항목 : 2.6.5 무선 네트워크 접근
■ 인증기준 : 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.
■ 주요 확인사항
- 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립·이행하고 있는가?
- 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립· 이행하고 있는가?
- AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선 네트워크에 대한 보호대책을 수립·이행하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제6조(접근통제)
- 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
금융분야 추가확인사항
- 전자금융감독규정 제15조(해킹 등 방지대책) 제6항제1호, 제2호, 제3호, 제4호
- 전자금융감독규정 제11조(전산실 등에 관한 사항) 제12호
■ 세부 설명
① 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 다음과 같은 보호대책을 수립·이행하여야 한다.
- 무선네트워크 장비(AP 등) 목록 관리
- 사용자 인증 및 정보 송수신 시 암호화 기능 설정(WPA2-Enterprise mode 등)
- 무선 AP 접속 단말 인증 방안(MAC 인증 등)
- SSID 숨김 기능 설정
- 무선네트워크에 대한 ACL 설정
- 무선 AP의 관리자 접근 통제(IP제한) 등
금융분야 추가확인사항
- 무선네트워크 장비 기본 설정 값 변경(계정, 비밀번호, SNMP Community String 등)
- 무선네트워크 이용 업무 최소화 및 이용 시 정보보호최고책임자 사전 승인
② 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하여야 한다.
- 무선네트워크 사용권한 신청 및 승인 절차(사용자 및 접속단말 등록 등)
- 퇴직, 기간 만료 등의 사유로 무선네트워크 사용이 필요하지 않은 경우 접근권한 해지 절차
- 외부인에게 제공하는 무선네트워크는 임직원이 사용하는 무선네트워크와 분리
③ AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호 대책을 수립·이행하여야 한다.
- WIPS(무선침입방지시스템) 설치·운영, 주기적으로 비인가 AP(Rogue AP) 설치 여부 점검 등
금융분야 추가확인사항
- 금융회사 내부망에 연결된 정보처리시스템이 지정된 업무 용도와 사용 지역(Zone) 이외의 무선통신망에 접속하는 것을 차단하기 위한 차단시스템 구축 및 실시간 모니터링 체계 운영
- 비인가 무선접속장비(Access Point : AP) 설치 및 접속 여부와 중요 정보 노출여부 점검(분기별 1회 이상 권고)
④ 금융회사 또는 전자금융업자는 전산실 내부에 무선통신망 설치 및 운영을 금지하여야 한다.
■ 증적예시
- 네트워크 구성도
- AP 보안 설정 내역
- 비인가 무선 네트워크 점검 이력
- 무선네트워크 사용 신청·승인 이력
■ 결함사례
- 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
- 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
- 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터 베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
- 데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
- 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.7 인터넷 접속 통제) (0) | 2023.02.21 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.6 원격접근 통제) (0) | 2023.02.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.4 데이터베이스 접근) (0) | 2023.02.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.3 응용프로그램 접근) (0) | 2023.02.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.2 정보시스템 접근) (0) | 2023.02.21 |