2.10.8 패치관리

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.8 패치관리

항목		상세내용
2.10.8	패치관리	소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다.
주요 확인사항		ㆍ서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하고 있는가? ㆍ주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하고 있는가? ㆍ서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가? ㆍ주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가? ㆍ패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지)

 

● 중요사안

- 업무용 시스템 운영체제 및 상용 소프트웨어의 취약점을 해소하는 패치파일에 대한 공개일, 가이드 등을 지속적으로 모니터링해야 한다.
- 전산실 내 업무시스템(서버, NW장비 등)의 패치 적용은 공개 인터넷 접속을 통한 자동 패치를 금지하고, 패치적용에 따른 업무 영향을 분석 후 책임자 승인 하에 적용해야 한다.
- 패치관리시스템(PMS) 사용 시 비인가자가 패치관리시스템을 통해 사내에 악성코드를 유포할 수 있으므로 패치파일 다운로드 시 패치파일의 무결성을 점검해야 한다.

 

● 운영현황

- 서버, 네트워크, 정보보호시스템, 데이터베이스 등은 벤더사 및 협력기관을 통해 보안패치 정보를 상시로 입수하고 사전 영향도 검토 후 적용하고 있음
- 자산별 특성 및 중요도에 따라 패치관리 절차를 수립하고 있음
- 최초 일부 정보자산에 한하여 패치를 적용하고 이상이 없을 경우 패치관리시스템(PMS)을 통해 전체 적용하고 있음
- 패치 적용 현황을 목록하하여 관리하고 있음
- 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 있음

 

● 기록(증적자료)

- 시스템 운영지침
- 패치 적용 관리 정책 문서
- 패치 검토 보고서
- 패치 관리대장

 

● 주요 결함사례

- 일부 시스템에 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되어 있지 않은 경우
- 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용하고 있으나, 이에 따른 대응계획이나 보완대책이 수립되어있지 않은 경우