ISMS(정보보호관리체계) 인증 기준 2.6.5 무선 네트워크 접근

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.5 무선 네트워크 접근

항목		상세내용
2.6.5	무선 네트워크 접근	무선 네트워크를 사용하는 경우 사용자인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립•이행하여야 한다.
주요 확인사항		ㆍ무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립•이행하고 있는가? ㆍ인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립•이행하고 있는가? ㆍAD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지•차단 등 비인가된 무선네트워크에 대한 보호대책을 수립•이행하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제6조(접근통제)

 

● 중요사안

- 조직 내부네트워크에 연결이 가능한 무선네트워크 환경 구축 시에는 내부 승인절차를 마련하여 비인가된 (사설)무선네트워크 장비(AP)를 운영하지 않도록 하여야 하며 사전 보안성 검토를 수행하여 다음과 같은 보호대책을 적용하여야 한다.

- 외부인이 무선네트워크를 통해 내부네트워크(업무망)에 접속할 수 없도록 인가받은 임직원만 무선네트워크를 사용할 수 있도록 필요한 절차를 마련하여야 한다.

- 조직의 환경에 맞는 무선랜 보안점검 항목을 사전에 정의하여 점검을 수행하여야 한다.

- 무선랜은 공식적인 절차를 통하여 사용 및 해지하여야 한다.

- 내부망 VPN 접속 등으로 외부/내부 무선망을 분리하여 운영하여야 한다.

 

● 운영현황

- 내부네트워크(업무망)에서는 무선 네트워크 사용을 하지 않으며, 무선 네트워크의 사용이 필요한 환경에서는 사전 인가받은 임직원만 허용하고 있음

- 무선 네트워크 장비(AP)의 SSID 숨김 설정, 암호화 기능설정(WPA-2), IP/MAC 기반 접근통제, 패스워드 관리 등 보호대책을 수립•이행하고 있음

 

● 기록(증적자료)

- 무선네트워크 운영현황 목록

- 네트워크 구성도

- 무선네트워크 장비(AP) 보안설정 현황

- 네트워크 운영정책 문서

 

● 주요 결함사례

- 사용중인 무선 AP 식별이 미흡하여 자산에 누락된 경우

- 무선보안관리지침을 수립하고 있으나 무선랜 사용자 현황 검토, 무선 AP 접속 제한, 주기적인 비밀번호 변경, 인증 강화 등의 보호대책이 적절히 사용되고 있지 않은 경우

- 관련 네트워크 장비의 ACL 설정과의 연계 미흡으로 무선랜 접속을 통해 특정 서버에 대한 접근이 허용되는 경우