정 보 보 안.

Presentation on theme: "정 보 보 안."— Presentation transcript:

1 정 보 보 안

2 < 최근 북한발 주요 사이버 공격 피해 사례 >
현황 < 최근 북한발 주요 사이버 공격 피해 사례 > ○ 2013년 : 6.25 사이버 공격 및 3.20 사이버테러 ○ 2014년 : 한국수력원자력 해킹 내부자료 탈취 및 청와대 사이버 공격 ○ 2015년 : 서울메트로 해킹사건 ○ 2016년 - 대한항공 등 해킹 정보를 통해 정부 공무원 및 전문가 90명 상대 이메일 해킹시도 - 국방부 다수의 PC 악성코드 감염 및 내부자료 유출

3 현황 [교육기관 대상 사이버 침해사고 지속 발생] ❍‘16년 교육기관 264개의 홈페이지에서 개인정보 유·노출 발생
❍ 교육기관 사이버 침해 위협 탐지 건수가 매년 지속적으로 증가 (‘14년 38,808건 →‘15년 40,123건 → ’16년 42,861건)

4 정보보안담당관 운영(지침 제5조) ○ 정보보안담당관의 지정 □ 각급기관의 장은 단 점 ○ 정보보안담당관 임명
□ 각급기관의 장은 체계적인 정보보안업무를 수행하기 위하여 정보보안 전문지식을 보유한 인력을 확보하고 관련 전담조직을 구성 운영하여야 한다. 단 점 ○ 정보보안담당관 임명 정보보안 조직을 지휘하고 소속 및 산하기관에 대한 정보보안업무를 총괄하기 위한 정보보안담당관 임명 ○ 정보보안담당관 통보 7일 이내에 소속 ·직책 ·직급 ·성명 · 연락처 등을 지도감독기관의 장에게 통보 구분 정보보안담당관 지정 비고 도교육청 정보보안업무를 담당하는 부서장 지식정보과장 교육지원청 행정지원과장 직속기관 자체 실정에 맞게 기관의 장이 임명 학교 정보부장 또는 정보보안 업무 교사

5 정보보안담당관 운영(지침 제5조) 정보보안담당관의 정보보안업무 수행 활동 ＊정보보안 정책 및 기본계획 수립 · 시행
＊정보보안 관련 규정지침 등 제 · 개정 ＊정보보안업무 지도 ·감독, 정보보안 감사 및 심사분석 ＊정보보안 관리실태 평가 ＊정보통신실, 정보통신망 및 정보자료 등의 보안관리 ＊사이버공격 초동 조치 및 대응 ＊정보보안 교육 및 정보협력 ＊정보통신망 보안대책의 수립 · 시행 ＊사이버보안진단의 날 계획 수립 ·시행 ＊그 밖에 정보보안 관련 사항

6 정보보안 교육(제15조) 및 사이버보안진단의 날(제17조)
“정보보안교육”은 연간 1 회 이상 실시하며, 정보보안담당자 등은 연간 15 시간 이상 이수하여야 한다. “사이버보안진단의 날”은 매월 세 번째 수요일날 에 실시하며 사이버보안진단의 날이 공휴일일 경우나 불가능할 경우 익일 에 실시한다.

7 1. 정보보안 교육 정보보안 교육(제15조) 및 사이버보안진단의 날(제17조)
○ 자체 정보보안 교육계획을 수립하여 연 1회 이상 전 직원을 대상으로 정보보안 교육 실시 ○ 정보보안담당자는 연간 15시간 이상 정보보안 교육을 이수 - 개인정보보호 교육 포함(개인정보보호법 제28조 2항) ○ 정보보안담당자의 업무전문성 제고를 위해 전문기관 교육 및 세미나 참석을 적극 장려 ※ (교육부 정보보호 교육센터)

8 정보보안 교육(제15조) 및 사이버보안진단의 날(제17조)

9 2. 사이버보안진단의 날 정보보안 교육(제15조) 및 사이버보안진단의 날(제17조)
○ 시기: 매월 세 번째 수요일(공휴일인 경우 익일) ○ 주요내용: 정보보안업무 전반에 대한 체계이고 종합적 보안진단 실시 ○ 정보보안 주요 진단 내용 - 내 PC지키미 프로그램 실행 후 보안취약점 제거 - 월별 중점 점검사항 진단 - 진단일지(월별 중점 점검사항 포함)는 결재를 득한 후 보관 - 기관(학교) 홈페이지 게시판 점검의 날 병행 운영 ※ 민감 정보 게시 여부 확인 및 최신 자료 현행화 필요

10 정보보안 교육(제15조) 및 사이버보안진단의 날(제17조)
(위반사례) - 내 PC지키미 프로그램을 실행하고 발견된 보안취약점을 모두 보완 조치하여야 하나, 실제로 시행하지 않거나, 시행은 하였으나 나타난 취약점은 개선하지 않고 형식적으로 대장만 기록 관리하고 있는 사례 - 월별 중점 점검사항 미 이행 사례 내 PC지키미 실행 결과 90점 미만인 교육행정기관은 그 결과를 공지 ※ 2017년 고등학교까지 실행 결과를 작성하여 공지 예정

11 PC 보안관리(제25조) 보안관리 책임을 가지며, 다음 각 호의 보안대책을 준수하여야 함.
CMOS(부팅 시), 로그인, 화면보호기 비밀번호 설정 OS(운영체제) 및 응용프로그램(한컴 오피스, MS Office, Acrobat 등)의 최신 보안 패치 적용 업무상 불필요한 응용프로그램 설치 금지 및 공유 폴더 삭제 PC 등 교체.반납.폐기 또는 고장으로 외부에 수리 의뢰 시 하드디스크 수록 자료가 유출, 훼손되지 않도록 보안 조치

12 PC 보안관리(제25조) (위반사례) - 학적부 스캔파일, 성적파일, 저소득층 파일 등의 중요자료나
- CMOS 부팅 패스워드 미 부여 사용 - 학적부 스캔파일, 성적파일, 저소득층 파일 등의 중요자료나 민감한 자료가 공유폴더에 저장되어 있어 외부 노출 및 유출

13 홈페이지 게시자료 보안관리(제29조) ① 웹 페이지 노출 유형 가. 공지사항에 개인정보가 포함된 경우
홈페이지에서 게시자료 노출되는 원인은 웹 페이지, 첨부파일, 소스코드, 외부 검색엔진 (구글 등) 등 4가지로 나눌 수 있으며, 각 원인별로 다양한 유형의 개인정보 노출 발생 ① 웹 페이지 노출 유형 가. 공지사항에 개인정보가 포함된 경우 (1) 유형 설명 민원인의 부주의 또는 신속한 민원처리를 위해 개인정보가 포함된 콘텐츠를 그대로 게제한 경우 (2) 조치 방법 관리자는 민원인의 동의 거쳐 해당 페이지를 즉시 삭제하거나 해당 개인 정보 일부를 별표(*)처리 하는 등의 조치

14 홈페이지 게시자료 보안관리(제29조) ① 웹 페이지 노출 유형(계속) ② 첨부파일 노출 유형
나. 접근제한페이지(관리자화면/입력·수정화면 등)에 개인정보가 포함된 경우 (1) 유형 설명 게시물을 수정/편집하는 화면을 권한이 없는 이용자가 접근할 수 있도록 홈페이지가 잘못 설계되어 발생하는 경우 (2) 조치 방법 각 페이지별로 접근권한에 따른 인증절차 준수 ② 첨부파일 노출 유형 홈페이지 게시판에는 엑셀, 한글, 파워포인트, PDF, ZIP 등의 첨부파일이 존재할 수 있으며 이 파일들에서 개인정보가 노출될 수 있으므로 이에 대한 점검 및 조치 필요

15 홈페이지 게시자료 보안관리(제29조) ② 첨부파일 노출 유형 개인정보를 숨김 처리 하였지만 노출이 되는 경우 (1) 유형 설명
이것은 엑셀파일에서 주로 나타나는 유형으로 첨부파일을 열었을 때 바로 보이는 부분에서는 개인정보가 발견되지 않지만, 셀 최 하단 또는 최 우측, 셀 숨김 해제 등으로 개인정보가 발견되는 경우 (2) 조치 방법 해당 파일을 게시자에게 통보하여 게시판에서 해당 게시물을 삭제한 후 개인정보를 제거한 파일을 다시 게재하도록 조치

16 홈페이지 게시자료 보안관리(제29조) ③ 소스코드 노출 유형 게시판 소스코드에 개인정보가 포함 된 경우 (1) 유형 설명
이것은 웹 페이지의 게시판 소스코드에서 나타나는 유형. 홈페이지 설계 시 게시물에 대한 구분자로서 게시자의 개인정보를 이용하는 경우 소스코드에 개인정보가 그대로 나타남 (2) 조치 방법 홈페이지 설계단계에서 개인정보를 구분자로 사용하지 않도록 검토가 필요함. 가장 간단한 조치방법은 웹 페이지를 구별하기 위해 이용되는 개인정보를 해쉬 함수 등을 이용하여 변환 적용

17 홈페이지 게시자료 보안관리(제29조) ④ 외부 검색엔진 노출 유형 ⑤ 기타 유형
해당 웹페이지에 있는 내용 중 개인정보를 즉시 삭제하여야 하며, 그 후에 검색엔진 배제 표준이나 메타태그를 적용 ⑤ 기타 유형 웹서버 내에 잔존하는 휴먼 홈페이지를 모두 삭제하거나 개인정보 노출 여부를 일제 점검하여 삭제처리 하는 등의 관리 필요

18 홈페이지 게시자료 보안관리(제29조)

19 비밀번호 관리(제31조) ○ 비밀이나 중요자료에는 자료별 비밀번호를 반드시 부여
○ 비밀번호는 다음 각 호 사항을 반영하여 숫자와 문자, 특수문자 등을 혼합하여 9자리 이상으로 정하고, 분기 1회 이상 주기적으로 변경 - 사용자계정(ID)과 동일하지 않은 것 - 개인 신상 및 부서 명칭 등과 관계가 없는 것 - 일반 사전에 등록된 단어는 사용을 피할 것 - 동일단어 또는 숫자를 반복하여 사용하지 말 것 - 사용된 비밀번호는 재사용하지 말 것 - 동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것 - 응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지

20 12345678 AbCde128 ABCDEFGH AbCd#$%^ AbCdEfGh AbCd#*12
8자리 비밀번호 해독, 10초냐 23년이냐 숫자로만 만든 경우 -> 10초면 해독 영어 대문자+소문자+숫자> 25일 6시간이면 해독 AbCde128 영어 대문자 혹은 소문자로만 만든 경우 -> 348분이면 해독 영어 대문자+소문자+특수->365일이면 해독 ABCDEFGH AbCd#$%^ 영어 대문자 + 소문자 -> 6일이면 해독 AbCdEfGh 영어 대문자+소문자+특수+숫자-> 23년이면 해독 AbCd#*12

21 전자우편 보안대책(제34조) 전자우편 보안관리 ○ 상용메일을 이용하여 업무자료를 송·수신 금지
○ 사적공간에서 상용메일 이용 시 상용메일 보안기능을 설정하여 보안 대책 강구 ○ 수신메일의 첨부파일이 자동 실행되지 않도록 설정하고 첨부파일 다운로드 시 반드시 백신으로 악성코드 은닉여부 검사 ○ 출처가 불분명하거나 의심되는 제목의 전자우편을 열람 금지 ○ 해킹메일로 의심되는 메일 수신 시에는 즉시 정보보안담당관을 경유하여 통합보안관제센터에 신고

22 홈페이지 및 전자우편 보안 관리 랜섬웨어(ransomware: 몸값(Ransom)+소프트웨어(Software)
○ 정의: 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램 ※ 2016년 전체 보안사고의 60% 차지 ○ 감염 경로 - 이메일, 웹사이트, P2P 사이트 등 통해 감염 ○ 침해 예방법 - PC상태 최신 업데이터 및 데이터 백업 - 웹 페이지 접속 시 사이트 및 파일 안전 확인

23 전자우편 보안대책(제34조) 상용메일 보안기능 설정 요령
(Q) 2단계 인증 이란? ☞ 로그인시 아이디ㆍ패스워드 외에 ‘일회용 인증번호’를 같이 입력해야 로그인할 수 있는 이중 보안서비스로, 패스워드가 해킹으로 유출되어도 메일계정 소유자의 휴대폰으로 전송되는 ‘일회용 인증번호’를 모른다면 무단접속 불가

24 전자우편 보안대책(제34조) 2016년 해킹메일 대응 모의훈련(9. 21. ~ 9. 23.)
○ 대상기관: 본청 13개 부서 및 교육지원청 ○ 대상자: 총 265명(본청 65명, 교육지원청 200명) ○ 훈련 결과: 사이버 침해사고에 대한 인식도가 낮음 - 해킹 및 피싱메일 열람 미신고율 63.3%(19건) - 피싱사이트 실행율: 50%(9건) - 사용자 계정 탈취율: 44.4%(4건)

25 휴대용 저장매체 보안대책(제35조) 휴대용 저장매체 관리책임자는 휴대용 저장매체를 비밀용,
일반용으로 구분하고 주기적으로 수량 및 보관상태를 점검하며, 반출·입을 통제하여야 한다. [부록3] 제10조 휴대용 저장매체를 불용처리하거나 재사용하는 경우에는 『 휴대용 저장매체 불용처리 확인서 』 서식에 따라 정보보안담당관의 확인을 받아 확인서를 보관하여야 한다.

26 휴대용 저장매체 보안대책(제35조)

27 전자우편 보안대책(제34조)

28 휴대용 저장매체 보안대책(제35조)

29 악성코드 방지대책(제36조) PC 등 사용자 악성코드 방지대책
○ 백신은 최신 상태로 업데이트·상시 감시상태로 설정 및 주기적인 점검을 실시하여야 함 ○ 출처, 유통경로 및 제작자가 명확하지 않은 응용프로그램 사용을 금지함 ○ 인터넷 등 상용망으로 자료 이수 시 신뢰할 수 있는 인터넷 사이트를 활용 하되 최신 백신으로 진단 후 사용하여야 함

30 서명되지 않은 Active-X 등이 PC내 불법 다운로드 되고
악성코드 방지대책(제36조) PC 등 사용자 악성코드 방지대책 ○ 사용자 - 인터넷 파일공유 프로그램과 메신저·대화방 프로그램 등 업무상 불필요한 프로그램 사용 금지 ○ 시스템관리자 - 인터넷 연동구간의 침입차단시스템 등에서 관련 사이트 접속을 차단 하도록 보안설정 서명되지 않은 Active-X 등이 PC내 불법 다운로드 되고 실행되지 않도록 보안 설정함

31 악성코드가 설치되거나 감염된 사실을 발견하였을 경우
악성코드 방지대책(제36조) 악성코드가 설치되거나 감염된 사실을 발견하였을 경우 시스템관리자 조치사항 ○ 악성코드 감염원인 규명 - 파일 임의 삭제 금지 - 감염시스템 사용 중지 - 시스템 사용 중지 및 전산망과 접속 분리 ○ 악성코드 감염확산 방지 - 정보보안담당관에게 관련 사실 통보

32 사용자 PC 보안 관리 운영체제 및 프로그램 보안패치 벤더사의 홈페이지를 통해 최신 보안패치 제공
1. Windows 운영체제 및 MS Office Windos update 사이트 접속하여 최신 보안패치 검색 : update.Microsoft.com/

33 사용자 PC 보안 관리 운영체제 및 프로그램 보안패치 ① 자동 업데이트 창을 열고 [업데이트할 제품] 리스트가 있는지 확인
2. 한컴 오피스 ① 자동 업데이트 창을 열고 [업데이트할 제품] 리스트가 있는지 확인 ② [도움말]>[한글과 컴퓨터 자동 업데이트]에서 하단의 버튼을 눌러 업데이트를 실행함

34 사용자 PC 보안 관리 화면보호기 설정 화면보호기 설정 및 암호 적용을 하지 않은 경우 시스템의 임의의
사용자가 접근하여 조작 및 중요 정보를 유출할 수 있음 화면보호기를 설정하고 암호를 적용해야 함 1. 설정확인 [화면보호기 설정 창]을 열어 화면보호기 사용여부, 대기시간, 암호 사용여부 항목을 점검함 ※ Win7: [제어판] > [모양 및 개인 설정] > [화면보호기 변경] 2. 조치 방안 - 화면보호기 사용 여부: 사용 - 화면보호기 대기시간: 10분 이하 - 암호 보호 사용여부: 암호로 보호 또는 로그인 화면 표시 체크

35 인터넷 전화 보안관리(제50조) 각급기관의 장은 인터넷 전화 도입 시 보안대책 수립
인터넷 전화 시스템을 구축하거나 민간 인터넷 전화 사업자망(070)을 사용하고자 할 경우에는 사업 계획 단계에서 자체 보안대책을 수립 ·시행하여야 한다. 유치원 및 초·중등교육기관 제외 인터넷 전화 도입 시 보안대책 수립

36 용역업체 보안관리(제55조) - 1 외부 용역 인력 관리가 중요 주로 외부 용역 인력 활용
. 외부 인력이 노트북을 통해 기관의 중요 자료 유출 . Apt 공격을 통해 기관 전산망을 마비 (예) N은행 전산망 사태 외부 용역 인력 관리가 중요

37 용역업체 보안관리(제55조) - 2 보안 위규 업체 부정당 업체 지정과 입찰참가 제안에 대한 명시
국가를 당사자로 하는 계약에 관한 법률 시행령 제76조제1항18호 지방자치단체를 당사자로 하는 계약에 관한 법률 시행령 제92조제1항19호 전자정부법 제2조13호에 다른 정보시스템의 구축 및 유지 ·보수계약의 이행과정에서 알게 된 정보 중 각 중앙관서의 장 또는 계약담당공무원이 누출될 경우 국가에 피해가 발생할 것으로 판단하여 사전에 누출금지정보로 지정하고 계약서에 명시한 정보를 무단으로 누출한 자

38 용역업체 보안관리(제55조) - 3 외주 용역사업 보안관리 수행절차

39 용역업체 보안관리(제55조) - 4 ① 용역사업 입찰 시 ② 용역사업 계약 시 외부 용역업체 보안관리 방안
□ ‘누출금지 대상정보‘,’부정당업자 제재조치‘, 기밀유지 의무 및 위반 시 불이익‘ 등을 정확히 공지 ② 용역사업 계약 시 □ 용역 자료·장비 등에 대한 대외보안이 필요한 경우 - 보안의 범위 및 책임을 명확히 하기 위해 사업수행계약서와 별도로 비밀유지계약서 작성(보안특약) 비밀유지계약서 비밀정보의 범위, 보안준수 사항, 위반 시 손해배상 책임, 지적재산권 문제, 자료의 반환 등이 포함되도록 명시

40 용역업체 보안관리(제55조) - 5

41 용역업체 보안관리(제55조) - 6 ② 용역사업 계약 시 □ 용역사업 참여인원
- 용역업체를 임의로 교체할 수 없도록 명시하고 신상변동(해외여행 포함) 사항발생 시 발주기관에 즉시 보고 □ 과업지시서·계약서(입찰공고 포함) - 발주기관의 요구사항을 사업자에게 명확히 전달하기 위해 작성 - 인원·장비 ·자료 등에 대한 보안조치 사항, ‘누출금지 대상정보’ 및’ 부정당업자의 제재조치＇를 정확히 기술 ※ 지방자치단체를 당사자로 하는 계약에 관한 법률 제92조 제1항 제19호

42 용역업체 보안관리(제55조) - 7 ③ 용역사업 수행 시 참여인원에 대한 관리 ④ 용역사업 종료 시 용역사업 참여인원에 대해
용역사업 수행 전 ‘정보 누출＇금지조항 및 개인의 친필 서명이 들어간 보안서약서 징구 법적 또는 발주기관 규정에 의한 비밀유지 의무 준수 및 위반 시 처벌내용 등에 대한 보안교육 실시 누출 금지 대상정보 및 정보 누출 시 부정당업자 제재조치 등에 대한 교육 병행 발주기관은 사업 수행 중 업체 인력에 대한 보안점검 실시 비밀관련 사업을 수행 시 참여인원에 대한 비밀취급인가 등 보안조치 수행 누출금지 대상 정보 외부 누출여부 확인 ④ 용역사업 종료 시 - 용역사업 관련 자료를 보유하고 있지 않다는 대표자 명의 확약서 징구

43 (Closed-circuit television)
CCTV운용 보안관리(제51조) CCTV (Closed-circuit television) 범죄의 예방과 단속에 효과적인 수단으로 평가 받는 동시에 초상권, 개인정보자기결정권, 사생활의 비밀과 보호 등 개인의 기본권 침해의 여지가 있음 각급기관의 장은 CCTV운용에 필요한 카메라, 중계·관제서버, 관리용PC 등 관련 시스템을 비인가자의 임의 조작이 물리적으로 불가능하도록 설치하고 CCTV 상황실은 보호구역으로 지정 관리하고 출입통제장치를 도입하여야 한다.

44 CCTV운용 보안관리(제51조) 시스템관리자 ① CCTV 운영 보안관리
분리 운영을 원칙으로 함 단, 부득이하게 인터넷망을 이용할 경우 전송내용의 암호화 CCTV 시스템 일체 사용자 계정·비밀번호 등 시스템 인증대책을 강구하고 허용된 특정 IP접속만 허용하는 등 비인가자의 침입 통제대책 강구 정보보안담당관의 보안대책 점검 및 보완

45 CCTV운용 보안관리(제51조) ② CCTV 보안취약점 동축게이블 해킹
카메라와 비디오 서버 간 연결된 동축케이블 중간을 절취하여 영상정보를 외부에 유출 가능 CCTV 카메라(비디오 서버)해킹 네트워크에 연결된 카메라(비디오 서버)의 시스템 취약점을 활용하여 조작 및 영상정보 외부 유출 가능 CCTV 관제센터 간 영상자료 절취 카메라(비디오서버)와 관제센터 간 소통자료를 스니핑, 코덱(codec) 분석 후 복구하여 영상정보 유출 가능

46 CCTV운용 보안관리(제51조) CCTV 관리적 보안대책 ③ 보안대책
불가능하도록 위치하거나 시건 장치 설치 ⓑ 전송회선의 절단, 도청, 손상 등을 방지하기 위하여 매설 및 보호도관 설치 ⓒ CCTV 상황실은 보호구역으로 지정관리하고 출입통제장치 도입 ⓓ CCTV, DVR(Digital Video Recorder), 출입통제 장비 등의 정상작동여부 및 보안관리 상태에 대하여 주기적인 점검 ⓔ 관계법령에 근거, 영상기록의 임의열람 및 사적활용 방지대책 마련하고, 저장매체는 시건장치가 설치된 통제구역에 보관

47 CCTV운용 보안관리(제51조) 기술적 보안대책 ③ 보안대책 VPN 설치 등 자료 암호화
부득이한 사유로 인터넷을 활용할 경우 원격지카메라(비디오서버) 관제서버 종단 간 VPN 설치 등을 통한 자료 암호화 및 관제시스템이 운용되는 영역으로 침입차단시스템 활용

48 보안성 검토(제62~66조) 각급 기관(학교)은 정보화사업 추진 시 자체 보안대책 강구 및 구축될 시스템의 안정성을 확보하기 위해 사업 계획단계(사업 공고 전) 지도감독기관의 장과 교육부장관을 경유하여 국가정보원장에게 보안성 검토를 의뢰하여 한다. - 대상사업: CCTV, 정보시스템 구축, 무선 랜 구축 등 정보화사업 보안성 검토 처리 절차 간소화 - 사업 규모에 따라 시도교육청, 교육부, 국정원에서 보안성 검토 수행 - 단순유형 정보화 사업은 보안성 검토 생략 예) PC·서버 등 단품 위주의 장비 도입·교체, 홈페이지 유지보수 등 소규모 기관의 보안성 검토 간소화 - 대상: 직속기관, 교육지원청 소속기관, 단설 유·초·중·고·특수학교 - 보안심사위원회 구성 및 심사를 생략하고 상위기관에 보안성 검토 의뢰

49 보안성 검토(제62~66조) 보안성 검토 요청 공문 제출 - 단설유치원, 초·중학교, 교육지원청 소속기관 교육지원청 행정지원과
- 고·특수학교, 직속기관, 교육지원청 도교육청 지식정보과 제출 문서 - 사업계획서 - 기술제안요청서(과업지시서 등) - 정보통신망 구성도(IP주소 체계 포함) - 자체 보안대책

50 보안성 검토(제62~66조) 사업계획서에 포함되어야 할 내용
- 사업명, 사업 목적, 추진 배경 및 근거, 추진 일정, 사업예산 자체 보안대책에 포함되어야 할 내용 - 보안관리 수행 체계(조직, 인원 등] 관리적 보안 대책 - 정보시스템 설치 장소에 대한 보안관리 방안 등 물리적 보안 대책 - 서버, 휴대용 저장매체, 네트워크 등 정보통신망의 요소별 기술적 보안 대책 - 재난복구 계획 및 상시 운용 계획

51 보안적합성 검증 -1 보안적합성검증대상 보안적합성 검증 신청 각급기관의 장은 1. 상용 정보보호시스템
정보보호시스템 도입할 경우 사전에 교육부장관을 경유하여 국가정보원장에게 보안적합성 검증을 신청하여야 하며, 보안적합성 검증대상은 다음 각 호와 같다. 보안적합성검증대상 1. 상용 정보보호시스템 2. 각급기관의 장이 자체 개발하거나 외부업체 등에 의뢰하여 개발한 정보보호시스템 3. 저장매체 소자장비 혹은 완전삭제 소프트웨어 4. 네트워크 장비(L3이상 스위치, 라우터 등) 및 보안기능이 있는 L2스위치

52 보안적합성 검증 - 2 검증 생략의 경우 보안적합성 검증 신청 각급기관의 장은
정보보호시스템 도입할 경우 사전에 교육부장관을 경유하여 국가정보원장에게 보안적합성 검증을 신청하여야 하며, 보안적합성 검증대상은 다음 각 호와 같다. 검증 생략의 경우 1. 국가정보원장이 정한 국내용 CC 인증제도에 따라 인증을 받은 정보보호시스템 2. 검증필 제품목록에 등재된 저장매체 소자장비 혹은 소프트웨어 3. 암호모듈 검증제도를 통해 국가정보원장이 안전성을 확인한 제품 4. 그 밖에 국가정보원장이 보안적합성 검증이 불요하다고 인정한 시스템

53 보안적합성 검증 - 3 기관별 제출 서류 CC 인증 정보보호제품 도입 시 2. 상용 정보보호시스템 - 보안적합성 검증 생략
- 정보보호시스템 도입 확인서, 운영 점검사항 서식을 작성하여 도입 후 3주이내 도교육청으로 제출 ※ 경상남도교육청 정보보안 기본지침 별지 제10호, 제14호 2. 상용 정보보호시스템 - 정보보호시스템 도입 확인사항 1부. - 보안적합성 검증 신청서 1부. - 기술제안요청서 사본 1부.

54 보안적합성 검증 - 3 기관별 제출 서류 3. 자체 개발하거나 외부업체 등에 의뢰하여 개발한 시스템
- 정보보호시스템 도입 시 확인사항 1부. - 보안적합성 검증 신청서 1부. - 기술제안요청서 사본 1부. - 상세설계서 1부. - 개발완료 보고서 1부. - 사용설명서 1부.

55 침해사고 보고서를 통보받은 기관(학교)에서 수행할 처리 업무
통합보안관제센터 침해사고 처리 방법 침해사고 보고서를 통보받은 기관(학교)에서 수행할 처리 업무 접속 ▣ 아이디, 비밀번호는 별도 안내 ▣ 각급학교(기관)에서만 접속 가능 ※ 크롬(Chrome)브라우저로 접속

56 통합보안관제센터 침해사고 처리 방법 메인화면 중앙에 위치한 「침해사고 처리 현황」에서 제목을 클릭

57 통합보안관제센터 침해사고 처리 방법 사고(피해)시스템 정보 및 공격시스템 정보 중 대상기관에 해당되는 정보 또는 통합보안관제센터에서 제공한 “첨부1.침해사고발생보고서” 확인(gne hwp)

58 통합보안관제센터 침해사고 처리 방법 ▣ 점검 가능 PC - 수동 바이러스 검사 - 바이러스 치료 및 삭제 - 내PC지키미 실행
- 인터넷 브라우즈는 최선버전 설치 ※ 매 항목 점검 시 화면 캡쳐 필요 ▣ 점검 불가 PC - 랜 케이블 분리 후 포맷 - 포맷 후 랜 케이블 연결 및 보안업데이트 ※ 당일 처리 불가시 랜 케이블 분리 IP 대장을 활용하여 PC 물리적 위치 확인

59 통합보안관제센터 침해사고 처리 방법 처리 후 결과보고 메인화면 ‘자료실’에서 「사고조치확인서」 작성

60 통합보안관제센터 침해사고 처리 방법 - 사고처리 현황 → 종결요청 클릭 - 내용 입력 및 첨부선택 - 등록
※ 처리기한 3일 이내 (단위기관 사고처리 기한 참조) ▣ 사고처리 문의전화 ~7

61 질의 응답 경상남도교육청