ISMS(정보보호관리체계) 인증 기준 2.8.2 보안 요구사항 검토 및 시험

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.2 보안 요구사항 검토 및 시험

항목		상세내용
2.8.2	보안 요구사항 검토 및 시험	사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.
주요 확인사항		ㆍ정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가? ㆍ정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가? ㆍ시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가? ㆍ공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석•설계 단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가?
관련 법규		ㆍ개인정보보호법 제33조(개인정보 영향평가) ㆍ개인정보 영향평가에 관한 고시

 

● 중요사안

- SW개발보안 의무화는 '행정기관 및 공공기관 정보시스템 구축•운영 지침에 따라 2012년 12월 정보시스템 감리대상 정보화사업(40억원 이상)을 대상으로 시행 중이다.
- 정보시스템의 안전한 구현과 취약점 제거를 위해 다음과 같은 문서를 준수한다.
> 웹서버구축 보안점검 안내서, 웹어플리케이션 보안 안내서
> 소프트웨어 개발보안 가이드, 소프트웨어 보안약점 진단가이드
> JAVA 시큐어코딩 가이드, C 시큐어코딩 가이드, Android-JAVA 시큐어코딩 가이드
> 보안서버구축 안내서, 홈페이지 SW(웹) 개발보안 가이드
> 모바일 대민서비스 보안취약점 점검 가이드

 

● 운영현황

- 신규 응용프로그램 개발 시 보안 요구사항 및 설계기준을 정하고, 보안성 심의를 진행하고 운영단계로 이관하고 있음
- 연 2회 웹/앱 모의해킹을 진행하고 있으며 취약점을 도출하고 보완조치를 수행하고 있음
- 정보시스템 신규 도입 시 인수시험을 시행하며, 보안취약점 점검을 진행하고, OS보안설정을 적용 후 개발/테스트 단계로 이관하고 있음

 

● 기록(증적자료)

- 개발보안지침 문서
- 정보시스템 구축 운영 지침
- 정보시스템 설계서
- 시험 계획서, 시험 결과서
- 정보시스템 요구사항 분석서
- 개인정보 영향평가 보고서
- 취약점 점검 결과서

 

● 주요 결함사례

- 개인정보 및 인증정보 전송 시 SSL 및 암호화 응용프로그램을 통한 암호화 통신을 하고 있지 않은 경우
- 개발 관련 내부 지침 및 문서에 인증 및 암호화와 관련된 보안 요구사항을 명시하고 있으나, 일부 웹 사이트에서 쿠키 또는 매개변수 형태로 전달되는 값의 무결성을 적절히 확인하지 않은 경우
- '개발표준정의서'에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SAH1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않은 경우
- 내부 지침에는 정보시스템 개발시 안전한 코딩 기준을 정의하고 있으나 최근 개발한 웹사이트에 대한 취약점 점검을 수행하지 않은 경우
- 정보시스템 구현 이후 개발 관련 내부 지침 및 문서에 정의된 보안 요구사항을 시험하지 않고 있는 경우
- 응용프로그램 테스트 시나리오 및 기술적 취약점 점검항목에 입력값 유효성 체크 등의 중요 점검항목 일부가 누락된 경우
- 구현 또는 시험 과정에서 알려진 기술적 취약성이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는 승인 없이 확인된 취약성에 대한 보호조치를 이행하지 않은 경우