관련 지침
-
1)개인정보위원회 규정
-
2)인정보 보호지침
-
3)개인정보 내부관리지침
-
4)개인정보 처리방침
침해사고 대응절차
전산망을 통하여 외부의 불법침입자가 내부의 전산시스템에 침입하거나 내부자가 허가되지 않은 행위를 했을 때 이에 효율적으로 대처할 수 있는 일련의 방법 및 절차는 다음과 같다.
침해사고
-
가.침해예방
- 1주요 서버, 네트워크 장비, 침입차단/탐지시스템의 경우 가능한 실시간으로 주요보안 로그의 분석이 가능하도록 관제 요원 및 정보보호담당자에게 이벤트에 대한경고(Alarm, SMS, E-mail 중 한가지 이상)를 보내는 체계를 갖추도록 한다.
- 2관제 요원은 주요 시스템 로그 및 이벤트를 분석하여 추가적인 침입흔적이나 시도들을 분석하는 체계를 갖추도록 한다.
- 3 침해사고가 발생했을 경우 신속하게 사고를 탐지하고 이에 즉각적으로 대응할 수있도록 내부 교직원들을 대상으로 정기적으로 교육한다.
-
나.침해 징후 파악 및 보고
- 1관제요원은 다음과 같은 비정상적인 활동이나 징후가 보이면 확인 및 점검 후 침입사고로 판단될 시 정보보호담당자에게 보고해야 한다.
- 네트워크에 과도한 부하 발생한 경우
- 침입탐지시스템 등 보안시스템에서 경고가 발생한 경우 - 2정보보호담당자는 침입자의 공격에 의해 비밀 및 대외비 정보가 허가되지 않은 자에게 공개될 우려가 있을 때 해당 정보 소유자에게 공지하여야 한다.
- 3 일반 사용자가 다음과 같은 침입 징후를 발견하는 경우 즉시 정보보호담당자에게통보해야 한다.
- 자신의 패스워드가 노출되었다는 의심이 드는 경우
- 최종 로그인 시간이 자신의 실제 최종 로그인한 시간과 다르거나 로그인 시도가 실패했던 흔적이 보이는 경우
- 기타 회사 정보 시스템 사용 중 침입의 징후를 발견하는 경우 - 4정보보호담당자는 신고 받은 보안 사고 내용을 보안사고 발견 및 조치대장에 요약하여 기록 유지하며 심각도별 대응절차에 따라 보고한다.
-
다.침입자 발견 시 조치방법
침입자가 현재 시스템에 접속하고 있을 경우 정보보호담당자는 침입자의 주요 데이 터 변경, 삭제 및 관리자 권한 획득 등 시스템의 보호가 최우선시 되는 심각한 경우 즉시 접속을 차단하고 그렇지 않은 경우에는 다음과 같은 조치를 취한다.
- 1침입자의 접속을 추적한다.
- 내부 단말기에서 침입한 경우에는 현재의 단말 위치를 확인 후 조치를 취한다.
- 네트워크를 통해 침입한 경우 해당 시스템담당자에게 연락해 로그를 유지하도록 요청하고 공동으로 대응하도록 한다. - 2침입자의 접속을 차단한다.
- 3 3) 침입자 및 해당 시스템담당자에게 메시지를 보낸다.
- 침입자의 이메일 주소가 파악된 경우 경고 메시지를 보내 침입의지를 격감시 킨다.
- 해당 시스템담당자에게 협조요청 메시지를 보내 필요 조치를 취할 수 있게 한 다. - 4 증거자료 확보를 위해 침해 시스템의 이미지를 덤프하여 백업을 실시하고 백업기록은 3년 이상 보관한다.
-
라.시스템의 중요한 변경사항 확인
침입을 차단했거나 침입한 흔적이 발견된 경우 보안진단도구 등을 이용하여 다음과 같은 사항을 점검한다.
- 1새로운 계정이 만들어져 있는지 확인한다.
- 2Password 파일이 변경, 접근권한 변경여부를 확인한다.
- 3외부에서 허가 없이 접속 가능한 파일들(.rhost )의 변경유무를 확인한다.
- 4특권프로그램(suid, sgid)이 새로 만들어져 있는지를 확인한다.
- 5특정파일의 접근모드가 변경되어 있는지를 확인한다.
- 6시스템 유틸리티의 변경 및 수정여부를 확인한다.
- 7기타 해킹 스크립터를 이용한 경우 변경될 수 있는 부분을 확인한다.
-
마.보안사고 처리 및 복구
- 1정보보호담당자는 해당 보안사고의 사고에 대한 내용 분석이 종결됨과 동시에 보안사고 복구 방법 동의서를 작성하여 정보보호관리자 및 정보보호책임자에게 승인을 받아 조치한다.
- 2정보보호담당자는 보안사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가,전문기관, 전문 정부기관인 한국정보보호진흥원(KISA), 경찰청 사이버 테러대응센터(NETAN)와의 연락체계를 구축한다.
- 3 정보보호담당자는 법적 대응이 필요할 경우 보안사고에 대한 상세내용을 경찰청사이버테러대응센터(NETAN)의 사이버범죄 신고절차를 준수하여 신고 하도록 하며, 진행상황 별로 정보보호관리자 및 정보보호책임자에게 보고한다.
-
바.사후 분석 및 보고
- 1정보보호담당자는 조치 완료 후 서면보고시(중요, 긴급, 대형 사고) 보안사고 보고서를 작성하여 심각도별 대응 절차에 따라 보고하며, 비밀로 분류하여 3년간 보존한다.
- 2정보보호담당자는 사고 처리 결과를 보안사고 발견 및 조치대장(양식1)에 요약하여 기록 유지한다.
- 3 침해사고 분석과정에서 발견된 취약점 및 사고관련정보는 보안정보 보고서를 작성하여 정보보호관리자 및 정보보호책임자에게 보고하며, 시스템담당자와 공유하여 사고의 재발을 방지하도록 보안 정보 및 사고를 관리한다.
- 4이 과정에서 필요한 경우 유사한 사고의 발생을 방지하기 위해 각종 정책, 지침및 절차 등에 대한 효과적인 개선책을 마련하고 적용하도록 한다.
- 5중대한 침해 사고로 판단된 경우 보안사고의 처리가 종결된 이후에도 반드시 정보보호책임자의 책임 하에 철저한 조사가 이루어져야 한다.
- 6법이나 규정상 보안사고를 외부기관에 보고해야 할 경우 정보보호책임자의 인가를 받는다.
- 7해당 보안사고의 재발 방지 및 효과적인 보안대책 수립을 위한 조치가 취해져야한다.
- 8정보보호담당자는 침해사고 대응현황을 정기적으로 정보보호관리자 및 정보보호책임자에게 보고한다.
소프트웨어 이상 및 오류
소프트웨어의 이상 및 오류 발생시 정보보호담당자에게 즉시 보고 되어야 한다.
-
가.사용자는 소프트웨어의 작동이 매뉴얼의 내용과 다르거나 이상 징후가 발견된 경우 이를 정보보호담당자에게 보고하여야 한다.
-
나.정보보호담당자는 보고된 소프트웨어의 이상 및 오류를 분석하여 다음과 같은 조치 를 취한다.
- 1보안사고에 의한 경우 정보보호관리자 및 정보보호책임자에게 즉시 보고하고 조치를 취한다.
-
다.정보보호담당자는 보안사고 내용을 기입한 후 첨부된 보고서를 작성하여 정보보호관 리자 및 정보보호책임자에게 보고한다.
바이러스 및 웜
컴퓨터 바이러스의 감염 발견 시 즉각적인 보고가 이루어져야 한다.
-
가.바이러스 발견 보고
- 1바이러스 발견 시 즉각 정보보호담당자에게 보고하고 해당 시스템을 네트워크에서 분리하여 추가적인 감염을 방지한다.
- 2평소 바이러스 백신을 통한 정기적인 바이러스 검사를 하여야 하며 기타 바이러스 관리상 책임사항은 “PC보안 지침”을 따른다.
-
나.바이러스 조치방법
- 1관제요원 및 시스템담당자는 바이러스 및 웜 감염 사실을 즉시 정보보호담당자에게 알리고 정보보호담당자가 “보안사고 발견 및 조치대장”에 해당 바이러스 사고내용을 기입한다.
- 2정보보호담당자는 바이러스에 감염되어 있는 정보시스템의 피해 현황을 확인한 후 “보안사고 발견 및 조치대장”에 조치사항을 작성하여 정보보호 관리자 및 정보보호책임자에게 승인을 받아 조치 한다.
시스템의 취약성
정기 취약성 진단 시에 외부 침해에 대한 정보시스템의 취약성 발견 시 정보보호담 당자에게 보고되어야 한다.
-
가.사용자는 취약성 발견 즉시 정보보호담당자에게 보고하여야 하며 어떠한 경우에도 취약성을 검증하려고 시도해서는 안 된다.
-
나.정보보호담당자는 보고된 취약성 검토 후 대책을 마련하고 정보보호관리자 및 정보보호책임자에게 결과를 보고한다.
정보자산의 손상
교외에서 중요 정보자산의 노출이 일어났을 경우 즉시 보고가 이루어져야 한다.
-
가.비밀 및 대외비 정보가 허가되지 않은 자에게 노출되었을 경우 발견자는 정보보호담 당자 및 해당 정보 소유자에게 즉시 보고하여야 한다.
-
나.자산의 노출에 대한 보고를 받은 정보 소유자 및 정보보호담당자는 정보자산 노출에 대한 조치를 취해야 한다.
-
다.정보보호담당자는 정보보호관리자 및 정보보호책임자에게 보고하여 사태의 심각성과 사후 대책을 논의하여 총장보고 후 조치하도록 한다.
개인정보의 노출 및 유출
홈페이지를 통해 관리자의 실수, 고의 또는 해킹으로 인한 개인정보의 노출 및 유출이일어났을 경우 정보보호담당자에게 즉시 보고가 이루어져야 한다.
-
가.개인정보가 노출 및 유출되었을 경우 발견자는 정보보호담당자에게 즉시 보고하여야 한다.
-
나.개인정보의 노출 및 유출에 대한 보고를 받은 정보보호담당자는 개인정보 노출 및유출에 대한 조치를 취해야 한다.
-
다.정보보호담당자는 정보보호관리자 및 정보보호책임자에게 보고하여 사태의 심각성과 사후 대책을 논의하여 총장보고 후 조치하도록 한다.
심각도별 대응 절차
-
1)심각도 1,2 : 정보보호관리자의 판단에 따라 정보보호책임자 및 총장에게 연락하여 대응 및 조치를 취할 수 있도록 한다. 보고 및 대응 절차는 본 지침의 5절(침해사고대응절차) 을 따른다.
-
2)심각도 3,4 : 계속적인 모니터링을 통하여 ‘심각도 1, 2’ 로의 전이 가능성을 파악하고지속적인 공격 IP나 잠재적인 위험성이 있을 경우에는 대응 조치를 정보보호관 리자의 결정에 따라 정보보호담당자가 처리하게 된다. ‘심각도4’ 의 경우에는 “보안사고 보고서”를 별도로 작성하지 않으며 취하며, “보안사고 발견 및 조치대장” 월간보고 시에 포함하 여 보고한다.
| 구분 |
관제대응 |
보고형태 |
보고시한 |
보고방식 |
최종보고자 |
| 단순(심각도4) |
12 Hours |
조치완료 보고 |
월간보고 |
월간보고 |
정보보호관리자 |
| 중요(심각도3) |
3 Hours |
조치완료 보고 |
익일보고 |
서면보고 |
정보보호관리자, |
| 긴급(심각도2) |
60 Min |
발생보고 |
발생후 10분 이내 |
구두보고 |
정보보호관리자, |
| 조치완료 보고 |
익일보고 |
서면보고 |
|||
| 대형 |
20 Min |
발생보고 |
발생보고 |
구두보고 |
정보보호책임자, 총장 |
| 수시보고 |
수시보고 |
구두/서면 |
|||
| 조치완료 보고 |
조치완료 즉시 |
서면보고 |
| 심각도 |
설명 |
| 단순 |
정보시스템 기능성이나 서비스에 영향을 주지 않는 일반적인 인터넷 상의 보안 위협 상황. |
| 중요 |
정보시스템의 기능성을 손상시키거나 서비스에 중대한 영향을 주지는 않지만 지속적인 발생으로 문제를 야기 할 수 있는 상황이나 잠재적인 위험성에 대한 모니터링이 필요한 경우를 포함하는 상황. 개인정보의 일부 노출이나 유출(게시판에 10명 미만 학생정보 노출) |
| 긴급 |
정보시스템 사용이나 서비스에 보안상 심각한 영향을 주는 상황(개별 서버 침해사고나 지속적인 공격 상황). 개인정보 DB의 일부 노출이나 유출(Excel 또는 게시판에 100명 미만 학생정보 노출 또는 유출) |
| 대형 |
정보시스템 사용 및 고객 관련 서비스 수준에 심각한 영향을 주며 전체 정보시스템의 위험이 존재하는 상황(전사적인 Worm에 의한 피해나 조직적인 공격 상황). 개인정보 DB 전부의 노출이나 유출(DB 전체 정보 유출,100명 이상 학생정보 노출 또는 유출) |
연계 전문기관
| 기관명 |
한국외국어대학교 |
국가정보원 국가 |
경찰청 사이버 |
한국정보보호 |
| 연락처 |
02)2173-3437 |
02)3432-0462 |
02)3939-112 |
국번 없이 118 |
| 주요업무내용 |
보안사고접수 |
정부, 공공, 교육 등 |
주민등록번호도용, |
해킹사고, 게임사이트 및 |