인프라 쪽 보안점검을 진행하다 중요단말기 관련해서 헷갈렸던 부분이 있어서 정리.
점검 기준은 주요정보통신기반시설 기술적 취약점 분석평가 방법 및 전자금융감독규정.
0. 중요단말기로 분류하는 명확한 기준은 없음
금융회사 및 전자금융업자는 접속 가능한 시스템, 처리하는 업무의 내용 및 위험수준 등을 고려하여 자체적으로 중요단말기 지정 기준을 수립·운영할 수 있다. 따라서 회사에서 중요단말기 아니라 하면 아니고, 맞다 하면 맞는거..
다만, 중요단말기 여부와 무관하게 ‘운영, 개발, 보안 목적으로 정보처리시스템에 직접 접속하는 단말기’는 전자금융감독규정 제15조 제1항 제5호에 따라 물리적으로 망분리를 적용해야 함.
‘운영, 개발, 보안 목적으로 정보처리시스템에 직접 접속하는 단말기’이지만, 중요단말기는 아니라고 주장하는 기업이 있어도, 어차피 물리적 망분리를 해야하기 때문에 인터넷 등 외부망이나 그룹웨어 등 내부망에 접근이 불가능한 단말기로 세팅해야 한다.
1. 중요단말기는 물리적 망분리해야 함
| <전자금융감독규정 제15조 제1항 제5호> 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.) |
심지어 중요단말기는 망분리 예외도 안 된다.
| 제2조의2(망분리 적용 예외) ① 규정 제15조제1항제3호에서 금융감독원장의 확인을 받은 경우란 내부 업무용 시스템을(규정 제12조의 중요단말기는 제외한다) 업무상 필수적으로 특정 외부기관과 연결해야 하는 경우를 말한다(다만, 이 경우 필요한 서비스번호(port)에 한하여 특정 외부기관과 연결할 수 있다). |
근데 여기서 계속 헷갈렸던 부분은,
중요단말기로만 구성된 독립적인 네트워크를 물리적 망분리를 통해 구성해야 하는지,
물리적 망분리가 되어 있는 IT보안 등 특정 부서의 네트워크 안에서 중요단말기가 인터넷/그룹웨어 등이 차단되면 양호인지..
해석에 따라 헷갈리지만 정답은 모르겠다.;
2. 정보처리시스템(서버, DB 등)을 제외하고 인터넷 등 외부 네트워크 + 내부망 네트워크(그룹웨어 등)에 접근이 안 되어야 함.
| <전자금융감독규정 제12조 제3호> 외부 반출, 인터넷 접속, 그룹웨어 접속의 금지 등 강화된 보호대책이 적용되는 중요단말기를 지정할 것 |
따라서 담당자(관리자)의 업무망 PC에서 내부망 네트워크 접속이 된다면, 내부망 네트워크에 접속이 안 되는 별도의 PC를 세팅해서 중요단말기로 사용해야 함.
* '내부 업무망 >> RDP >> 중요단말기 >> 정보처리시스템' 처럼 중요단말기에 원격접속은 불가
단, 이번 코로나 사태로 특정 조건에서의 원격 접속(RDP 등)은 허용.
* 재택근무 직원 및 단말기 사전승인, 재택근무 단말기는 회사 단말기와 동일한 보안통제 적용, 원격접속시 통신 암호화 및 이중인증 적용, 원격접속 및 자료 반출입 이상징후 모니터링 강화 등 까다로운 조건이 있다.
아래 참고
https://legalengine.co.kr/cases/HzR971CA37qWSKc1b7_rwQ
중요단말기 사용 직원의 원격 접속에 대한 비조치의견서 | 리걸엔진 - AI 판례 검색
금융규제민원포털 | 비조치의견서 | 금융위원회,자본시장정책관,자본시장과,금융감독원,IT핀테크전략국 | 2020-05-14
legalengine.co.kr
3. 중요단말기와 서버와의 직접 접근(SSH, RDP 등)은 안 됨
감독규정 보면 중요단말기와 정보처리시스템 간에 정보보호시스템 장비 혹은 정보보안 솔루션을 '반드시' 두어야 한다는 문구는 없는 것 같음(놓쳤을 지도..)
하지만 어느 사용자가, 어떠한 행위를, 언제 했는지 등에 대한 '감사로그'가 필요하기 때문에 중요단말기와 정보처리시스템 사이에 접근통제관리시스템 등을 넣는 것을 권장.
* 기본적으로 OS에 감사 기능이 있지만, 이 기능은 OS에서 일어난 이벤트 등의 기록은 되어도 실사용자가 누군지 구분하기 어렵고 위변조 검증에 대한 신뢰도 낮기 때문에 많은 업체에서 접근통제관리 시스템을 사용함
참고.
| <감독규정> 중요 단말기 유형은 '정보처리시스템 또는 DB에 직접 접근이 가능한 권한이 부여되는 단말기'라고 설명되어 있음 |
| < 감독규정 > 제12조(단말기 보호대책) 금융회사 또는 전자금융업자는 단말기 보호를 위하여 다음 각 호의 사항을 준수 하여야 한다. 1. 업무담당자 이외의 사람이 단말기를 무단으로 조작하지 못하도록 조치할 것 2. 정보처리시스템에 접속하는 단말기에 대해 정당한 사용자인가의 여부를 확인할 수 있는 기록을 유지할 것 3. 외부 반출, 인터넷 접속, 그룹웨어 접속의 금지 등 강화된 보호대책이 적용되는 중요단말기를 지정할 것 4. 정보유출, 악성코드 감염 등을 방지할 수 있도록 단말기에서 보조기억매체 및 휴대용 전산장비에 접근 하는 것을 통제할 것 5. 삭제 |
| < 감독규정 > 제14조(정보처리시스템 보호대책) 금융회사 또는 전자금융업자는 정보처리시스템의 안전한 운영을 위하여 다음 각 호를 포함한 보호대책을 수립/운용하여야 한다. 1. 주요 정보처리시스템에 대한 구동, 조작방법, 명령어 사용법, 운용순서, 장애조치 및 연락처 등 시스템 운영매뉴얼을 작성할 것 2. 데이터베이스관리시스템(Database Management System : DBMS)/운영체제/웹프로그램 등 주요 프로그램에 대하여 정기적으로 유지보수를 실시하고, 작업일, 작업내용, 작업결과 등을 기록한 유지보수관리 대장을 작성/보관할 것 3. 정보처리시스템의 장애발생 시 장애일시, 장애내용 및 조치사항 등을 기록한 장애상황기록부를 상세하게 작성・보관할 것 4. 정보처리시스템의 정상작동여부 확인을 위하여 시스템 자원 상태의 감시, 경고 및 제어가 가능한 모니터링시스템을 갖출 것 5. 시스템 통합, 전환 및 재개발 시 장애 등으로 인하여 정보처리시스템의 운영에 지장이 초래되지 않도록 통제 절차를 마련하여 준수할 것 6. 정보처리시스템의 책임자를 지정/운영할 것 7. 정보처리시스템의 운영체계, 시스템 유틸리티 등의 긴급하고 중요한 보정(patch)사항에 대하여는 즉시 보정 작업을 할 것 8. 중요도에 따라 정보처리시스템의 운영체제 및 설정내용 등을 정기 백업 및 원격 안전지역에 소산하고 백업자료는 1년 이상 기록/관리할 것 9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것 10. 정보처리시스템 운영체제(Operating System) 계정에 대한 사용권한, 접근 기록, 작업 내역 등에 대한 상시 모니터링체계를 수립하고, 이상 징후 발생 시 필요한 통제 조치를 즉시 시행할 것 |
| < 감독규정 > 제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립/운용하여야 한다. 1. 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호시스템 설치 및 운영 2. 해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시 3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리/차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다) 4. 내부통신망에서의 파일 배포기능은 통합 및 최소화하여 운영하고, 이를 배포할 경우에는 무결성 검증을 수행할 것 5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.) ② 제1항제1호의 규정에 따른 정보보호시스템을 설치/운영하는 경우에는 다음 각 호의 사항을 준수하여야 한다. 1. 삭제 2. 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거할 것 3. 보안정책의 승인/적용 및 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록/보관할 것 4. 정보보호시스템의 원격관리를 금지하고 주기적으로 작동 상태를 점검할 것 5. 시스템 장애, 가동중지 등 긴급사태에 대비하여 백업 및 복구 절차 등을 수립/시행할 것 ③ 제1항 각 호의 정보보호시스템에 대하여 책임자를 지정/운영하여야 하며, 운영결과는 1년 이상 보존하여야 한다. ④ 금융회사 또는 전자금융업자는 해킹 등 전자적 침해행위로 인한 피해 발생시 즉시 대처할 수 있도록 적절한 대책을 마련하여야 한다. ⑤ 삭제 ⑥ 금융회사 또는 전자금융업자는 무선통신망을 설치/운용할 때에는 다음 각 호의 사항을 준수하여야 한다. 1. 무선통신망 이용 업무는 최소한으로 국한하고 법 제21조의2에 따른 정보보호최고책임자의 승인을 받아 사전에 지정할 것 2. 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화 등 보안대책을 수립할 것 3. 금융회사 내부망에 연결된 정보처리 시스템이 지정된 업무 용도와 사용 지역(zone) 이외의 무선통신망에 접속하는 것을 차단하기 위한 차단시스템을 구축하고 실시간 모니터링체계를 운영할 것 4. 비인가 무선접속장비(Access Point : AP) 설치/접속여부, 중요 정보 노출여부를 주기적으로 점검할 것 |
https://legalengine.co.kr/cases/HzR971CA37qWSKc1b7_rwQ
중요단말기 사용 직원의 원격 접속에 대한 비조치의견서 | 리걸엔진 - AI 판례 검색
금융규제민원포털 | 비조치의견서 | 금융위원회,자본시장정책관,자본시장과,금융감독원,IT핀테크전략국 | 2020-05-14
legalengine.co.kr
중요단말기 해당 여부 | 리걸엔진 - AI 판례 검색
금융규제민원포털 | 비조치의견서 | 금융위원회,금융산업국,보험과,금융감독원,IT핀테크전략국 | 2019-09-27
legalengine.co.kr
중요단말기 대상 제외 가능 여부 | 리걸엔진 - AI 판례 검색
금융규제민원포털 | 비조치의견서 | 금융위원회,금융정책국,금융정책과,금융제도팀,금융소비자국,중소금융과,금융감독원,IT핀테크전략국 | 2020-05-14
legalengine.co.kr
'인프라 보안' 카테고리의 다른 글
| 망분리 정리 (0) | 2022.12.02 |
|---|---|
| cisco exec command default level (0) | 2022.11.15 |
| cisco snmp community and group (0) | 2022.11.15 |
댓글