copyright ⓒ 2014 all rights reserved by JinMan, Seong 사이버법률 <정보통신기반보호법> By the Jin Man, Seong Jun Man, Kim copyright ⓒ 2014 all rights reserved by JinMan, Seong JunMan, Kim
Contents Index 1. Stuxnet 2. 용어의 정의 3. 주요 정보통신 기반 시설 보호체계 4. 주요 정보통신 기반 시설의 지정 및 취약점 분석 5. 주요 정보통신 기반 시설의 보호 및 침해 사고의 대응
Stuxnet
Stuxnet
Stuxnet
즉, ‘정보통신 기반시설’을 안전하게 보호되기 위한 법률 정보통신기반보호법 목적, 용어 국가 주요기관 및 행정부처에서 구축된 인프라 즉, ‘정보통신 기반시설’을 안전하게 보호되기 위한 법률 정보통신기반보호법 제 2조에 의거하여, 각 호별로 용어를 정의함. 정보통신기반시설 : 국가안전보장·행정·국방·치안·금융·통신·운송· 에너지 등의 업무와 관련된 전자적 제어·관리시스템 2. 전자적 침해행위 : 정보통신기반시설을 대상으로 해킹, 컴퓨터 바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위 3. 침해사고 : 전자적 침해행위로 인하여 발생한 사태
정보통신기반보호시설 보호체계 제3조(정보통신기반보호위원회) ① 제8조의 규정에 의하여 지정된 주요정보통신기반시설(이하 "주요정보통신기반시설"이라 한다)의 보호에 관한 사항을 심의하기 위하여 국무총리 소속 하에 정보통신기반보호위원회(이하 "위원회"라 한다)를 둔다. ②위원회의 위원은 위원장 1인을 포함한 25인 이내의 위원으로 구성한다. ③위원회의 위원장은 국무조정실장이 되고, 위원회의 위원은 대통령령이 정하는 중앙행정기관의 차관급 공무원과 위원장이 위촉하는 자로 한다. <개정 2007.12.21, 2008.2.29, 2013.3.23> ④위원회의 효율적인 운영을 위하여 위원회에 공공분야와 민간분야를 각각 담당하는 실무위원회를 둔다.
정보통신기반보호시설 보호체계 제5조(주요 정보통신기반시설 보호대책의 수립 등) ① 주요정보통신기반시설을 관리하는 기관장은 취약점 분석·평가의 결과에 따라 소관 주요정보통신기반시설을 안전하게 보호하기 위한 물리적·기술적 대책을 포함한 관리대책을 수립·시행 제5조의2(주요 정보통신기반시설보호대책 이행 여부의 확인) ① 미래창조과학부장관과 국가정보원장 등 대통령령으로 정하는 국가기관의 장은 관리기관에 대하여 주요 정보통신기반시설보호대책의 이행 여부를 확인할 수 있다. <개정 2008.2.29, 2013.3.23> ② 미래창조과학부장관과 국가정보원장 등은 제1항에 따른 확인을 위하여 필요한 경우 관계중앙행정기관의 장에게 제5조제2항에 따라 제출 받은 주요 정보통신기반시설보호대책 등의 자료 제출을 요청할 수 있다. <개정 2008.2.29, 2013.3.23>
정보통신기반보호시설 보호체계 제6조(주요 정보통신기반시설보호계획의 수립 등) ① 관계중앙행정기관의 장은 제5조제2항의 규정에 의하여 제출 받은 주요 정보통신기반시설보호대책을 종합·조정하여 소관분야에 대한 주요정보통신기반시설에 관한 보호계획을 수립·시행 ---중략--- ③주요 정보통신기반시설보호계획에는 다음 각호의 사항이 포함되어야 한다. 1. 주요정보통신기반시설의 취약점 분석·평가에 관한 사항 2. 주요정보통신기반시설의 침해사고에 대한 예방 및 복구대책에 관한 사항 3. 그 밖에 주요정보통신기반시설의 보호에 관하여 필요한 사항 제7조(주요정보통신기반시설의 보호지원) 2항에 의거, 국가안전보장 영향시 1. 도로·철도·지하철·공항·항만 등 주요 교통시설 2. 전력, 가스, 석유 등 에너지·수자원 시설 3. 방송중계·국가지도통신망 시설 4. 원자력·국방과학·첨단방위산업관련 정부출연연구기관의 연구시설
정보통신기반보호시설을 지정하는 기준 5가지 제8조(주요정보통신기반시설의 지정 등) 1항에 의거, 중앙행정기관의 장은 소관분야의 정보통신 기반시설 중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
정보통신기반보호시설 각 부처별 지정현황 - 국내 주요 정보통신 기반시설 지정현황(2012.12) - - 국내 주요 정보통신 기반시설 연도별 통계 -
정보통신기반보호시설 2014년 신규지정
정보통신기반보호시설 2014년 신규지정
정보통신기반보호시설 취약점 분석 제9조(취약점의 분석·평가) ① 관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가하여야 한다
정보통신기반보호시설 취약점 분석
정보통신기반보호시설 취약점 분석 정보통신기반보호법 제 9조 1항에 의거, 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가하여야 한다. - 정보통신기반시설의 취약점 분석을 하기 위한 수행절차 4단계 -
정보통신기반보호시설 취약점 분석 정보통신기반보호법 시행령 제17조(취약점 분석·평가의 시기) 1항에 의거, 주요 정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에 취약점 분석․평가를 실시 6개월 이내 취약점 분석․평가를 수행치 못할 경우 관할 중앙행정기관의 장의 승인을 얻어 3개월 연장가능(총 9개월 이내) 정보통신기반보호법 시행령 제 17조 2항에 의거, 매년 정기적으로 취약점 분석․평가 실시, 취약점 분석․평가 대상시설에 중대한 변화가 있거나, 관리기관의 장이 필요하다고 판단하는 경우에는 1년이 되지 않아도 취약점 분석·평가를 실시 가능.
정보통신기반시설 보호 및 침해사고 대응 제11조(보호조치 명령 등) 관계중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 보호에 필요한 조치를 명령 또는 권고할 수 있다. 제5조제2항에 따라 제출 받은 주요 정보통신기반시설보호대책을 분석하여 별도의 보호조치가 필요하다고 인정하는 경우 2. 제5조의2제3항에 따라 통보된 주요 정보통신기반시설보호대책의 이행 여부를 분석하여 별도의 보호조치가 필요하다고 인정하는 경우 제30조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자는 1천만원 이하의 과태료에 처한다. 1. 제11조에 따른 보호조치 명령을 위반한 자
정보통신기반시설 보호 및 침해사고 대응 제12조(주요정보통신기반시설 침해행위 등의 금지) 1. 접근권한을 가지지 아니하는 자가 주요정보통신기반시설에 접근하거나 접근권한을 가진 자가 그 권한을 초과하여 저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위 2. 주요정보통신기반시설에 대하여 데이터를 파괴하거나 주요정보통신기반시설의 운영을 방해할 목적으로 컴퓨터바이러스·논리폭탄 등의 프로그램을 투입하는 행위 3. 주요정보통신기반시설의 운영을 방해할 목적으로 일시에 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보처리에 오류를 발생하게 하는 행위 <제28조(벌칙) ① 제12조의 규정을 위반하여 주요정보통신기반시설을 교란·마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.>
정보통신기반시설 보호 및 침해사고 대응 제12조(주요정보통신기반시설 침해행위 등의 금지) 1. 접근권한을 가지지 아니하는 자가 주요정보통신기반시설에 접근하거나 접근권한을 가진 자가 그 권한을 초과하여 저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위 2. 주요정보통신기반시설에 대하여 데이터를 파괴하거나 주요정보통신기반시설의 운영을 방해할 목적으로 컴퓨터바이러스·논리폭탄 등의 프로그램을 투입하는 행위 3. 주요정보통신기반시설의 운영을 방해할 목적으로 일시에 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보처리에 오류를 발생하게 하는 행위 <제28조(벌칙) ① 제12조의 규정을 위반하여 주요정보통신기반시설을 교란·마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.>
참고문헌, 출처 - 정보보안기사/산업기사, 전주현, 시대고시기획, 2013 1. http://www.mltm.go.kr/USR/I0204/m_45/dtl.jsp?idx=11760 (국토교통부 주요 정보통신 기반시설 신규지정) 2. http://www.mosf.go.kr/law/law02d.jsp?boardType=general& hdnBulletRunno=87&sub_category=148&hdnFlag= &hdnDiv=214&&actionType=view&runno=4020554 (기획재정부 주요 정보통신기반시설 지정 고시) 3. http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1= 105&oid=008&aid=0003016283 (스턱스넷 뉴스기사 헤드라인 출처) 4. http://blog.naver.com/harajuku3?Redirect=Log&logNo=10143368947 (스턱스넷 피해사례 출처) 5. http://blog.naver.com/loss92?Redirect=Log&logNo=70094770526
6. http://news. naver. com/main/read. nhn 6. http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1= 105&oid=030&aid=0002268345 (스턱스넷 뉴스기사 헤드라인 출처) 7. http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1= 105&oid=029&aid=0002146186 (스턱스넷 뉴스기사 헤드라인 출처) 8. http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1= 101&oid=052&aid=0000353383 (스턱스넷 뉴스기사 헤드라인 출처) 9. http://www.msip.go.kr/www/brd/m_215/view.do?seq=58&srchFr=& srchTo=&srchWord=통신기반시설 &srchTp=0&multi_itm_seq=0&itm_seq_1=0&itm_seq_2=0 &company_cd=&company_nm=&page=1 (미래창조과학부 주요 정보통신 기반시설 취약점 분석 평가기준 고시 매뉴얼 참조) 10. http://www.kisa.or.kr/public/laws/lawsView.jsp?b_No=158&d_No=86 (KISA 자료실-관련법령-법제동향 자료실, 주요 정보통신기반시설 신규 지정 방법론 연구 참조) 11. http://www.kisa.or.kr/public/library/reportView.jsp?regno=020151 &pageIndex=1&searchType=&searchKeyword= (KISA 자료실-연구보고서, 주요정보통신기반보호 강화 방안 마련 참조) 12. http://www.boannews.com/media/view.asp?idx=41178&kind=1 (보안뉴스 산업제어시스템 웜바이러스 관련 뉴스)
The End...