2.10.3 공개서버 보안

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.3 공개서버 보안

항목		상세내용
2.10.3	공개서버 보안	외부 네트워크에 공개되는 서버의 경우 내부망과 분리하고 취약점 점검, 접근통제, 인증, 정보 수집•저장•공개 절차 등 강화된 보호대책을 수립•이행하여야 한다.
주요 확인사항		ㆍ공개서버를 운영하는 경우 이에 대한 보호대책을 수립•이행하고 있는가? ㆍ공개서버는 내부 네트워크와 분리된 DMZ영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가? ㆍ공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립•이행하고 있는가? ㆍ조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?
관련 법규		ㆍ개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) ㆍ전자금융감독규정 제15조(해킹 등 방지대책), 제17조(홈페이지 등 공개용 웹서버 관리대책)

 

● 중요사안

- 침입차단시스템 운영, 주기적인 취약점 진단, 모의해킹 등 보안대책을 수립하여야 한다.
- 중요정보가 올라가지 않도록 내부 승인프로세스 이후 게시 등 웹 게시 절차를 수립•이행하여야 한다.
- 모의해킹 Cert 관련 또는 취약점 진단 및 조치 관련 보고서를 확인하여야 한다.

 

● 운영현황

- 외부 네트워크에 공개되는 서버는 매년 취약점 분석•평가를 수행하고 도출된 위험의 조치계획을 수립하고 이행하고 있음
- 공개서버는 다음과 같은 안전한 보호대책을 강구하고 있음
  > 개인정보 송수신 시 SSL/TLS 인증서 설치
  > 응용프로그램, 운영체제 최신 보안패치 설치
  > 웹/앱 응용프로그램 모의해킹, 취약점 진단 수행
  > 내부 네트워크와 분리된 DMZ 영역에 설치
  > FW, IDS, IPS 등 보안시스템 설치•운영

 

● 기록(증적자료)

- 네트워크 구성도
- 시스템 자산 목록
- 웹서버 관리지침
- 보안시스템 운영지침

 

● 주요 결함사례

- 인터넷에 공개된 웹사이트의 취약점으로 인하여 인터넷 검색을 통해 열람 권한이 없는 타인의 개인정보 또는 중요 시스템 정보에 접근할 수 있는 경우
- 웹 사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재하는 경우
- 일부 웹 서버의 기술적 취약점에 대한 식별 및 보호조치가 적절히 이루어지지 않고 있는 경우
- 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정•삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우