ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.7 인터넷 접속 통제)

항목 : 2.6.7 인터넷 접속 통제

 

■ 인증기준 : 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.

 

■ 주요 확인사항

• 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제 정책을 수립·이행하고 있는가? 
• 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? 
• 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가?

 

■ 관련 법규

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제6조(접근통제) 
• 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)

금융분야 추가확인사항

• 전자금융감독규정 제15조(해킹 등 방지대책) 제1항 제3호, 제5호
• 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제5항
• 신용정보업감독규정 [별표3] 기술적･물리적･관리적 보호대책 마련 기준 Ⅱ기술적･물리적 보안대책 1. 접근통제 제6항
• 전자금융감독규정 시행규칙 제2조의2(망분리 적용 예외) 금융회사의 정보처리 업무 위탁에 관한 규정 제4조(정보처리의 위탁)

 

■ 세부 설명

 ① 인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립·이행 하여야 한다.

• 인터넷 연결 시 네트워크 구성 정책 
• 외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책 
• 유해사이트(성인, 오락 등) 접속 차단 정책 
• 정보 유출 가능 사이트(웹하드, P2P, 원격접속 등) 접속 차단 정책 
• 망분리 관련 정책(망분리 적용 여부, 망분리 대상자, 망분리 방식, 망간 자료전송 절차 등) 
• 인터넷 접속내역 검토(모니터링) 정책 등

② 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.

• 악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(데이터베이스 서버, 파일서버 등)에서 외부 인터넷 접속 제한
• 불가피한 사유가 있는 경우 위험분석을 통하여 보호대책을 마련하고 책임자의 승인 후 허용

금융분야 추가확인사항

• 전산실 내 위치한 정보처리시스템에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리

③ 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하여야 한다.

•  망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자

        - 전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스            부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등 

       -  개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우

• 다음 사항을 고려하여 안전한 방식으로 망분리 적용

       - 망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별

       - 망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정

       - 물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용

       - 망분리 우회 경로 파악 및 차단 조치

       - 망간 자료전송을 위한 통제 방안 마련

       - 망분리 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등

금융분야 추가확인사항

• 내부통신망과 연결된 내부업무시스템의 경우 인터넷(무선통신망 포함) 등 외부통신망과 분리･차단 및 접속을 금지하여야 하며, 업무상 다음과 같은 경우 예외 인정

      - 내부 업무용시스템(중요단말기는 제외)을 업무상 필수적으로 특정 외부기관과 연결해야 하는 경우(다만, 이 경우 필요한 서비스번호(Port)에 한하여 특정 외부기관과 연결할 수 있음)

• 전산실 내 정보시스템과 정보시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해 인터넷 등 외부통신망으로부터 물리적으로 분리하여야 하며, 업무특성상 분리가 어려운 다음과 같은 경우 예외 인정

       - 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 정보처리 업무를 국외 소재 전산센터에 위탁하여 처리하는 경우(다만, 물리적 방식 이외의 방법으로 망분리 필요)

      - 업무상 외부통신망과 불가피한 다음의 정보시스템(다만, 필요한 서비스포트(Port)에 한하여 연결할 수 있음)

         가. 전자금융업무의 처리를 위하여 특정 외부기관과 데이터를 송수신하는 정보시스템

         나. DMZ구간 내 정보시스템과 실시간으로 데이터를 송수신하는 내부통신망의 정보시스템

         다. 다른 계열사와 공동으로 사용하는 정보시스템

       - 전산실 내에 위치한 정보시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기와 외부통신망과의 연결구간, 내부 업무용 시스템과의 연결구간을 각각 차단한 경우

• 망분리 예외시 자체 위험성 평가를 실시한 후 망분리 대체 정보보호 통제(「전자금융감독규정 시행세칙」 <별표 7> 참고)를 적용하고 정보보호위원회 승인 획득

 

■ 증적예시

• 비업무사이트(P2P 등) 차단정책(비업무사이트 차단시스템 관리화면 등) 
• 인터넷 접속내역 모니터링 이력 
• 망분리 대상자 목록
• 망간 자료 전송 절차 및 처리내역(신청·승인내역 등) 
• 네트워크 구성도

 

■ 결함사례

1. 개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우 
2. 망분리 의무대상으로서 망분리를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우 
3. DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우 
4. 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
5. 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우

금융회사 추가확인사항

   6. 금융회사등은 전산센터에 위치한 정보처리시스템에 집적 접속하는 단말기를 외부통신망을 사용하는 단말기와 물리 적  으로 분리하여야 함에도 불구하고, 물리적 분리가 아닌 방화벽 정책이나 네트워크 장비 라우팅을 통해서만 접근  통제를 구현한 경우

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람