건국대학교, 2012
제 64조 (보안관제 용역업체 선정)
① 대학은 지식경제부 장관이 지정하는 보안관제 전문업체중에서 ‘보안 관제 용역업체 업무수행 능력평가 기준’ 등을 참고하여 보안관제 용역업 체를 선정한다.
② 보안관제 용역업체 선정을 위해 작성한 각종 문서는 평가가 끝난 후에도 공개할 수 없으며 3년간 보존하여야 한다. 다만 관계 법규에 의해 의한 정 보공개를 요청받은 경우에는 그러하지 아니할 수 있다.
보안관제
정보보안지침 , 건국대학교, 2012
제65 조(보안성 검토 신청)① 대학은 다음 각 호의 정보화사업을 추진할 경우에 대하여 자체 보안대책을 강구하고 안전성을 확 인하기 위하여 사업 계획단계(사업 공고 전)에서 보안담당관을 경유하여 보안심사위원회에 보안성 검 토를 의뢰하여야 한다.
1. 비밀 등 중요자료의 생산, 등록, 보관, 사용, 유통 및 재분류, 이관, 파기 등 비밀 업무와 관련된 정보시스템 및 네트워크 구축
2. 국가용 보안시스템과 상용 암호모듈ㆍ정보보호시스템을 도입 운용하고자 할 경우 3. 국방ㆍ외교 등 국가안보상 중요한 정보통신망 및 정보시스템의 구축
4. 대규모 정보시스템 또는 다량의 개인정보를 처리하는 정보시스템 구축
5. 전력ㆍ교통 등 국민생활과 밀접한 정보통신기반시설의 중요 제어시스템 구축 6. 내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우 7. 업무망과 연결되는 무선 네트워크 시스템 구축
8. 와이브로ㆍ스마트폰 등 첨단 IT기술을 업무에 활용하는 시스템 구축 9. 원격근무시스템 구축
10. 업무망과 인터넷 분리 사업
11. 그 밖에 대학 또는 국가정보원장이 보안성 검토가 필요하다고 판단하는 정보화사업
② 대학은 제1항에서 명시된 사업을 제외한 경미한 사업은 교육과학기술부장관 및 시․도교육감에게 보안성 검토를 의뢰하여야 한다.
③ 제1항 및 제2항의 보안성 검토 대상 정보화사업에 관련된 구체적인 사항은 부록2(정보화사업 보 안성 검토 처리기준)를 참조한다.
④ 대학은 제1항에 명시된 보안성 검토 대상 사업의 경우에도 국가정보원장의 승인을 받아 보안성 검 토를 생략할 수 있다.
⑤ 제1항의 제2호에 명시된 국가용 보안시스템과 암호모듈ㆍ정보보호시스템 자체에 대한 검증은
「국가정보보안기본지침」제27조, 제78조, 제113조, 제123조 내지 제129조 등에 따른다.
⑥ 대학은 해당 연도의 정보통신망 보안성 검토 대상사업 현황을 1.25까지 교육과학기술부장관 및 시․도교육감에게 제출하여야 한다. 이 경우 제6조의 규정에 의한 추진계획을 활용하거나 별도로 제
출할 수 있다. 9
안정성 확인
정보보안지침 , 건국대학교, 2012
제 66조(보안성 검토 절차)
① 대학이 정보통신망 보안성 검토를 의뢰하는 업무 절차는 다음과 같다.
1. 대학은 자체적으로 수립한 보안대책에 대하여 자체 보안심사위원회 심사를 거 친 후 보안성검토를 요청한다.
② 제65조 제1항에서 명시된 사안을 제외한 경미한 사업을 추진할 경우에 교육과학기술부장관은 소속․공공기관 및 대학에 대한 보안성검토를 시ㆍ 도교육감은 교육행정기관 및 초․중등학교에 대한 보안성검토를 자체 수행 한다.
③ 정보통신망 보안성 검토는 서면 검토를 원칙으로 하되 필요하다고 판단 하는 경우에는 현장 확인을 병행 실시할 수 있다.
안정성 확인
정보보안지침 , 건국대학교, 2012
제 67조(제출문서)
① 대학은 정보통신망 보안성 검토를 요청할 경우에는 다음 각 호의 문서 를 제출하여야 한다.
1. 사업계획서(사업목적 및 추진계획 포함)
2. 기술제안요청서(RFP)
3. 정보통신망 구성도(IP주소체계 포함)
4. 자체 보안대책 강구사항
② 제1항 제4호의 자체 보안대책 강구사항에는 다음 각 호를 포함하여야 한다.
1. 보안관리 수행체계(조직, 인원) 등 관리적 보안대책
2. 정보시스템 설치장소에 대한 보안관리 방안 등 물리적 보안대책
3. 국가용 보안시스템 및 국가정보원장이 개발하거나 안전성을 검증한 암호모 듈ㆍ정보보호시스템 도입 운용 계획
4. 국가기관 간 망 연동 시 해당 기관 간 보안관리 협의사항
5. 서버, 휴대용 저장매체, 네트워크 등 정보통신망의 요소별 기술적 보안대책
6. 재난복구 계획 또는 상시 운용계획11
안정성 확인
정보보안지침 , 건국대학교, 2012
제 68조(결과조치)
① 대학은 보안성 검토 결과를 준수하여 보안대책을 강구하여야 한다. 이 경우, 교육과학기술부장관 및 시․도교육감은 보안성 검토 결과 신속한 시 정이 필요하다고 판단하는 경우에는 필요한 조치를 요청할 수 있으며 해 당기관의 장은 특별한 사유가 없는 한 이에 따라야 한다.
② 교육과학기술부장관 및 시․도교육감은 정보통신망 보안대책이 적절 히 수립되었는지 등 이행여부 확인을 위해 현장점검을 실시할 수 있다.안정성 확인
정보보안지침 , 건국대학교, 2012
제 69조 (정보보호시스템의 도입 등)
① 대학은 정보 및 정보통신망 등을 보호하기 위해 정보보호시스템을 도입 할 수 있다. 다만, 별표3에 규정된 유형의 시스템에 대해서는 해당 도입요 건을 만족하는 경우로 한정한다.
13
보안 적합성 확인
정보보안지침 , 건국대학교, 2012
제 70조 (보안적합성 검증대상 및 신청)
① 대학은 제72조에 의해 정보보호시스템 도입할 경우 사전에 보안담당관 을 경유하여 보안심사위원회에 보안적합성 검증을 신청하여야 한다.
② 보안적합성 검증대상은 다음 각 호와 같다.
1. 상용 정보보호시스템
2. 대학이 자체 개발하거나 외부업체 등에 의뢰하여 개발한 정보보호시스템 3. 제68조의 보안성 검토 결과 세부 검증이 필요하다고 판단된 보안기능이 있는 정보시스템 및 제어시스템 등
③ 제2항에도 불구하고, 다음 각 호의 경우에는 검증을 생략할 수 있다.
1. 국가정보원장이 정한 국내용 CC 인증제도에 따라 인증을 받은 정보보호시스 템
2. 국가정보원장이 안정성을 확인한 암호제품
3. 그 밖에 국가정보원장이 보안적합성 검증이 불요하다고 인정한 시스템
보안 적합성 확인
정보보안지침 , 건국대학교, 2012
제 71조 (결과조치)
① 보안적합성 검증 신청에 필요한 제출문서는 다음과 같다.
1. 상용 정보보호시스템
가. 별지 제6호 서식의 정보보호시스템 도입 시 확인사항 1부 나. 별지 제7호 서식의 보안적합성 검증 신청서 1부
다. 기술제안요청서 사본 1부
2. 자체 개발하거나 외부업체 등에 의뢰하여 개발한 시스템
가. 별지 제6호 서식의 정보보호시스템 도입 시 확인사항 1부 나. 별지 제7호 서식의 보안적합성 검증 신청서 1부
다. 기술제안요청서 사본 1부 라. 상세설계서 1부
마. 개발완료 보고서 1부 바. 사용설명서 1부
② 보안심사위원회는 제1항의 제출문서 이외에 보안적합성 검증에 필요하 다고 판단될 경우 추가 자료를 요청할 수 있으며 이 경우, 특별한 사유가 없 는 한 15일 이내에 추가 자료를 제출하여야 한다. 15
보안 적합성 확인
정보보안지침 , 건국대학교, 2012
제 72조 (사후관리)
① 대학은 보안적합성 검증 완료 이후 시스템에 새로운 취약점이 발견될 경 우에는 즉시 제거한 후 그 결과를 교육과학기술부장관에게 통보하고 제거 가 불가능할 경우에는 그 사실을 교육과학기술부장관에게 통보하여 조치 를 받아야 한다.
② 교육과학기술부장관은 신규 취약점이 발견된 시스템에 대해 대학에게 취약점 제거를 요청할 경우 대학은 특별한 사유가 없는 한 30일 이내에 이 를 제거하고 그 결과를 교육과학기술부장관에게 통보하여야 한다.
보안 적합성 확인
정보보안지침 , 건국대학교, 2012
제 73조 (무단변경 및 오용금지) 대학은 보안적합성 검증이 완료된 시스템의 형상을 무단 변경하거나 도입 목적 이외의 용도로 운용하 여서는 아니 된다 .
17