전산정보분사 문현철 athruz@nonghyup.com 농협 정보보호관리 체계 수립사례발표 2003. 12. 2 전산정보분사 문현철 athruz@nonghyup.com

목 차 1.추진배경 및 목적 2.농협시스템 이해 3.인증체계 이해 4.인증선택 이유 5.추진 경과 6.문제점 7.향후 활용방안

1. 추진배경 및 목적 1. 추진배경 및 목적 추진배경 새로운 보안위협의 증가에 따라 종합적이고 체계적인 정보보호관리 필요성 대두 2. 향후 발생할 수 있는 정보보호 대응역량 배양 필요 3. 조직의 정보보호대응능력 전반을 심사할 수 있는 적절한 평가방법 필요 목적 1. 정보자산의 안전과 신뢰 향상 2. 정보보호관리에 대한 인식 제고 3. 조직의 정보보호 역량강화를 통한 주요정보통신기반시설의 보호 4. 전문가(제3자 인증기관)에 의한 종합적인 정보보호체계 점검

2. 농협시스템 이해 가. 농협전산 이력 추 진 사 항 1979 중앙회 온라인 업무 실시 1985 회원조합 온라인 업무 실시 1979 중앙회 온라인 업무 실시 1985 회원조합 온라인 업무 실시 1994 중앙회 종합온라인 실시 1995 회원조합 종합온라인 실시 1998 종합통신망 구축, 경영정보시스템 본이행 1999 농산물 인터넷 쇼핑몰 구축, 인터넷 뱅킹 시스템 적용, 중앙회 차세대온라인시스템 구축 2000 회원조합 차세대온라인시스템 구축, DB마케팅시스템 구축, 농축삼협 전산통합 완료 2001 경제사업 종합정보시스템 구축 2002 백업센터 가동(수원 소재), 영업점 인터넷망 구축

2. 농협시스템 이해 나. 농협전산 조직 인원현황 구 분 1 2 3 4 5,6 계 1 1 1 7 39 77 124 1 5 45 부분사장 1 1 기획관리부 1 7 39 77 124 경제경영부 1 5 45 119 170 금융정보부 1 7 59 165 232 계 - 4 19 143 361 527 직무 구분 인원 관리자 23 시스템분석/설계자 104 프로그래머 289 시스템/통신 관리자 41 전산실 운영자 6 기획관리 64 계 527

2. 농협시스템 이해 다. 농협전산 현황 전산센터 기간망 대외계 계 정 계 정보계 및 업무별 서버 CD공동망 / 타행환, ARS CMS, 한국은행망 수신/여신/신탁, 신용카드, 협동카드, 외환, 공제, 정책 대출, 상호 금융 경영정보, 사무자동화, 경제사업종합정보화, 전자금융(인터넷 뱅킹, PC/텔레뱅킹 등) 대외계 계 정 계 정보계 및 업무별 서버 2차 FireWall 인터넷/포탈, 경제 WEB 서버 전산센터 기간망 1차 FireWall X.25 종합통신망 (전용망) Firewall 인터넷망 (ISP) 물류망 대외기관 지역센터 전자금융 사용자 중앙회 및 조합 영업점, 경제사업장 농산물유통센터, 물류센터 하나로클럽/하나로마트 경제사업장

2. 농협시스템 이해 라. 정보보호 시스템 PC LAN PC 접 근 통 제 침 입 탐 지 및 추 적 시스템 무결성 점검 도구 네트워크 취약성 점검 시스템 네트워크 침입 탐지 시스템 PC 접근통제 ESM PC LAN 일선영업점 PC 내부사용자 및 외부강화정책 LOG Server 인증 시스템 접 근 통 제 전용선 침 입 탐 지 및 추 적 ROUTER VPN지원 침입차단 시스템 시스템 무결성 점검 도구 안전진단/관리 트래픽모니터링시스템 VPN (Tunneling) 암호기술 인터넷 서버 시스템 Database

2. 농협시스템 이해 마. 정보보호관리 체계 주체 관리체계 제도 경영진 농협의 정보보호 비젼 정보보호 투자 농협의 정보보호 규정/준칙/지침 주기적 보안진단 농협내부체계 관리자 정보보호 조직 역할과 책임 프로 세스 정보보호 감사 직원 정보보호 인식 및 교육체계 정보보호 파트너십 (외부포함) 경영/IT환경 법규/규제

3. 인증체계 이해 가. 인증절차 1. 신청 -신청기관은 정보보호관리체계를 수립한 후 3개월 이상 운영 2. 인증심사 -조직의 정보보호관리체계가 처해진 정보보호환경에 적절하게 수립운영 되고 있는지에 대하여, 관련문서 및 절차 등의 검토와 문서내용 등에 대한 현장 점검을 통해 실시 -결함에 대한 부적합시 30일 기한으로 1회 보완된 뒤 재심사 실시

3. 인증체계 이해 나. 부적합 심 사 용 어 부 적 합 중결함 - 발견된 문제점이 중대한 영향을 미치는 사항 중결함 - 발견된 문제점이 중대한 영향을 미치는 사항 결함 - 발견된 문제점이 중대한 영향을 미치는 않는 사항 권고사항 - 정보보호관리체계를 운영 및 유지를 하는데 도움이 될 수 있는 사항 부 적 합 1. 중결함이 있을 경우 2. 발견된 결함이 전체 선택한 통제사항의 개수 중 5% 이상일 경우 3. 결함이 5%미만이라 할지라도 결함이 중대하다고 판단되는 경우

4. 인증선택 이유 선택이유 유사인증 1. 법으로 지정된 인증 획득 2. 민간 정보보호를 위한 정책 및 제도의 조사·연구하는 기관에 의뢰 3. 기술심사 위주의 심사유형을 통한 인증 획득 유사인증 BS7799란? -영국표준협회(British Standards Institution)주관으로 1993년부터 산업계 의 보안표준을 수렴하여 1998년까지 제정한 정보보호에 대한 표준규격 -국제표준규격(International Organization for Standardization) 접목 진행

5. 추진경과 가. 심사범위 및 내용 심 사 범 위 범위 : 농협중앙회 인터넷 뱅킹 업무 영역 전반 - 대상 서버 수 : 20 대 - 대상 종업원 수 : 64 명 심 사 내 용 - 관 리 과 정 : 5단계 14개항 전체 (필수) - 세부 통제 사항 : 15개 분야 120개 중 115개항 (선택)

5. 추진경과 나. 추진조직 및 심사위원 본회추진조직 -정보보호전담조직 (7명) -팀장 1명, 책임자 2명, 직원 4명 -각 팀의 정보보호 책임자 (22명) 심사위원 -내부 심사원 (2명) : 관리과정, 운영 기술 분야 -외부 심사원 (2명) : 관리과정, 조직 관리 분야

5. 추진경과 다. 추진일정 단 계 구 분 내 용 일 자 사전 준비 단계 1차 정보보호 컨설팅 정보자산 분류 2000년 7월 구 분 내 용 일 자 사전 준비 단계 1차 정보보호 컨설팅 정보자산 분류 2000년 7월 위험분석, 평가 지침 및 절차서 작성 임직원 마인드 확산 2차 정보보호 컨설팅 관리체계 인증 2001년 11월 NW진단,시스템진단 3차 정보보호 컨설팅 기반시설 취약점 분석평가 2003년 8월 관리체계 재정비 마스터 플랜 수림

5. 추진경과 라. 심사추진일정 단 계 절 차 일 자 비 고 심사 준비 인증심사 신청 2003. 8. 8 - 인증심사 계약 절 차 일 자 비 고 심사 준비 인증심사 신청 2003. 8. 8 - 인증심사 계약 2003. 8. 21 - 심사 단계 문서심사 2003.8. 25 ~ 8. 28 교육문화회관 기술 심사 착수회의 2003. 8. 29 착수, 종료회의 오전 11시 현장심사 2003.8.29 ~ 9. 4 종료회의 2003. 9. 5 보완조치 요청 2003. 9. 5 - 보완조치결과 확인 2003. 9.30 인증위원회개최 2003.10.21

5. 추진경과 마. 심사 결과 종합 현재 관리과정의 지속적인 유지 일관성있는 정책(지침) 유지 필요 구 분 종 합 의 견 관리과정 현재 관리과정의 지속적인 유지 정책 및 관리 통제영역 일관성있는 정책(지침) 유지 필요 기술 및 운영 통제영역 체계적이고 효율적인 운영을 위한 문서화 보강

5. 추진경과 바. 총평 • 국내 금융기관으로는 처음으로 정보보호관리체계 (ISMS)를 구축, 운영하여 금융 서비스업체에 모범사례 로 평가됨 • 점진적으로 확대 적용하여 향후 농협중앙회 전체의 보 안 수준을 끌어 올릴 수 있도록 범위를 확대 • 본 심사에서 발견된 결함 또는 권고사항도 개선 필요 • 인증 획득 후에도 지속적인 유지 관리의 의무와 책임 필요

6. 문제점 본회측면 인증측면 정보보호 정책 및 지침의 일관성 유지 문서화, 증적자료 유지관리 정보보호 인식제고 프로그램 확대 -인증제도의 활성화 방안 강구 -인증심사원의 자격제도 도입 필요

7. 향후 활용방안 활용방안 조직 전체의 보안성 향상과 위험도를 낮춤 홍보를 통한 기업 이미지 제고 동종 업체와의 경쟁 우위 침해사고 발생을 대비한 신속한 대응체제 구축

감사합니다 http://banking.nonghyup.com