2.6.1 네트워크 접근
네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리[DMZ(Demilitarized Zone), 서버팜, 데이터베이스존, 개발존 등]와 접근통제를 적용하여야 한다.
정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제
비인가자 및 단말의 내부 네트워크 접근 통제
네트워크 장비에 설치된 내부 네트워크 접근 통제
접근통제 영역 및 예시
DMZ
- 외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치
- DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단
서버팜
- 다른 네트워크 영역과 구분하여 작성
- 인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용
데이터베이스팜
- 개인정보 등 중요정보가 저장된 데이터베이스가 위치한 네트워크 영역은 다른 네트워크 영역과 분리
운영자 환경
- 서버, 보안장비, 네트워크 장비 등을 운영하는 운영자 네트워크 영역은 일반 사용자 네트워크 영역과 분리
개발 환경
- 개발업무(개발서버, 테스트서버 등)에 사용되는 네트워크는 운영 네트워크와 분리
외부자 영역
- 외부 인력이 사용하는 네트워크 영역(외주용역, 민원실, 교육장 등)은 내부 업무용 네트워크와 분리
기타
- 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영
- 클라우드 서비스를 이용하는 경우 클라우드 환경의 특성을 반영한 접근통제 기준을 수립·이행
- 기업의 규모 등을 고려하여 서버팜과 데이터베이스팜 등을 구분하기 어려운 경우 위험평가 결과 등을 기반으로 보완대책을 적용할 필요가 있음
(호스트 기반 접근통제 등)
접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제
IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리
내부망에서의 주소 체계는 사설IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용
사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용
물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다.
결함 사례
-
네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우
-
내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우
-
서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우
-
외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우
-
내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우
2.6.2 정보시스템 접근
서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수당 등을 정의하여 통제하여야 한다.
계정 및 권한 신청 / 승인 절차
사용자별로 개별 계정 부여 및 공용 계정 사용 제한
계정 사용 현황에 대한 정기 검토 및 현행화 관리
접속 위치 제한 : 접속자 IP주소 제한 등
관리자 등 특수권한에 대한 강화된 인증수단 고려 : 인증서, OTP 등
안전한 접근수단 적용 : SSH, SFTP
동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등
정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치하여야 한다.
정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다.
- Netbios, File-Sharing, Telnet, FTP 등과 같이 안전하지 않은 서비스를 보호하기 위하여 SSH, SFTP, IPSec VPN 등과 같은 안전한 기술 사용
결함 사례
-
사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나, 터미널 서비스에 대한 세션 타임아웃 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우
-
서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우
-
타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우
2.6.3 응용프로그램 접근
사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별
응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하여야 한다.
개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal검색)이나 두 가지 조건 이상의 검색조건 사용 등
관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하여야 한다.
결함 사례
-
응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인 정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
-
응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우
-
응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
-
응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
-
응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우
2.6.4 데이터베이스 접근
테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.
데이터베이스에서 사용되는 테이블 목록, 저장되는 정보, 상관관계 등을 식별
중요정보 및 개인정보의 저장 위치(데이터베이스 및 테이블명·컬럼명) 및 현황(건수, 암호화 여부 등) 식별
데이터베이스 현황에 대하여 정기적으로 조사하여 현행화 관리
데이터베이스 내 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하여야 한다.
- 데이터베이스 접속 권한을 관리자(DBA), 사용자로 구분하여 직무별 접근통제 정책 수립·이행
(최소 권한 원칙에 따른 테이블, 뷰, 컬럼, 쿼리 레벨에서 접근통제 등) - 중요정보가 포함된 테이블, 컬럼은 업무상 처리 권한이 있는 자만 접근할 수 있도록 제한
- DBA 권한이 부여된 계정과 조회 등 기타 권한이 부여된 계정 구분
- 응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 제한
- 계정별 사용 가능 명령어 제한
- 사용하지 않는 계정, 테스트용 계정, 기본 계정 등 삭제
- 일정시간 이상 업무를 수행하지 않는 경우 자동 접속차단
- 비인가자의 데이터베이스 접근 제한
- 개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한
- 다른 네트워크 영역 및 다른 서버에서의 비인가 접근 차단
- 데이터베이스 접근을 허용하는 IP주소, 포트, 응용프로그램 제한
- 일반 사용자는 원칙적으로 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 조치 등
결함 사례
-
대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
-
개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
-
내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
-
데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
-
개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
2.6.5 무선 네트워크 접근
무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.
(Ad Hoc 이란 임시방편의 해결책, 불충분한 계획, 또는 즉석 이벤트를 의미함)
인증, 송수신 데이터 암호화 등 보호대책 예시
무선네트워크 장비(AP 등) 목록 관리
사용자 인증 및 정보 송수신 시 암호화 기능 설정
무선 AP 접속 단말 인증 방안(MAC 인증 등)
SSID(Wifi 이름) 숨김 기능 설정
무선네트워크에 대한 ACL(Access Control List, 접근 제어 목록) 설정
무선 AP의 관리자 접근 통제(IP제한) 등
인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하여야 한다.
외부인에게 제공하는 무선네트워크는 임직원이 사용하는 무선네트워크와 분리
결함 사례
-
외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우
-
무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나, 안전하지 않은 방식으로 설정한 경우
-
업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅(목적이 아예 없는 통신 / 누구나 신호를 받을 수 있도록 뿌려주는 방식) 허용, 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우
2.6.6 원격접근 통제
보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.
인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 원격운영은 원칙적으로 금지하고 부득이하게 허용하는 경우 다음과 같은 대책을 수립·이행하여야 한다.
- 원격 운영 및 접속에 대한 책임자의 승인
- 안전한 인증수단(인증서, OTP 등) 적용
- 안전한 접속수단(VPN 등) 적용
- 한시적 접근권한 부여 및 권한자 현황 관리
- 백신 설치, 보안패치 등 접속 단말 보안
원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등) - 원격접속 기록 로깅 및 주기적 분석
- 원격 운영 관련 보안인식 교육 등
내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하여야 한다.
- 접속 가능한 단말을 IP주소, MAC주소 등으로 제한
- 정상적인 원격 접속 경로를 우회한 접속경로 차단 등
결함 사례
-
내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나, 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
-
원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나, VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우
-
외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나, 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우
2.6.7 인터넷 접속 통제
인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.
인터넷 연결 시 네트워크 구성 정책
외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책
유해사이트(성인, 오락 등) 접속 차단 정책
정보 유출 가능 사이트(웹하드, P2P, 원격접속 등) 접속 차단 정책
망분리 관련 정책(망분리 적용 여부, 망분리 대상자, 망분리 방식, 망간 자료전송 절차 등)
인터넷 접속내역 검토(모니터링) 정책 등
주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.
관련 법령에 따라 인터넷 망분리가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하여야 한다.
- 전년도 말 직전 3개월간 개인정보가 저장 / 관리하고 있는 이용자 수가 일일평균 100만명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등
- 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우
망분리 적용
망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별
망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정
물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
망분리 우회 경로 파악 및 차단 조치
망간 자료전송을 위한 통제 방안 마련
망분리 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등
결함 사례
-
개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우
-
망분리 의무대상으로서 망분리를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우
-
DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
-
인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
-
내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우
