1. 취약점 분석·평가 개요
o 취약점 분석·평가란, 악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가개선하는 일련의 과정을 말함
- 주요정보통신기반시설의 안정적 운영을 위협하는 사이버보안 점검항목과 항목별 세부 점검항목을 도출하여 취약점 분석을 실시
- 발견된 취약점에 대한 위험등급 부여, 개선방향 수립 등의 유기적인 평가 수행
2. 취약점 분석·평가 수행 주체 및 주기
□ 수행 주체
o 주요정보통신기반시설의 관리기관이 직접 수행할 경우 자체 전담반을 구성하여 운영
- 정보통신기반 보호법 시행령[별표1 : 취약점 분석·평가 전담반 구성 기준] [붙임1]
o 관리기관이 외부기관에게 위탁할 경우, 지식정보보안 컨설팅전문업체 등 전문기관에 위탁 수행
- 전문기관 : 한국인터넷진흥원, 정보공유·분석센터, 한국전자통신연구원, 지식정보보안 컨설팅전문업체 등 (정보통신기반 보호법 제9조)
※ 지식정보보안 컨설팅전문업체(정보통신산업진흥법 제33조) : 롯데정보통신, 시큐아이닷컴, 싸이버원, 안랩, 에스티지시큐리티, 에이쓰리시큐리티, 인포섹 이상 7개(2012년 11월 기준)
□ 수행 주기
o 주요정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에 취약점 분석·평가를 실시
- 6개월 이내 취약점 분석·평가를 수행치 못할 경우 관할 중앙행정기관의 장의 승인을 얻어 3개월 연장가능(총9개월)
- 주요정보통신기반시설로 최초 지정일로 부터 6개월 이전 취약점 분석·평가를 하였을 경우 수행한 것으로 간주
※ 단, 6개월 이내의 취약점 분석·평가 수행 내용이 본 기준에 부합할 경우에 한하여 인정
o 매년 정기적으로 취약점 분석·평가 실시
- 취약점 분석·평가는 가용자원과 대상시설 식별, 자산 중요도 산정 및 해당 시스템 대한 정밀분석 실시
- 취약점 분석·평가 대상시설에 중대한 변화가 있거나, 관리기관의 장이 필요하다고 판단하는 경우에는 1년이 되지않아도 취약점 분석·평가를 실시할 수 있음
3. 취약점 분석 평가의 범위 및 항목
o 취약점 분석평가의 범위는 주요정보통신기반시설의 세부시설로 정의된 정보시스템 자산, 제어시스템 자산, 의료시스템 자산 등
- 정보시스템 자산에 직간접적으로 관여하는 물리적관리적기술적 분야를 포함
o 정보통신기반시설과 연계된 타 시스템이 있을 경우는 연계 시스템이 기반시설에 미치는 영향을 포함
※ 연계된 타 시스템이란 내부 시스템과 외부 기관과의 연계전용망, 원격 접속을 위한 VPN 망, 인터넷 연결망 등의 접속구간과 정보시스템을 의미
o 취약점 분석평가 기본항목은 ① 관리적, ②물리적, ③기술적으로 구분
- 기본 항목은 3단계(상중하)로 중요도를 분리
- 기본 항목의 중요도 “상”인 점검항목은 필수적으로 점검[붙임2]
- 기본 항목의 “중”, “하” 항목은 기관의 사정에 따라 선택점검[붙임3]
※ 점검결과 사용되지 않거나, 불필요한 항목은 안전한 설정값 변환 등 보호대책 마련
4. 수행 절차 및 방법
□ 수행절차 : 4단계 구성
□ 1단계 : 취약점 분석·평가 계획 수립
o 평가계획은 수행주체(자체외부위탁), 수행절차, 소요예산, 산출물 등 취약점 분석평가를 위한 세부계획을 수립
□ 2단계 : 취약점 분석·평가 대상 선별
o 기반시설의 IT자산, 제어시스템자산, 의료장비 등 자산을 식별하고, 유형별로 그룹화하여, 취약점 분석평가 대상목록 작성
o 식별된 대상목록의 각 자산에 대하여 중요도를 산정
※ 주요정보통신기반시설의 특성을 고려하여 상·중·하, 1~3등급 등으로 구분
□ 3단계 : 취약점 분석 수행
o 취약점 분석평가를 위한 관리적/물리적/기술적 세부 점검항목표 수립
- [붙임2]로 제시된 취약점 점검항목을 기본으로 하며, 기관별 특성에 따라 추가 보완하여 점검표를 작성
- 특정 시스템(특정OS, 특정DB 등)에 대해서는 [붙임2]의 점검항목을 기반으로 일부 항목을 조정하여 점검표 마련
※ 예) VMS, OS/2 등의 특정OS 시스템은 붙임2의 유닉스 점검항목을 기반으로 점검을 수행하고 시스템 상황에 따라 일부 항목을 가감
o 취약점 분석요령은 관리적/물리적/기술적으로 구분하여 확인
- 관리적 점검 요령은 정보보호 정책/지침 등 관련 문서 확인과 정보보호 담당자, 시스템 관리자, 사용자 등과의 면담으로 확인
- 물리적 점검 요령은 전산실, 현관, 발전실 등의 통제구역을 실사하여 확인
- 기술적 점검 요령은 점검도구(툴), 수동점검, 모의해킹 등을 통해 확인
※ 직전년도에 발견된 취약점에 대해서는 중점적인 확인 수행
□ 4단계 : 취약점 평가 수행
o 취약점 분석 결과에 대해 세부내용을 서술하고 발견된 취약점별 위험등급 표시 및 개선방향 수립을 원칙으로 함
- 위험등급은 상·중·하 등 3단계로 표시
※ 비밀성, 무결성, 가용성을 고려하여 위험등급(상중하)을 정의하고 구분
- 위험등급 “상”은 조기개선, “중”, “하”는 중기 또는 장기개선으로 구분하여 개선방향 수립
o 다만, 취약점 분석·평가 결과에 대해 정량적인 점수(100점 만점)로 산출·관리를 희망하는 관리기관은 [붙임4]의 산출식 예시를 참고하여 수행
※ 취약점 분석·평가 결과에 대한 정량적인 점수 산출은 관리기관의 시범적용 사례를 토대로 유효성, 적정성을 분석 후 필요시 향후 전면시행 검토 예정
5. 기타사항
o 취약점 분석평가에서 발견된 위험요소(취약점)는 보호대책에 반영
- 차년도 보호대책의 추진 과제중 “예방계획” 또는 “대응복구계획”항목에 기재
o 취약점 분석평가 결과 오용 방지를 위한 관리강화
- 취약점 분석평가 결과는 해당 기관에서만 관리하고, 수행업체의 노트북, USB 등에 저장된 자료는 폐기
- 수행업체로 인한 외부유출 방지를 위하여 벌칙조항이 포함된 서약서 징구
부칙
별표 서식 정보
댓글 없음:
댓글 쓰기