안녕하세요 저는 최근에 많은 정보화 사업 보안성 검토와 다양한 보안 이슈.. 보안 감사로 인해 정신없는 시간을 보내고 있습니다. 업무가 많이 어렵고 힘들긴 하지만, 국가정보원에서 감사하게도 많은 가르침을 주셔서 힘을 내고 있습니다.
오늘 보안성 검토에 대해서 이야기 드리고 싶은 부분은 보안성 검토 결과 이행점검에 대한 부분인데 국가정보원에서는 국가기관에 대하여 보안성 검토 결과에 대한 이행점검을 사이버안보 업무규정 제9조(사이버보안 예방 조치 등)에 의해 수행할 수 있는데요.
이건 국가정보원이 아닌 상급기관의 장도 시행을 할 수 있습니다.
그러므로 보안성 검토 담당자는 사업이 마무리 되는 하반기 쯤에 정보화 사업의 보안성 검토 결과를 제대로 이행하고 있는지 취약사항을 파악하고 개선하기 위해 꼭 나가서 점검하시는 것이 좋은데, 여기서 제가 주로 보는 사항을 안내해 드리자면 아래와 같습니다.
□ 보안성 검토 이행점검 사항
가. 보안성 검토 결과 내용 전반을 파악하여 취약사항 도출
- 용역 관련 사항, 개발 관련 사항, 시스템 관련 사항, 보안 장비 관련 사항, 재해 및 재난 복구 계획 관련 사항
나. 용역 관련 사항
- 용역 PC 보안 사항(망 분리 여부, 보안 솔루션 설치, USB 사용 기록, 무선랜 사용 기록 등), 보안서약서,
신원조사서, 보안교육결과, 장비반출입대장, 출입대장, 개발지 출입구 CCTV 및 관리대장, 개발지 출입
통제시스템, 계정관리대장, 보안 위규 관련 처벌 및 배상관련 조항이 포함된 계약서
다. 개발 보안 관련 사항
- 공급망 관리 부분(소프트웨어 상세 목록표, 소프트웨어 패치 내역 관리), 형상관리 사용 여부, 시큐어코딩을
활용한 개발 여부, 개발 완료 후 취약점 점검을 수행하고 연 1회 취약점 점검 수행해왔는지 여부, 소프트웨어
상세 목록표에 나온 서드파티, 오픈소스의 취약 버전 사용 확인
라. 시스템 관련 사항
- 계정 보안 정책 설정 여부(암호 만료 기간, 길이, 실패 횟수 등), 기본 및 취약 포트 파악, 무분별한 계정 생성
및 계정 미관리, root 원격 접속 허용, 로그 저장 기간 및 저장 로그 파악(로그인 성공, 로그인 실패 등), DB 내
개인정보 암호화 여부, EoS된 운영체제 사용 여부, 서버 접근제어 미설정, 취약한 OpenSSL 버전, 공유 폴더
사용, 각 사용자별 별도 계정 부여 여부, 접속 유지 시간 설정 여부(세션타임아웃)
마. 보안장비 관련 사항
- Default 계정 및 비밀번호 변경, 계정별 권한 설정 여부, 로그인 실패 횟수, 원격 접근 관리 통제 여부, 세션
타임 아웃, 로그 설정 및 저장(1년 이상), 정책 백업 여부, 원격 로그 서버 사용(통합로그관리)
'정보보안' 카테고리의 다른 글
| 보안성 검토 기본 가이드(3) (0) | 2026.01.11 |
|---|---|
| 보안성 검토 기본 가이드(1) (0) | 2025.04.27 |
