2.10.3 공개서버 보안

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.10 시스템 및 서비스 보안관리	2.10.1 보안시스템 운영
	2.10.2 클라우드 보안
	2.10.3 공개서버 보안
	2.10.4 전자거래 및 핀테크 보안
	2.10.5 정보전송 보안
	2.10.6 업무용 단말기기 보안
	2.10.7 보조저장매체 관리
	2.10.8 패치관리
	2.10.9 악성코드 통제

---

---

공개서버 보호대책 수립 · 이행,

DMZ & IPS,

중요정보 게시 · 저장 시 허가 및 게시절차를 수립 · 이행

중요정보 노출 인지 시 즉시 차단 조치

핵심 키워드 

 

공개서버 운영 시 보호대책 수립 · 이행
공개서버는 서비스 관리자 권한 최소화 및 보호대책 적용
공개서버 중요정보 게시 절차 수립 · 이행
웹사이트 중요정보 노출 차단 조치 수행

 

연관 두음

 

---

 

인증기준

 

외부 네트워크에 공개되는 서버의 경우
내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집 · 저장 · 공개 절차 등
강화된 보호대책을 수립 · 이행하여야 한다.

 

주요 확인사항

 

* 공개서버를 운영하는 경우 이에 대한 보호대책을 수립 · 이행하고 있는가?

* 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고
  침입차단시스템 등 보안 시스템을 통하여 보호하고 있는가?

* 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우
  책임자 승인 등 허가 및 게시절차를 수립 · 이행하고 있는가?

* 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를
  주기적으로 확인하여 중요정보 노출을 인지한 경우
  이를 즉시 차단하는 등의 조치를 취하고 있는가?

 

세부 설명

 

□ 웹서버 등 공개서버를 운영하는 경우 이에 대한 보호대책을 수립 · 이행하여야 한다.

 

▶ 웹서버를 통한 개인정보 송수신 시

    SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축

▶ 백신설치 및 업데이트 설정

▶ 응용프로그램(웹서버, OpenSSL 등), 운영체제 등에 대한 최신 보안패치 설치

▶ 불필요한 서비스 제거 및 포트 차단

▶ 불필요한 소프트웨어, 스크립트, 실행파일 등 설치 금지

▶ 에러 처리 페이지, 테스트 페이지 등 불필요한 페이지 노출 금지

▶ 주기적 취약점 점검 수행 등

 

□ 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고

   침입차단시스템 등 보안시스템을 통하여 보호하여야 한다.

 

□ 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우

   책임자 승인 등 허가 및 게시절차를 수립 · 이행하여야 한다.

 

□ 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여

   중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다.

 

결함사례

 

사례 1 :
인터넷에 공개된 웹사이트의 취약점으로 인하여
구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우

사례 2 :
웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나,
이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재한 경우

사례 3 :
게시판 등의 웹 응용프로그램에서
타인이 작성한 글을 임의로 수정 · 삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)