정보화 관련 규정
Office of Information Systems > 정보지원처 소개 > 정보화 관련 규정| 1) | 개인정보위원회 규정 | 3) | 개인정보 내부관리지침 |
| 2) | 개인정보 보호지침 | 4) | 개인정보 처리방침 |
침해사고 대응절차
전산망을 통하여 외부의 불법침입자가 내부의 전산시스템에 침입하거나 내부자가 허가되지 않은 행위를 했을 때 이에 효율적으로 대처할 수 있는 일련의 방법 및 절차는 다음과 같다.
1. 침해사고
가) 침해예방
1) 주요 서버, 네트워크 장비, 침입차단/탐지시스템의 경우 가능한 실시간으로 주요보안 로그의 분석이 가능하도록 관제 요원 및 정보보호담당자에게
이벤트에 대한경고(Alarm, SMS, E-mail 중 한가지 이상)를 보내는 체계를 갖추도록 한다.
2) 관제 요원은 주요 시스템 로그 및 이벤트를 분석하여 추가적인 침입흔적이나 시도들을 분석하는 체계를 갖추도록 한다.
3) 침해사고가 발생했을 경우 신속하게 사고를 탐지하고 이에 즉각적으로 대응할 수있도록 내부 교직원들을 대상으로 정기적으로 교육한다.
나) 침해 징후 파악 및 보고
1) 관제요원은 다음과 같은 비정상적인 활동이나 징후가 보이면 확인 및 점검 후 침입사고로 판단될 시 정보보호담당자에게 보고해야 한다.
- 네트워크에 과도한 부하 발생한 경우
- 침입탐지시스템 등 보안시스템에서 경고가 발생한 경우
2) 정보보호담당자는 침입자의 공격에 의해 비밀 및 대외비 정보가 허가되지 않은 자에게 공개될 우려가 있을 때 해당 정보 소유자에게 공지하여야 한다.
3) 일반 사용자가 다음과 같은 침입 징후를 발견하는 경우 즉시 정보보호담당자에게통보해야 한다.
- 자신의 패스워드가 노출되었다는 의심이 드는 경우
- 최종 로그인 시간이 자신의 실제 최종 로그인한 시간과 다르거나 로그인 시도가 실패했던 흔적이 보이는 경우
- 기타 회사 정보 시스템 사용 중 침입의 징후를 발견하는 경우
4) 정보보호담당자는 신고 받은 보안 사고 내용을 보안사고 발견 및 조치대장에 요약하여 기록 유지하며 심각도별 대응절차에 따라 보고한다.
다) 침입자 발견 시 조치방법
침입자가 현재 시스템에 접속하고 있을 경우 정보보호담당자는 침입자의 주요 데이 터 변경, 삭제 및 관리자 권한 획득 등 시스템의 보호가 최우선시
되는 심각한 경우 즉시 접속을 차단하고 그렇지 않은 경우에는 다음과 같은 조치를 취한다.
1) 침입자의 접속을 추적한다.
- 내부 단말기에서 침입한 경우에는 현재의 단말 위치를 확인 후 조치를 취한다.
- 네트워크를 통해 침입한 경우 해당 시스템담당자에게 연락해 로그를 유지하도록 요청하고 공동으로 대응하도록 한다.
2) 침입자의 접속을 차단한다.
3) 침입자 및 해당 시스템담당자에게 메시지를 보낸다.
- 침입자의 이메일 주소가 파악된 경우 경고 메시지를 보내 침입의지를 격감시 킨다.
- 해당 시스템담당자에게 협조요청 메시지를 보내 필요 조치를 취할 수 있게 한 다.
4) 증거자료 확보를 위해 침해 시스템의 이미지를 덤프하여 백업을 실시하고 백업기록은 3년 이상 보관한다.
라) 시스템의 중요한 변경사항 확인
침입을 차단했거나 침입한 흔적이 발견된 경우 보안진단도구 등을 이용하여 다음과 같은 사항을 점검한다.
1) 새로운 계정이 만들어져 있는지 확인한다.
2) Password 파일이 변경, 접근권한 변경여부를 확인한다.
3) 외부에서 허가 없이 접속 가능한 파일들(.rhost )의 변경유무를 확인한다.
4) 특권프로그램(suid, sgid)이 새로 만들어져 있는지를 확인한다.
5) 특정파일의 접근모드가 변경되어 있는지를 확인한다.
6) 시스템 유틸리티의 변경 및 수정여부를 확인한다.
7) 기타 해킹 스크립터를 이용한 경우 변경될 수 있는 부분을 확인한다.
마) 보안사고 처리 및 복구
1) 정보보호담당자는 해당 보안사고의 사고에 대한 내용 분석이 종결됨과 동시에 보안사고 복구 방법 동의서를 작성하여 정보보호관리자 및
정보보호책임자에게 승인을 받아 조치한다.
2) 정보보호담당자는 보안사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가,전문기관, 전문 정부기관인 한국정보보호진흥원(KISA),
경찰청 사이버 테러대응센터(NETAN)와의 연락체계를 구축한다.
3) 정보보호담당자는 법적 대응이 필요할 경우 보안사고에 대한 상세내용을 경찰청사이버테러대응센터(NETAN)의 사이버범죄 신고절차를 준수하여
신고 하도록 하며, 진행상황 별로 정보보호관리자 및 정보보호책임자에게 보고한다.
바) 사후 분석 및 보고
1) 정보보호담당자는 조치 완료 후 서면보고시(중요, 긴급, 대형 사고) 보안사고 보고서를 작성하여 심각도별 대응 절차에 따라 보고하며, 비밀로
분류하여 3년간 보존한다.
2) 정보보호담당자는 사고 처리 결과를 보안사고 발견 및 조치대장(양식1)에 요약하여 기록 유지한다.
3) 침해사고 분석과정에서 발견된 취약점 및 사고관련정보는 보안정보 보고서를 작성하여 정보보호관리자 및 정보보호책임자에게 보고하며,
시스템담당자와 공유하여 사고의 재발을 방지하도록 보안 정보 및 사고를 관리한다.
4) 이 과정에서 필요한 경우 유사한 사고의 발생을 방지하기 위해 각종 정책, 지침및 절차 등에 대한 효과적인 개선책을 마련하고 적용하도록 한다.
5) 중대한 침해 사고로 판단된 경우 보안사고의 처리가 종결된 이후에도 반드시 정보보호책임자의 책임 하에 철저한 조사가 이루어져야 한다.
6) 법이나 규정상 보안사고를 외부기관에 보고해야 할 경우 정보보호책임자의 인가를 받는다
7) 해당 보안사고의 재발 방지 및 효과적인 보안대책 수립을 위한 조치가 취해져야한다.
8) 정보보호담당자는 침해사고 대응현황을 정기적으로 정보보호관리자 및 정보보호책임자에게 보고한다.
2. 소프트웨어 이상 및 오류
소프트웨어의 이상 및 오류 발생시 정보보호담당자에게 즉시 보고 되어야 한다.
가) 사용자는 소프트웨어의 작동이 매뉴얼의 내용과 다르거나 이상 징후가 발견된 경우 이를 정보보호담당자에게 보고하여야 한다.
나) 정보보호담당자는 보고된 소프트웨어의 이상 및 오류를 분석하여 다음과 같은 조치 를 취한다.
1) 보안사고에 의한 경우 정보보호관리자 및 정보보호책임자에게 즉시 보고하고 조치를 취한다.
다) 정보보호담당자는 보안사고 내용을 기입한 후 첨부된 보고서를 작성하여 정보보호관 리자 및 정보보호책임자에게 보고한다.
3. 바이러스 및 웜
컴퓨터 바이러스의 감염 발견 시 즉각적인 보고가 이루어져야 한다.
가) 바이러스 발견 보고
1) 바이러스 발견 시 즉각 정보보호담당자에게 보고하고 해당 시스템을 네트워크에서 분리하여 추가적인 감염을 방지한다.
2) 평소 바이러스 백신을 통한 정기적인 바이러스 검사를 하여야 하며 기타 바이러스 관리상 책임사항은 “PC보안 지침”을 따른다.
나) 바이러스 조치방법
1) 관제요원 및 시스템담당자는 바이러스 및 웜 감염 사실을 즉시 정보보호담당자에게 알리고 정보보호담당자가 “보안사고 발견 및 조치대장”에 해당
바이러스 사고내용을 기입한다.
2) 정보보호담당자는 바이러스에 감염되어 있는 정보시스템의 피해 현황을 확인한 후 “보안사고 발견 및 조치대장”에 조치사항을 작성하여 정보보호
관리자 및 정보보호책임자에게 승인을 받아 조치 한다.
4. 시스템 취약성
정기 취약성 진단 시에 외부 침해에 대한 정보시스템의 취약성 발견 시 정보보호담 당자에게 보고되어야 한다.
가) 사용자는 취약성 발견 즉시 정보보호담당자에게 보고하여야 하며 어떠한 경우에도 취약성을 검증하려고 시도해서는 안 된다.
나) 정보보호담당자는 보고된 취약성 검토 후 대책을 마련하고 정보보호관리자 및 정보보호책임자에게 결과를 보고한다.
5. 정보자산의 손상
교외에서 중요 정보자산의 노출이 일어났을 경우 즉시 보고가 이루어져야 한다.
가) 비밀 및 대외비 정보가 허가되지 않은 자에게 노출되었을 경우 발견자는 정보보호담 당자 및 해당 정보 소유자에게 즉시 보고하여야 한다.
나) 자산의 노출에 대한 보고를 받은 정보 소유자 및 정보보호담당자는 정보자산 노출에 대한 조치를 취해야 한다.
다) 정보보호담당자는 정보보호관리자 및 정보보호책임자에게 보고하여 사태의 심각성과 사후 대책을 논의하여 총장보고 후 조치하도록 한다.
6. 개인정보의 노출 및 유출
홈페이지를 통해 관리자의 실수, 고의 또는 해킹으로 인한 개인정보의 노출 및 유출이일어났을 경우 정보보호담당자에게 즉시 보고가 이루어져야 한다.
가) 개인정보가 노출 및 유출되었을 경우 발견자는 정보보호담당자에게 즉시 보고하여야 한다.
나) 개인정보의 노출 및 유출에 대한 보고를 받은 정보보호담당자는 개인정보 노출 및유출에 대한 조치를 취해야 한다.
다) 정보보호담당자는 정보보호관리자 및 정보보호책임자에게 보고하여 사태의 심각성과 사후 대책을 논의하여 총장보고 후 조치하도록 한다.
7. 심각도별 대응 절차
심각도 1,2 : 정보보호관리자의 판단에 따라 정보보호책임자 및 총장에게 연락하여 대응 및 조치를 취할 수 있도록 한다. 보고 및 대응 절차는 본 지침의 5절
(침해사고대응절차) 을 따른다.
심각도 3,4 : 계속적인 모니터링을 통하여 ‘심각도 1, 2’ 로의 전이 가능성을 파악하고지속적인 공격 IP나 잠재적인 위험성이 있을 경우에는 대응 조치를
정보보호관 리자의 결정에 따라 정보보호담당자가 처리하게 된다. ‘심각도4’ 의 경우에는 “보안사고 보고서”를 별도로 작성하지 않으며
취하며, “보안사고 발견 및 조치대장” 월간보고 시에 포함하 여 보고한다.
|
구분 |
관제대응 |
보고형태 |
보고시한 |
보고방식 |
최종보고자 |
|
단순(심각도4) |
12 Hours |
조치완료 보고 |
월간보고 |
월간보고 |
정보보호관리자 |
|
중요(심각도3) |
3 Hours |
조치완료 보고 |
익일보고 |
서면보고 |
정보보호관리자, |
|
긴급(심각도2) |
60 Min |
발생보고 |
발생후 10분 이내 |
구두보고 |
정보보호관리자, |
|
조치완료 보고 |
익일보고 |
서면보고 |
|||
|
대형 |
20 Min |
발생보고 |
발생보고 |
구두보고 |
정보보호책임자, 총장 |
|
수시보고 |
수시보고 |
구두/서면 |
|||
|
조치완료 보고 |
조치완료 즉시 |
서면보고 |
|
심각도 |
설명 |
|
단순 |
정보시스템 기능성이나 서비스에 영향을 주지 않는 일반적인 인터넷 상의 보안 위협 상황. |
|
중요 |
정보시스템의 기능성을 손상시키거나 서비스에 중대한 영향을 주지는 않지만 지속적인 발생으로 문제를 야기 할 수 있는 상황이나 잠재적인 위험성에 대한 모니터링이 필요한 경우를 포함하는 상황. 개인정보의 일부 노출이나 유출(게시판에 10명 미만 학생정보 노출) |
|
긴급 |
정보시스템 사용이나 서비스에 보안상 심각한 영향을 주는 상황(개별 서버 침해사고나 지속적인 공격 상황). 개인정보 DB의 일부 노출이나 유출(Excel 또는 게시판에 100명 미만 학생정보 노출 또는 유출) |
|
대형 |
정보시스템 사용 및 고객 관련 서비스 수준에 심각한 영향을 주며 전체 정보시스템의 위험이 존재하는 상황(전사적인 Worm에 의한 피해나 조직적인 공격 상황). 개인정보 DB 전부의 노출이나 유출(DB 전체 정보 유출,100명 이상 학생정보 노출 또는 유출) |
<연계 전문기관>
|
기관명 |
한국외국어대학교 |
국가정보원 국가 |
경찰청 사이버 |
한국정보보호 |
|
연락처 |
02)2173-2226 031)330-4106 |
02)3432-0462 |
02)3939-112 |
국번 없이 118 |
|
주요업무내용 |
보안사고접수 |
정부, 공공, 교육 등 |
주민등록번호도용, |
해킹사고, 게임사이트 및 |
