목차 I. 개요 1 1. 작성배경 1 2. 작성목적 1 3. 가이드의구성 2 4. 가이드의활용 2 5. 가이드의개정 2 II. 침해사고준비도소개 3 1. 침해사고준비도개념 3 2. 디지털포렌식개념 5 3. 침해사고준비도필요사항 7 4. 금융보안원을활용한침해사고준비도구축

2016. 12. 21.

목차 I. 개요 1 1. 작성배경 1 2. 작성목적 1 3. 가이드의구성 2 4. 가이드의활용 2 5. 가이드의개정 2 II. 침해사고준비도소개 3 1. 침해사고준비도개념 3 2. 디지털포렌식개념 5 3. 침해사고준비도필요사항 7 4. 금융보안원을활용한침해사고준비도구축 9 5. 국내 외침해사고준비도현황 10 III. 금융회사침해사고준비도참조모델 12 1. 침해사고및디지털증거식별 12 2. 요구사항식별 20 3. 침해사고준비도에따른 IT 인프라구축 28 4. 지속적관리 37 < 참고 > 1. 금융회사침해사고준비도체크리스트 2. 전자금융감독규정의준비도관련요구사항식별

Ⅰ. 개요 1. 작성배경 전자적침해사고의예방및피해최소화필요성증가 - IT기술을사용하는업무비중이늘어나면서전자적침해사고에의한대규모피해발생가능성이증가 - 침해사고와관련된디지털증거가없어지거나위변조되면사고원인파악이어렵고많은시간이소요되어재발및피해확산가능성증가 전자적침해사고조사에고비용발생 - 공격기술이고도화되면서침해사고원인을조사하기위해소요되는 비용이과다하게발생할수있어조사비용의절감방안필요 전자적침해사고와관련된법적분쟁에대비 - 침해사고증가와고객정보의중요성에대한사회적인식이높아지면서 관련법적분쟁의발생가능성이증가하여이에대한대비필요 2. 작성목적 금융회사침해사고준비도가이드 ( 이하 가이드 ) 는금융회사가침해사고예방및피해규모최소화, 유사시사고조사비용의절감및디지털증거의법적증거능력확보를위하여사전에갖추어야할사항을안내함으로써금융회사가수행하는침해사고대응업무지원을목적으로함 - 1 -

3. 가이드의구성가이드는총 3장과참고자료로구성 1 Ⅰ장은가이드가작성된배경, 목적, 가이드내용의구성, 가이드활용과관련된내용을포함 2 Ⅱ장은아직은생소한침해사고준비도 ( 이하 준비도 ) 및디지털포렌식의개념, 필요사항, 국내외현황등을간략하게소개 3 Ⅲ장은금융회사가침해사고준비도를구축함에있어사용할수있는필요사항에대한현황정보, 관련기술안내, 업무절차등을예시함으로써 IT보안담당자가업무에활용할수있는준비도참조모델을제시 4 참고자료는 IT보안담당자가침해사고준비도를자체점검해볼수있도록하는체크리스트등을제공 4. 가이드의활용 침해사고준비도구축업무수행에참조 - 본가이드는신속한침해사고조사를위하여금융회사가갖추어야할준비도참조모델을포함하고있으므로금융회사 IT보안담당자가이를참조하거나회사별상황에맞춰일부수정하여업무에활용 정보보호프로세스개선에활용 - 기존복구중심의침해사고대응프로세스를신속한사고원인조사를통한재발방지및피해최소화프로세스를추가하여개선하는데본가이드를활용 5. 가이드의개정 연단위개정을원칙으로하며작성일및버전을표지에명시하여최신 가이드를확인할수있도록함 ( 다만, 환경변화가없으면개정을생략 ) - 2 -

Ⅱ. 침해사고준비도소개 1. 침해사고준비도 * 개념 * 포렌식준비도라불리기도하며, 본가이드는침해사고대응에중점을두기위하여침해사고준비도라는용어를사용 정의 : 침해사고와관련된디지털증거를법적증거능력을갖는방식 으로수집 분석 ( 디지털포렌식 ) 하기위한계획및시스템과 인적자원에대한조직적준비 참고 디지털포렌식연구자논문등에명시된정의 Tan 침해사고대응에필요한포렌식비용을최소화하고증거데이터에대한사용가능성을최대화하기위하여신뢰할수있는증거를수집할수있는환경능력을극대화시키는것 Rowlingson 사전에잠재적인디지털증거를수집할수있도록조직의정보시스템을설정하고조직의정책, 인력, 절차를이에맞게조정하는것으로사후분석에필요한증거의가용성및품질을향상시키는것 Nikkel 디지털포렌식업무를수행하기사전에절차와도구, 훈련된인력을마련하고포렌식능력을 IT 기반시설과어플리케이션의초기설계요소로구현하는것 백승조, 임종인잠재적디지털증거를법적증거능력을유지하는방식으로수집 분석하기위한준비를갖추는수준으로잠재적증거를신속하게확보하기위한계획을사전에수립하고시스템적, 인적준비를조직적으로갖추는것 출처 : 개인정보보호강화를위한포렌식준비도모델및도입방안연구 ( 저자 : 백승조, 임종인 ; 2015 년 5 월 ) - 3 -

특징 - 침해사고가발생하기전에디지털증거를신속하고효과적으로수집하고분석할수있도록 IT 인프라및프로세스를구축하는사전적침해사고대응전략 - 업무복구중심의기존침해사고대응계획과는달리신속한사고원인파악으로침해사고의재발및피해확산방지계획도포함 - 무결성, 신뢰성이보장된상태로디지털증거를수집 분석하여법적증거능력을확보할것을요구 도입장점 - 신속한사고원인파악을통한적시대응으로업무연속성확보및사고조사지연에따른피해최소화 - 침해사고가발생할경우침해사고조사에필요한비용과시간을최소화 - 디지털증거의법적증거능력확보로침해사고관련법적분쟁에서면책가능성증가 - 합리적보호조치를취하고있음을보여줌으로써기업의정보보호시스템에대한신뢰도제고 - 침해사고대응을위해요구되는 IT규제를효과적으로준수 금융회사는기존복구중심의침해사고대응계획에침해사고준비도 개념을포함하는것이필요 - 4 -

2. 디지털포렌식 * 개념 * 법의학에서사용하는포렌식이라는용어를디지털영역에접목한용어 정의 : 침해사고의근본원인을밝히기위하여디지털증거를적법한 방법으로식별, 분석, 보존, 제출하는일련의과정 참고 위키피디아정의 - 전자적증거물등을사법기관에제출하기위해데이터를수집, 분석및보고서를작성하는일련의작업 - 사이버해킹공격및사이버범죄시범죄자들이컴퓨터, 이메일, IT 기기, 스마트폰등의운영체제, 어플리케이션, 메모리등에다양한전자적증거를남기게되므로사이버범죄자추적및조사에핵심적요소 디지털증거의특징 - 저장매체의영향을받지않고원본과사본의생산, 이전, 삭제, 수정이가능하여원본과사본의구별및위변조확인이곤란 - 디지털형태로저장되기때문에인간이직접내용을인지할수없어가독성을위하여변환과정이필요하며이를위해전문가참여가필요 디지털포렌식의유형 - 목적에따른분류 정보추출포렌식 (Information Extraction Forensics) 디지털저장매체에기록되어있는데이터를복구하거나검색하여찾아냄으로써증거를발견하거나확보하는포렌식 사고대응포렌식 (Incident Response Forensics) 침해행위와관련된시스템의로그, 해킹기록등을조사하여사고의원인, 피해내용, 공격자등을파악할목적으로수행하는포렌식 - 5 -

- 수집및분석대상에따른분류 휘발성증거에대한포렌식 레지스터, 캐시, 메모리의내용이나네트워크연결상태, 실행중인프로그램상태, Swap 파일시스템내용, 파일및디렉터리의시간속성정보등시스템종료및임의접근으로본래의데이터가사라지거나훼손되는데이터에대한포렌식 비휘발성 ( 디스크 ) 증거에대한포렌식 하드디스크, USB 메모리등과같이비휘발성저장매체로부터디지털 증거를획득 분석하는포렌식 네트워크증거에대한포렌식 네트워크상에서전송중인패킷정보등디지털증거를획득 분석하는 포렌식 프로그램소스 (Source) 포렌식 프로그램원시코드나리버스엔지니어링 (Reverse Engineering) 등을통해 확보된프로그램소스의작동방식및결과를분석하는포렌식 - 6 -

3. 침해사고준비도필요사항 필요사항 금융회사관련현황 보호자산식별 금융회사주요보호자산은전자금융서비스, 개인 ( 금융 ) 정보, 업무정보, 내부 ( 업무 ) 망, 인터넷망등 특히, 개인 ( 금융 ) 정보는유출, 위변조, 삭제등다양한침해위협이있고공격자의주요목표가될수있음 침해사고유형분류 1 침해사고및 디지털증거식별 전자금융감독규정시행세칙 * 은 6개유형으로침해사고를분류 ( 디도스공격, 전산자료 / 프로그램조작, 정보유출, 시스템위변조, 내부망해킹, 악성코드감염 ) * 정보기술부문및전자금융사고보고양식 침해사고관련디지털증거식별 금융회사의보호자산과연관된정보처리시스템, 정보보호시스템, 네트워크, 단말기 (PC 등 ), 웹서비스서버등의디지털기록이디지털증거 저장된로그, 이벤트기록등비휘발성정보뿐만아니라시스템을종료하면사라지는휘발성정보 ( 메모리, 네트워크연결정보등 ) 도중요한디지털증거 - 7 -

필요사항 금융회사관련현황 법적요구사항및제한사항식별 2 법적, 기술적, 인적 요구사항식별 금융회사침해사고와관련된주요법률인전자금융거래법, 정보통신기반보호법, 정보통신망법, 개인정보보호법의요구사항및제한사항식별 전자금융감독규정, 위협대응행동매뉴얼등관련감독규정및매뉴얼포함필요 기술적요구사항식별 신뢰성있는디지털증거의수집, 분석, 보존기술식별 디지털포렌식도구확보및검증제도확인 인적요구사항식별 디지털포렌식전문인력확보 ( 내 / 외부 ) 디지털포렌식전문가자격검증제도확인 디지털증거수집 분석및보존정책수립 디지털증거수집및분석에대한절차적매뉴얼수립 디지털증거보존방법및보존기간에대한정책수립 시스템아키텍처정의및구현 3 침해사고준비도에 따른 IT 인프라구축 중요도에따라네트워크구간분리, 분리된네트 워크구간별접속제한, 정보보호시스템설치등 디지털포렌식친화적인시스템아키텍처구현 테스트및평가 침해사고유형별로식별된디지털증거의수집, 분석가능성을훈련등을통해테스트및평가 디지털증거수집및보존 디지털증거가정해진정책에따라수집 보존이이루어질수있도록디지털증거의수집과보존을위한프로세스및인프라를구축 - 8 -

필요사항 금융회사관련현황 준비도정책관리체계수립 연간정보보호계획수립시준비도정책관리를포함 준비도관련정보보호규정, 매뉴얼, 가이드등을갱신 4 지속적관리 지속적인직원교육및인식제고 직원정보보호교육및인식제고프로그램에 침해사고준비도관련프로그램내용을반영 지속적인모니터링및감사 정보보호점검등의프로세스에준비도와관련된 지속적인모니터링및감사활동을포함 4. 금융보안원을활용한침해사고준비도구축 침해사고준비도구축을위한디지털포렌식전문인력과전문도구 확보가어려운금융회사는침해사고조사시침해사고조사역량을 갖추고있는금융보안원을적극활용하여조사수행 금융보안원은침해사고 ( 포렌식 ) 전문인력및도구, 방법론을갖추고있으며침해사고발생시부터금융회사와증거수집및포렌식분석등원활한합동조사진행가능 침해사고발생즉시증거수집, 포렌식분석수행이되지않을경우신속한사고원인파악및피해확산방지에영향을줌 금융보안원침해사고대응연락처 - 전화 : 02 3495 9494 - 이메일 : cert@fsec.or.kr - 9 -

5. 국내 외침해사고준비도현황 가. 해외현황 국가명 관련현황 NIST * 에서포렌식과관련된표준가이드를제공 * NIST(National Institute of Standards and Technology) : 미국상무부기술관리국이운영하는국립표준기술연구소 - Guide to Integrating Forensic Techniques into Incident Response 침해사고대응과관련된포렌식기술및포렌식분석시나리오제공 미국 - Computer Security Incident Handling Guide 침해사고대응절차및조직구성, 사고처리절차, 정보공유원칙등을제시 일부보안전문업체에서침해사고준비도개념을포함한평가, 진단및컨설팅서비스를제공 - FireEye : 침해사고대응전략, 대응조직의역할및책임, 탐지 분석메커니즘등을테스트후개선방안을제공 - Symantec : 침해사고대응관리적, 기술적준비도를평가하고테스트후개선방안을제공 영국 정부의정보취급기관은의무적으로포렌식준비도를갖추도록제도화 - 정부보안정책프레임워크에포렌식준비도를명시 ( 내용 ) 정보시스템에서산출되는데이터를보존, 분석할수있는포렌식준비도정책이포함된정보자산감사능력을갖추어야함 민간에도 GPG(Good Practice Guide) 를통해정책샘플이나기술적 / 인적요구사항, 우수사례등을제공 - 10 -

나. 국내현황 체계적으로제도화된침해사고준비도관련법조항은없으나, 정보보호관련법률및각종정보보호평가및인증제도에서침해사고대응, 로그관리등침해사고준비도내용을다수포함 관련법률 : 전자금융거래법, 전자금융감독규정, 개인정보보호법, 정보통신기반보호법, 정보통신망이용촉진및정보보호등에관한법률등 특히, 금융권은전자금융거래법, 전자금융감독규정및위기대응행동매뉴얼등에침해사고준비도개념이포함되어있어침해사고준비도를상당부분구축 전자금융감독규정 (12조 18 조 ) 은정보기술보호대책 ( 단말기, 전산자료보호대책, 정보처리시스템 ), 방지대책 ( 해킹, 악성코드감염 ) 및관리대책 ( 공개용웹서버, IP주소 ) 규정에서디지털증거 ( 로그등 ) 획득및보존을명시 금융회사위기대응행동매뉴얼은침해사고대응을위한조직, 프로세스, 보고및정보공유절차등을포함 그러나, 침해사고대응이복구중심으로되어있어효과적인디지털 포렌식을통한신속한사고원인파악및디지털증거의증거능력 확보를위한디지털포렌식수집과분석내용은보완필요 - 11 -

Ⅲ. 금융회사침해사고준비도참조모델 1. 침해사고및디지털증거식별 가. 보호자산식별 구분업무현황고객정보현황시스템및네트워크현황 작성방법 - 기작성한업무현황리스트활용가능 업무연속성계획 (BCP), 인증자료, 업무참고자료등 - 자료가없으면업무중요도를고려하여신규작성 - 기작성한고객정보보유현황활용가능 개인정보취급방침, 개인정보영향평가, 업무참고자료등 - 자료가없으면신규작성 주민번호, 계좌번호, 카드번호등중요정보보유현황포함은필수 - 기작성한시스템및네트워크현황활용가능 - 자료가없으면신규작성 내부망, 인터넷망및서버망, 단말기망등네트워크분리를알아볼수있고정보보호시스템및솔루션확인이가능할수있도록작성 나. 침해사고유형분류 구분 침해사고내용 전산자료 / 프로그램조작 정보유출사고 내부망해킹 시스템위변조 디도스공격 전산시스템에저장된데이터및프로그램을조작, 파괴, 은닉하는행위내부직원또는협력직원의악의적인목적및과실에의해발생한정보유출사고내부시스템취약점또는연계된시스템의취약점으로발생한정보유출및시스템마비사고등 전산시스템을위변조하여정상적인서비스를방해하는행위 ( 홈페이지위변조등 ) 다양한서비스거부공격을통하여금융회사의서비스구간을마비시키는사고 전자금융감독규정시행세칙 정보기술부문및전자금융사고보고양식사고유형준용 - 12 -

다. 침해사고관련디지털증거식별 1) 침해사고유형별디지털증거 사고유형 공통 전산자료 / 프로그램조작 정보유출사고 내부망해킹 시스템위변조 ( 웹변조 ) 디도스공격 디지털증거및기록 정보처리시스템, 네트워크, 단말기현황 정보보호시스템, 네트워크, 솔루션현황 침입탐지 차단시스템이벤트및탐지패킷로그 침입탐지 차단시스템정책및패치기록 침해사고관련내 / 외부네트워크통신기록 백신로그및패치기록 정보처리시스템시스템로그및패치기록 정보처리시스템계정별접근및사용기록 어플리케이션설치및사용포트기록 어플리케이션로그및패치기록 단말기하드디스크이미지 단말기메모리정보등 데이터 / 프로그램무결성검증기록등 전산자료및중요파일접근기록 이동식저장매체접속기록 정보유출방지시스템탐지로그 망간자료연계시스템탐지로그 인터넷 / 웹메일접속기록 디지털저작권관리시스템 / 매체제어시스템감사로그등 스팸탐지기록 악성코드감염기록 아웃바운드트래픽기록등 웹서버접속로그 웹페이지위변조확인기록 웹서버계정내역및접근로그 시스템무결성검증기록 DB 쿼리로그등 디도스대응시스템정책및탐지차단로그 공격네트워크트래픽샘플 웹서버접속로그등 - 13 -

2) 시스템종류별디지털증거 가. 공통 항목디지털증거및기록확인방법 기본정보 - OS 정보, 패치정보 - 디스크정보 - 시스템시간 (CMOS 시간 ) 운영체제 (OS) 기본명령어 활성데이터 - 프로세스정보 - 네트워크정보 - 메모리덤프 운영체제 (OS) 기본명령어전문수집도구이용 - 설치프로그램정보 전문수집도구 이용 비활성정보 - 정보보안프로그램 - 사용자계정정보 ( 예 : 윈도우 : net user/linux : /etc/passwd) 전문수집도구이용운영체제 (OS) 기본명령어 - 네트워크패킷 전문수집도구 이용 - 14 -

나. 윈도우 (Windows) 항목 레지스트리 디지털증거및기록설치프로그램목록, 최근사용문서파일, USB 저장장치사용기록, 최근접근문서, 최근접속인터넷주소, 최근실행명령어, 자동실행항목등 (system, sam, security, software, default, NTUSER.dat) - 저장 : %SYSTEMROOT%\System32\config, C\Users\ 사용자명 \ 이벤트로그 계정 (Account) 사용기록 파일및디렉터리정보 실행파일기록 보안 / 설치 / 시스템 / 응용프로그램 / 하드웨어 /PowerShell 이벤트등로그 - 저장 : %SYSTEMROOT%\System32\winevt 계정현황, Last Login, Last Failed Login, Last Password Change, Group Membership, Sucess/Fail Logins, Logon Types, RDP Usage, 비인가계정 (Rogue Local Accounts) 등 - 저장 : %SYSTEMROOT%\System32\config, C\Users\ 사용자명 \,%SYSTEMROOT%\System32\winevt 윈도우즈파일시스템 (FAT, NTFS) 의디렉터리및파일에대한접근, 생성, 수정된정보등 ($MFT, $LogFile, $UsnJrnl) - 포렌식전문도구로확인프리패치 (Prefetch), 슈퍼패치 (Superfetch) - 저장 : %SYSTEMROOT%\Prefetch 인터넷 접속기록 웹히스토리, 쿠키 (Cookie), 세션 (Session) 정보, 캐시 (Cache), download 등 - 저장 : %Profile%AppData\Local\Microsoft\Windows\ 이메일 사용기록 웹메일, 마이크로소프트아웃룩 (Outlook) 이메일 (pst,ost,eml) 파일복구 크래시덤프 (Crash Dump), 시스템복원지점 (System Restore Point) 복사본등 - 저장 : %SYSTEMROOT%\MEMORY.dmp, 시스템복원폴더 - 15 -

다. Linux/Unix 항목 디렉터리구성및파일 중요한서비스설정기록 작업스케줄러 ( 주기적실행 ) 시스템로그 사용자별실행명령기록 로그인기록 시스템콘솔출력및 syslog 기록 su 명령사용기록 현재로그인사용자정보 로그인 / 아웃, 시스템시작 / 종료시간등 FTP 접근기록 사용자별수행한명령어 디지털증거및기록 기본실행파일및실행기록 (/bin), 부팅에필요한파일 (/boot), 시스템장치파일 (/dev), 시스템설정파일 (/etc), 사용자홈디렉터리 (/home), 시스템공유라이브러리 (/lib), 장치마운트경로 (/mnt), 시스템프로세스특수파일 (/proc), 사용자설치경로 (/usr), 관리자홈디렉터리 (/root), 관리자실행파일 (/sbin), 로그, 프린터스풀등가변파일 (/var) 운영체제및시스템서비스 (/etc), 개별어플리케이션은각각확인 - 저장 : /etc/passwd, /etc/shadow, /etc/groups, /etc/hosts cron, at - 저장 : /var/log/cron, /var/spool/at 접근로그, 에러로그, 감사로그 - 저장 : /usr/adm(aix), /var/adm(hp-ux), /var/log(sunos), /var/log(linux), /secure acct, pacct - 저장 : /var/account/pacct 사용자별최종로그인시간기록 (lastlog), 로그인실패기록 (loginlog) - 저장 : /var/log/lastlog messages - 저장 : /var/log/message sulog - 저장 : /var/log/sulog utmp(x), w 또는 who 명령 - 저장 : /var/log/utmp wtmp(x), last - 저장 : /var/log/wtmp xferlog - 저장 : /var/log/xferlog history - 저장 : /root/.bash_history - 16 -

라. 네트워크 (Network) 시스템 1) 네트워크장비설정값및로그 구분 스위치 디지털증거및기록 - CAM(Content Addressable Memory) 테이블 - 라우팅테이블 라우터 DHCP 서버네임서버웹프록시 - 차단트래픽로그 (ACL) - 트래픽량 - DHCP 로그 IP 주소를할당받은장비의 MAC 주소, IP 주소할당및갱신시간, 호스트네임등 - DNS 로그 조회시간및조회내역등 - 웹서핑로그 - 클라이언트 (IP) 별웹서핑패턴 - 캐싱된웹페이지 2) 네트워크전송데이터추출값 구분추출방법디지털증거및기록 통신케이블 - 케이블탭핑 (Tapping) - 포트미러링 (Mirroring) - 데이터통신패킷 - 관리용통신패킷 무선 - 무선인터넷전송규약 WAP * 을 이용하여수집 * Wireless Application Protocol - 데이터통신패킷 - 관리용통신패킷 전문도구 - 전문도구로우회통신환경을 구축하여데이터추출 - 데이터통신패킷 - 관리용통신패킷 - 17 -

마. 정보보호시스템 구분 디지털증거및기록 공통사항 - 감사로그 ( 시스템로그인정보등 ) 침입탐지시스템 (IDS) 방화벽 (F/W) 네트워크접근제어 (NAC 등 ) 서버보안 (Secure OS 등 ) 디도스대응시스템 USB 통제 - 침입탐지및차단로그 - 패킷헤더와플로우기록정보, 패킷페이로드 - 출발지 / 목적지 IP 주소, TCP/UDP 포트, 네트워크이벤트발생시간 - 허용및차단정책 - 접근및에러로그 - 네트워크비정상행위탐지로그 (Spoofing 등 ) - 업데이트파일배포로그등 - 시스템접속로그, 중요파일실행로그 - 서버보안데몬실행로그 - 트래픽발생추이 - 디도스공격패킷 - USB 연결정보 백신 - 악성프로그램탐지, 삭제로그 데이터유출방지시스템 (DLP) - 프로그램설치정보, 응용프로그램접속로그, 매체사용로그 문서암호화관리 - 프로그램설치정보, 응용프로그램접속로그, 시스템 (DRM) 매체사용로그 APT탐지시스템 - APT 탐지로그 ( 유입실행파일관련정보 ) DB보안 - 질의및응답관련로그 - DB 변경관련로그 패치관리서버 - 파일배포정보 무선침입방지시스템 (WIPS) - 무선침입탐지및차단로그 인증서버 - 로그인성공 / 실패로그등인증관련로그 이메일보안 - 비정상파일이포함된이메일송수신로그 - 18 -

바. 정보처리시스템 구분 디지털증거및기록 전자금융거래로그 - 전자금융서비스와관련한로그 어플리케이션로그 - 자체또는외주개발되어사용하고있는어플리 케이션로그 Web - 웹접속및에러로그 WAS - 통신로그 DB - 감사및질의 / 응답로그 Mail - 메일필터링로그 미들웨어 - 미들웨어로그 SSO - 계정정보및로그인 / 아웃로그 - 19 -

2. 요구사항식별 가. 법적요구사항식별 전자금융감독규정의침해사고준비도관련규정 구분요구사항주 ) 전자금융감독규정주 ) 무단조작방지 제 12 조제 1 호 단말기보호대책 전산자료보호대책 정보처리시스템보호대책 단말기보호중요단말기보호보조기억매체통제전산자료현황관리반출 반입통제보조기억매체관리백업자료관리정보시스템가동기록보존장애기록관리모니터링시스템구축중요패치수행백업 소산관리 제 12 조제 2 호 제 12 조제 3 호 제 12 조제 4 호 제 13 조제 1 항제 3 호 제 13 조제 1 항제 5 호 제 13 조제 1 항제 7 호 제 13 조제 1 항제 8 호 제 13 조제 1 항제 11 호, 제 13 조제 4 항 제 14 조제 3 호 제 14 조제 4 호 제 14 조제 7 호, 제 15 조제 1 항제 2 호 제 14 조제 8 호 정보보호시스템설치및운영 보안정책승인 적용이력보관 내부통신망과외부통신망분리차단 제 15 조제 2 항제 3 호, 제 15 조제 3 항 제 15 조제 1 항제 5 호 주 ) 상세내용은 금융 IT 보안컴플라이언스가이드 (2015. 6.30, 금융보안원 ) 및본가이드 < 참고 2> 전자금융감독규정의준비도관련요구사항식별 참조 - 20 -

구분요구사항주 ) 전자금융감독규정주 ) 악성코드감염방지대책 공개서버보안 IP 주소관리 계정및권한관리 정보처리시스템관리자통제 내부사용자비밀번호관리 이용자비밀번호관리 전산원장통제 악성코드검색및치료프로그램의최신상태유지중요단말기악성코드감염일일점검 공개용웹서버의설치및접근통제공개용웹서버거래로그관리 공개용웹서버해킹방지 내부 IP 주소체계보안 인터넷접속내역기록 보관 사용자계정통제 외주사용자계정통제 정보처리시스템관리자통제장치마련 운용정보처리시스템관리자주요업무관련행위감시 비밀번호설정 운영 비밀번호시도횟수제한및재부여절차 이용자비밀번호조회관리 비밀번호시도횟수제한및재부여절차 부적합관련기록보존 작업자및작업내용기록보존 제 16 조제 1 항제 1 호, 제 2 호 제 12 조제 3 호, 제 16 조제 1 항제 4 호 제 17 조제 1 항제 1 호 제 17 조제 1 항제 4 호 제 17 조제 4 항 제 18 조제 1 호, 제 2 호 제 18 조제 3 호 제 13 조제 1 항제 1 호, 제 4 호, 제 14 호, 제 13 조제 2 항 제 13 조제 1 항제 2 호 제 13 조제 5 항 제 13 조제 5 항, 제 28 조제 2 항 제 32 조제 1 호, 제 2 호 제 32 조제 3 호 제 33 조제 1 항 제 33 조제 2 항제 3 호 제 27 조제 4 항 제 27 조제 5 항 주 ) 상세내용은 금융 IT 보안컴플라이언스가이드 (2015. 6.30, 금융보안원 ) 및본가이드 < 참고 2> 전자금융감독규정의준비도관련요구사항식별 참조 - 21 -

일괄작업통제 구분요구사항주 ) 전자금융감독규정주 ) 작업내용기록 관리 주요업무관련행위모니터링 제 30 조제 4 호 제 30 조제 5 호 프로그램통제절차수립프로그램변경기록 관리제 29 조제 2 호 전자금융거래기록 보존 전자금융거래기록 보존 거래기록보존및보관요건준수 보존기관경과전자금융거래기록파기 제38조전자금융거래법제22조제1항, 제2항전자금융거래법시행령제12조제1항, 제2항전자금융거래법제22조제1항전자금융거래법시행령제12조제3항, 제4항전자금융거래법제22조제2항, 제3항전자금융거래법시행령제12조제5항, 제6항 주 ) 상세내용은 금융 IT 보안컴플라이언스가이드 (2015. 6.30, 금융보안원 ) 및본가이드 < 참고 2> 전자금융감독규정의준비도관련요구사항식별 참조 - 22 -

나. 기술적요구사항식별 1) 디지털포렌식도구검증제도 가 ) NIST( 미 ) CFTT(Computer Forensics Tool Test Program) * NIST(National Institute of Standards and Technology) : 미국상무부 (United States Department of Commerce) 기술관리국이운영하는국립표준기술연구소 NIST 에서운영하는컴퓨터포렌식도구신뢰성확인프로그램 목적 제조사가도구를개선하기위해필요한정보제공 사용자가포렌식도구를선택하는데필요한정보제공 사법등의분야에서포렌식도구성능을이해하는데참조 참조웹사이트 : http://www.cftt.nist.gov 테스트방법론및포렌식도구테스트결과등조회가능 기타 미, 국토안보국 (Department of Homeland Security) 에서지원 나 ) 국내검증제도 국내는법원이나대검찰청에서공식적으로인정하는포렌식 도구는없음 2008 년 10 월국가디지털포렌식센터가설립된이후 EnCase* ( 미국, Guidance Software 社 )* 등검증된포렌식전문도구를이용한 디지털증거가법정에제출되거나증거로인정받고있음 * 검찰, 경찰등수사기관에서주로사용하고있으며금융보안원도디지털포렌식전문도구로 EnCase 등을사용 - 23 -

2) 주요포렌식도구 가 ) 통합포렌식도구 도구명운영체제제조사라이선스 EnCase Forensic FTK Forensic Explorer Windows Windows Guidance Software( 미 ) AccessData ( 미 ) 상용 상용 Windows GetData( 미 ) 상용 나 ) 활성데이터수집 / 분석 (Live Forensic) 도구 도구명 운영체제 제조사 라이선스 Argos DFAS Windows 더존 ( 한국 ) 상용 Live Response Windows e-fense( 미 ) 상용 MIR Windows Mandiant( 미 ) 상용 다 ) 디스크이미징 ( 복제 ) 도구 도구명운영체제제조사라이선스 Falcon - Logicube( 미 ) 상용 Image MASter Intelligent - Computer 상용 Series Solution( 미 ) 라 ) 모바일포렌식도구 도구명운영체제제조사라이선스 XRY Series - Micro Systemation( 미 ) 상용 UFED - Cellebrite( 미 ) 상용 - 24 -

마 ) 데이터복구도구 도구명 제조사 라이선스 Recover My Files Pro GetData( 미 ) 상용 R-Studio R-Tools Technology( 미 ) 상용 FinalData 파이널데이터 ( 한국 ) 상용 3) 공격자관련정보획득사이트 웹사이트획득정보 ( 무료 ) http://whois.kisa.or.kr/kor/ 국내 IP 관련정보 http://www.ip-tracker.org/ 해외 IP 관련정보 https://www.shodan.io/ IP 조회및외부오픈서비스정보 http://domainbigdata.com/ 도메인, IP, E_mail 관련정보 - 25 -

다. 인적요구사항식별 1) 디지털포렌식전문인력확보현황 내부전문인력 : 디지털포렌식자격증소지자및관련경력자 현황확인 외부전문인력 - 금융보안원 : 디지털포렌식전문역량보유 ( 전문인력, 전문도구및방법론등 ) - 정보보호전문업체 ( 전문인력, 전문도구보유확인필요 ) 2) 디지털포렌식관련교육프로그램 기관명웹사이트교육과정자격증 금융보안원 edu.fsec.or.kr 포렌식기초및심화 - SANS www.sans.or.kr 포렌식분석및대응등 GCFA 더존정보보호서비스 www.dforensic.co.kr 디지털포렌식전문가 2 급, AccessData(FTK) 공인교육기관 디지털포렌식전문가 2 급, ACE(FTK) 제트코 www.jetco.co.kr EnCase 공인교육기관, FTK 활용교육등 EnCE (EnCase) * 기타다수정보보호교육기관에서디지털포렌식교육을개설 - 26 -

다. 디지털포렌식자격인증제도 (2016 년 10 월현재 ) 구분자격증주관기관특징 국내 디지털포렌식전문가 1 2 급 ( 민간자격 ) 한국포렌식학회 - 응시자격 : 2 급 ( 없음 ), 1 급 ( 디지털포렌식전문가자격증 2 급보유하고, 유관경력 2 년 ) - 응시료 : 2 급 ( 필기 / 실기 ) : 6 만원 /12 만원 1 급 ( 필기 / 실기 ) : 10 만원 /20 만원 - 합격기준 : 2 급 ( 필기 / 실기 ) : 60 점 /60 점 1 급 ( 필기 / 실기 ) : 60 점 /60 점 - 자격유지 : 2 급 (1 년유효 ), 1 급 ( 미정 ) 국외 CCFP 한국사이버포렌식협회 (CFPA) - 응시자격 : IT 보안등관련경력 3 년이상 - 응시료 : US$549 - 합격기준 : 필기 (700 점 ) - 자격유지 : 3 년 국외 GCFA GIAC ( 교육 :SANS) - 응시자격 : 별도자격없음 - 응시료 : USD 659( 교육포함 ) - 합격기준 : 필기 (69%) - 자격유지 : 3 년유효 국외 ACE AccessData 국외 EnCE Guidance Software - 응시자격 : 별도자격없으나, 포렌식도구 (FTK) 기능및지식필요 - 응시료 : 교육비에포함 - 합격기준 : 필기 (80%) - 자격유지 : 1 년유효 (1 년뒤실기시험 ) - 응시자격 : EnCase 포렌식교육 64 시간수료또는경력 1 년이상 - 응시료 : USD 225 - 합격기준 : 필기 (80%), 실기 (85%) - 자격유지 : 3 년유효 - 27 -

3. 침해사고준비도에따른 IT 인프라구축 가. 디지털증거수집 분석정책수립 1) 디지털증거처리표준 / 디지털포렌식가이드라인 가 ) 디지털포렌식절차 나 ) 증거수집 기본원칙 적법한절차의준수 원본의안전한보존 증거의무결성확보 침해사고조사에필요한범위내에서내외부법률및규정에적법한절차로수집 쓰기방지장치등을이용하여원본의변경을차단하여수집하고이송시에는손상을방지 증거의변조가없음을입증하기위해원본과사본의해시값을생산하여입회인이확인 - 28 -

디지털증거수집일반절차 시스템운영체제별전원분리방법 OS 전원분리방법비고 Windows (PC 용 ) 전원플러그바로분리주 ) Windows ( 서버 ) Linux Unix 정상종료후전원플러그분리 정상종료후전원플러그분리 정상종료후전원플러그분리 전원플러그분리시에는시스템본체의플러그를제거 (UPS 사용시스템의임시데이터삭제방지 ) Macintosh 전원플러그바로분리주 ) 주 ) 정상적인시스템종료절차를수행하면임시데이타가삭제됨 - 29 -

네트워크증거수집절차 이메일증거수집절차 - 30 -

증거수집준수사항 현장도착시준수사항 수집시스템이확인되었으면각시스템별현재시각과시스템시간일치여부확인 수집시스템에설치된소프트웨어확인 하드웨어나네트워크를파악하고원본의손상을방지 수집대상목록을검토 확인하여신속하게수집 증거물수집시준수사항 시스템전원의 On/Off 상태, Raid 구성여부등을확인하여디지털증거가손상되지않도록수집 사용자간섭을최소화하여디지털증거의수정을최소화 활성데이터는휘발성이높은것부터우선적으로수집 수집된데이터나수행된작업에대한기록은수집과정이끝난후증거무결성을위해해시값기록 입회인등제3자에의한확인을증빙할수있도록기록 다 ) 증거분석의뢰 디지털증거분석의뢰 디지털증거물이변경내지멸실되지않았음을증명할수있도록조치 증거수집, 이송과정에서발생한상황은문서화 디지털증거물운반및이동시주의사항 증거물유형에따라변조나손상이되지않도록조치를취한후운반및이동 - 31 -

라 ) 증거분석 기본원칙 증거원본의안전한보존및무결성확보 증거분석기법과도구의신뢰성확보 증거분석과정의기록 증거분석결과의신뢰성확보 제 3 자가재분석해도결과가일치하여야함 준비사항 분석장비 증거분석전용시스템을사용하고, 데이터의무결성유지를위하여인터넷접속금지 쓰기방지장치등으로위변조방지 사용에익숙하고신뢰성이검증된전문분석도구만을사용 분석결과물을저장할안전한저장장치를준비하여사용 분석대상및범위결정 사건개요, 증거물수집과정, 분석의목적등을파악하여분석대상및범위를결정 증거분석표준절차 분석대상디지털증거물의유형에따라적절한자료추출및분석표준절차에따라증거분석을실시 마 ) 결과보고서작성 쉽게이해할수있는용어를사용하여정확하고간결하며논리정연하게작성 추정을배제하고사실관계를중심으로작성 객관적사실, 설명내용, 분석가의견을구분하여작성 증거발견방법및분석과정을명확하게기록 분석및처리과정을사진및화면캡처등으로기록 분석에사용한하드웨어및소프트웨어는반드시기록 법정증거능력이필요한분석결과는수정이불가능한문서자료형태로부본을작성하여, 안전한장소에보관 - 32 -

나. 디지털증거보존정책 1) 법규에서규정한디지털증거보존기간 대상로그법규명보존기간비고 전자금융거래기록 전자금융거래법 시행령 ( 제 12 조 ) 5 년간 (1 만원초과 ) 1 년간 (1 만원이하 ) 정보처리시스템가동기록 - 접속, 사용, 자료처리, 오류 기록등 전자금융감독규정 ( 제 13 조 ) 1 년이상 금융보안원취약점 분석평가점검항목 이용자정보조회내역 - 사용자, 사용일시, 변경및 조회내역, 접속방법등 전자금융감독규정 ( 제 13 조 ) 1 년이상 금융보안원취약점 분석평가점검항목 OS 및설정내용등의백업, 소산및백업자료 전자금융감독규정 ( 제 14 조 ) 1 년이상 금융보안원취약점 분석평가점검항목 정보보호시스템책임자지정운영 및운영결과 전자금융감독규정 ( 제 15 조 ) 1 년이상 금융보안원취약점 분석평가점검항목 내외부 IP 주소의인터넷접속 내용 전자금융감독규정 ( 제 18 조 ) 1 년이상 금융보안원취약점 분석평가점검항목 중요원장의조회, 수정, 삭제, 삽입한작업자와작업내용기록 전자금융감독규정 ( 제 27 조 ) 5 년이상 금융보안원취약점 분석평가점검항목 개인정보처리자가개인정보 처리시스템에접속한기록 개인정보의안전성확보 조치기준 ( 제 8 조 ) 6 개월이상 - 33 -

2) 기타침해사고조사관련디지털증거보존권고기간 대상로그 보존권고기간 보존방법 인터넷접속관련로그 1 년이상 위변조및도난분실이되지 않도록안전하게보관 * 개인 ( 금융 ) 정보접속관련 로그 1 년이상 정보보호시스템탐지로그 1 년이상 서버및 PC 내로그 시스템내자동보관되며, 중요 시스템은해당로그비활성화 금지필요 업무용중요응용프로그램 로그 1 년이상 위변조및도난분실이되지 않도록안전하게보관 * 로그중앙관리시스템, 서면, 마이크로필름, 디스크또는자기테이프등에보관하며, 해시값등을적용하여원본임을확인할수있도록하는조치를권고 - 34 -

다. 시스템아키텍처정의및구현 1) 네트워크구간분리및접근기록관리 네트워크는중요도에따라분리하고, 분리된구간사이는침입차단시스템등정보보호시스템을설치하여접근통제및접근내역을기록 (Logging) 금융회사네트워크구간분리 번호네트워크명칭 * 용도 1 인터넷연결구간 2 DMZ 구간 3 전자금융서버구간 주요전자금융서비스를제공하기위하여 ISP 인터넷과연결되는구간 전자금융서비스제공을위한웹서버등이위치하는구간 DMZ 구간에위치한서버들과통신하는전자금융서버들이위치하는구간 4 계정계구간계정계 HOST 서버등이위치하는구간 5 내부서버구간 6 개발서버구간 대외에공개될필요가없는내부사용자업무에필요한서버들이위치한구간 업무테스트및개발을위한테스트서버들이위치하는구간 7 내부사용자구간내외부직원 PC( 단말기 ) 등이위치하는구간 8 대외연결구간 각종금융서비스의원활한제공을위하여대외기관이연결된구간 9 DR 구간장애발생시를대비하여구성한 DR 센터구간 10 인터넷망 직원인터넷접속네트워크로내부 ( 업무 ) 망과망분리된네트워크 * 금융보안원금융분야보안취약점점검가이드 ( 네트워크 ) 준용 로그는일정수준이상이누적되면이전로그는삭제되므로정보보호 시스템, NMS 및 EMS 등에저장된로그에대해관리실시 예 ) 정기적백업수행, 2 차백업등 - 35 -

2) 서버및어플리케이션정보및운영기록관리 서버정보 : 운영체제버전및업데이트, 보안패치, 계정및비밀번호, 사용서비스, 디렉터리정보 각종 S/W : 버전및업데이트, 보안패치, 로그정보 Web, WAS, DBMS, Mail, 미들웨어 어플리케이션 : 버전및업데이트, 감사및로그정보 업무용어플리케이션 라. 테스트및평가 침해사고대응훈련시침해사고발생을가정한침해사고조사업무를포함하고그결과를평가 주요포함사항 침해사고조사팀구성 침해사고조사에필요한기초자료확보 시스템및네트워크현황, 개인 ( 금융 ) 정보현황, 계정정보 침해사고조사에필요한디지털증거 ( 로그등 ) 확보 휘발성 / 비휘발성디지털증거, 네트워크트래픽디지털증거확보포함 디지털증거보존기간의적정성 침해사고조사 분석전문인력, 분석장비 (H/W, S/W) 확보 디지털증거수집 분석및보고매뉴얼 ( 절차및체크리스트, 비상연락망등 ) 존재등 마. 디지털증거수집및보존 디지털증거수집및보존정책에따라디지털증거를수집및 보존하고주기적으로테스트및평가 - 36 -

4. 지속적관리 가. 준비도정책관리체계수립 매년정보계획수립내용에준비도정책관리포함 준비도관련규정, 매뉴얼, 가이드등을갱신 디지털포렌식에필요한인력, 도구, 프로세스를갱신 준비도관련테스트및평가결과를반영 나. 지속적인직원교육및인식제고 주기적으로실시하는정보보호교육프로그램에준비도관련내용포함 침해사고발생시디지털증거보존및수집방법등 디지털포렌식전문인력양성을위한교육프로그램운영 금융보안원교육센터등외부전문교육프로그램활용 다. 지속적인모니터링및감사 정보보호점검및감사활동에준비도관련내용포함 취약점분석평가등외부전문가를통한준비도관련점검실시 - 37 -

< 참고자료 1> 금융회사침해사고준비도체크리스트 ( 안 ) - 38 -

Ⅰ. 침해사고및디지털증거식별 - 1 점검항목 점검내용 비고 1. 보호자산식별가. 업무현황 1 업무현황을문서및시스템조회로확인할수있는가? 2 업무현황이최신현황으로관리되고있는가? 3 업무현황은중요도에따라구분 ( 분류 ) 되어있는가? 4 업무별담당자및연락처를확인할수있는가? 나. 고객정보보유현황 1 고객정보보유현황을문서및시스템조회로확인할수있는가? 2 고객정보보유현황이최신현황으로관리되고있는가? 3 주민번호, 금융정보등중요정보보유현황을확인할수있는가? 다. 시스템및네트워크현황 1 시스템및네트워크현황을문서및시스템조회로확인할수있는가? 2 시스템및네트워크현황이최신현황으로관리되고있는가? 3 시스템및네트워크현황이네트워크구간별로확인되는가? 4 시스템및네트워크담당자현황이확인되는가? 2. 침해사고유형분류 1 침해사고유형이분류 / 정의되어있는가? 2 침해사고유형별조사방법이정리되어있는가? - 39 -

Ⅰ. 침해사고및디지털증거식별 2 점검항목점검내용비고 3. 침해사고관련디지털증거식별 가. 침해사고유형별 디지털증거 공통 사고유형별 1 정보시스템및어플리케이션에서획득할수있는디지털증거가식별되어있는가? 2 식별된디지털증거의획득이가능한가? 1 사고유형별로침해사고조사에필요한디지털증거를식별하고있는가? 2 식별된디지털증거의획득이가능한가? 1 시스템및 OS 종류별로디지털증거는식별되어있는가? 나. 시스템종류별 디지털증거 ( 계속 ) 공통 2 시스템및 OS 종류별로디지털증거가기본정보, 활성및비활성정보로구분되어있는가? 3 시스템및 OS 종류별디지털증거수집방법및방안을마련하고있는가? 4 시스템및네트워크장비시간이동기화되고있는가? - 40 -

Ⅰ. 침해사고및디지털증거식별 3 점검항목점검내용비고 1 시스템로그 ( 운영체제, 이벤트, 감사, 접속등 ) 를정상적으로기록하고있는가? 나. 시스템종류별 디지털증거 ( 계속 ) 운영체제 (OS) 2 시스템로그가사용자 ( 계정 ) 및사용내역을식별할수있도록기록하고있는가? 3 시스템로그의보존기간은적정한가? 4 시스템로그를주기적으로백업하고있는가? 1 네트워크로그를정상적으로기록하고있는가? 네트워크 2 네트워크통신기록, 관리용통신기록의보존기간은적정한가? 3 네트워크전송데이터값을추출할수있는방안은있는가? 4 네트워크구간에대해접근내역을확인할수있는방안이마련되어있는가? - 41 -

Ⅰ. 침해사고및디지털증거식별 4 점검항목점검내용비고 나. 시스템종류별 디지털증거 ( 계속 ) 정보보호시스템정보처리시스템 1 정보보호시스템로그를정상적으로기록하고있는가? 2 정보보호시스템별로정책및탐지로그확인이가능한가? 3 정보보호시스템로그를주기적으로백업하고있는가? 1 전자금융거래로그를정상적으로기록하고있는가? 2 전자금융거래로그의임의변조를방지하고있는가? 3 전자금융거래로그의보존기간은적정한가? 4 전자금융거래로그를주기적으로백업하고있는가? 5 정보처리시스템별로로그확인이가능한가? 6 정보처리시스템로그의보존기간은적정한가? 7 정보처리시스템로그를주기적으로백업하고있는가? - 42 -

Ⅱ. 요구사항식별 점검항목 점검내용 비고 1. 법적요구사항식별 1 법적 ( 관련규정 ) 요구사항이식별하고있는가? 2 법적요구사항의충족여부를확인하고있는가? 2. 기술적요구사항식별 1 디지털포렌식기술적요구사항을파악하고있는가? 2 기술적으로검증받은디지털포렌식전문도구를갖추고있는가? 3 용도별디지털포렌식도구를보유하고있는가? 3. 인적요구사항식별 1 디지털포렌식전문인력자격 ( 자격증, 경력 ) 은정하고있는가? 2 디지털포렌식전문인력확보방안은가지고있는가? 3 디지털포렌식전문가육성을위한교육은계획하고있는가? - 43 -

Ⅲ. 침해사고준비도에따른 IT 인프라의구축 - 1 점검항목점검내용비고 1. 디지털증거수집 분석정책수립 가. 디지털포렌식절차 1 디지털포렌식절차는수립되어있는가? 2 디지털포렌식절차에업무담당자는지정되어있는가? 1 디지털증거의수집절차는수립되어있는가? 나. 증거수집 2 디지털증거수집시지켜야할준수사항은정리되어있는가? 3 디지털증거수집절차에안전한전원분리방법은포함되어있는가? 다. 증거분석 라. 결과보고서작성 1 디지털증거분석매뉴얼은수립되어있는가? 2 디지털증거분석에필요한장비는준비되어있는가? 1 결과보고서작성방법은수립되어있는가? 2 결과보고서에내용이누락되지않고포함될수있도록하고있는가? - 44 -

Ⅲ. 침해사고준비도에따른 IT 인프라의구축 - 2 점검항목점검내용비고 2. 디지털증거보존정책 3. 시스템아키텍처정의및구현 가. 네트워크구간분리및 접근기록관리 나. 서버및어플리케이션 정보및운영기록관리 4. 테스트및평가 1 법규에서정한디지털증거보존기간을준수하고있는가? 2 법규에포함되지않은디지털증거의유형을정의하고보존기간을준수하고있는가? 3 디지털증거의보존방법이있는가? 1 중요도에따라네트워크구간이분리되어있는가? 2 네트워크구간별접근이통제되고접근기록을확인할수있는가? 3 네트워크구간별접근기록이내외부규정에따라보존되고있는가? 1 서버및 S/W, 업무용어플리케이션정보는파악되어있는가? 2 서버, S/W, 업무용어플리케이션의운영기록은정확하게관리되고있는가? 1 침해사고조사업무의원활한수행을테스트하고있는가? 2 침해사고조사업무의테스트결과를평가하고있는가? 3 침해사고조사업무의평가결과가조사업무에반영되고있는가? - 45 -

Ⅳ. 지속적관리 점검항목점검내용비고 1. 준비도정책관리체계수립 1 매년준비도정책관리를하고있는가? 2 준비도정책관리내용이개선되고있는가? 2. 지속적인직원교육및인식제고 1 침해사고준비도관련교육계획을수립하고있는가? 2 주기적으로침해사고준비도관련교육이실시되고있는가? 3 침해사고준비도교육내용은적정한가? 3. 지속적인모니터링및감사 1 침해사고준비도를주기적으로점검및평가하고있는가? 2 침해사고준비도점검결과가업무에반영되고있는가? 3 침해사고준비도업무수행결과를주기적으로점검 / 관리하고있는가? - 46 -

< 참고자료 2> 전자금융감독규정의준비도관련요구사항식별 1) 전자금융감독규정제 12 조 ( 단말기보호대책 ) 또는전자금융업자는단말기보호를위하여다음각호의사항을준수하여야한다. 1. 업무담당자이외의사람이단말기를무단으로조작하지못하도록조치할것 2. 정보처리시스템에접속하는단말기에대해정당한사용자인가의여부를확인할수있는기록을유지할것 3. 외부반출, 인터넷접속, 그룹웨어접속의금지등강화된보호대책이적용되는중요단말기를지정할것 4. 정보유출, 악성코드감염등을방지할수있도록단말기에서보조기억매체및휴대용전산장비에접근하는것을통제할것 관련로그 F/W, IDS, PC보안, 백신등정보보호시스템로그 단말기 OS 및어플리케이션로그 단말기사용자및계정별사용내역, 접근성공및실패기록 단말기패치기록및로그 단말기사용보조기억매체및휴대용전산장비사용기록 관련현황 중요단말기지정현황 단말기 H/W 및 S/W 현황, 네트워크구성도 단말기사용자및계정현황 단말기사용보조기억매체및휴대용전산장비사용현황 - 47 -

2) 전자금융감독규정제 13 조 ( 전산자료보호대책 ) 1 또는전자금융업자는전산자료의유출, 파괴등을방지하기위하여다음각호를포함한전산자료보호대책을수립 운용하여야한다. 1. 사용자계정과비밀번호를개인별로부여하고등록 변경 폐기를체계적으로관리할것 2. 외부사용자에게사용자계정을부여하는경우최소한의작업권한만할당하고적절한통제장치를갖출것 3. 전산자료의보유현황을관리하고책임자를지정 운영할것 4. 전산자료의입 출력 열람을함에있어사용자의업무별로접근권한을통제할것 5. 전산자료및전산장비의반출 반입을통제할것 6. 비상시에대비하여보조기억매체등전산자료에대한안전지출및긴급파기계획을수립 운용할것 7. 정기적으로보조기억매체의보유현황및관리실태를점검하고책임자의확인을받을것 8. 중요도에따라전산자료를정기적으로백업하여원격안전지역에소산하고백업내역을기록 관리할것 9. 주요백업전산자료에대하여정기적으로검증할것 10. 이용자정보의조회 출력에대한통제를하고테스트시이용자정보사용금지 11. 정보처리시스템의가동기록은 1년이상보존할것 12. 정보처리시스템접속시 5회이내의범위에서미리정한횟수이상의접속오류가발생하는경우정보처리시스템의사용을제한할것 13. 단말기에이용자정보등주요정보를보관하지아니하고, 단말기를공유하지아니할것 14. 사용자가전출 퇴직등인사조치가있을때에는지체없이해당사용자계정삭제, 계정사용중지, 공동사용계정변경등정보처리시스템에대한접근을통제할것 2 제1항제1호의사용자계정의공동사용이불가피한경우에는개인별사용내역을기록 관리하여야한다. 3 금융회사또는전자금융업자는단말기를통한이용자정보조회시사용자, 사용일시, 변경 조회내용, 접속방법이정보처리시스템에자동적으로기록되도록하고, 그기록을 1년이상보존하여야한다. - 48 -

4 1항제 11호의정보처리시스템가동기록의경우다음각호의사항이접속의성공여부와상관없이자동적으로기록 유지되어야한다. 1. 정보처리시스템에접속한일시, 접속자및접근을확인할수있는접근기록 2. 전산자료를사용한일시, 사용자및자료의내용을확인할수있는접근기록 3. 정보처리시스템내전산자료의처리내용을확인할수있는사용자로그인, 액세스로그등접근기록 5 금융회사또는전자금융업자는단말기와전산자료의접근권한이부여되는정보처리시스템관리자에대하여적절한통제장치를마련 운용하여야한다. 다만, 정보처리시스템관리자의주요업무관련행위는책임자가제28조제 2항에따라이중확인및모니터링을하여야한다. 관련로그 전산자료 ( 단말, 서버등 ) 와관련된 F/W, IDS, DRM, 보안 OS, DB보안, 접근관리등정보보호시스템로그 전산자료사용자및계정별사용내역, 접근성공및실패기록 전산자료와패치기록및로그 단말기사용보조기억매체및휴대용전산장비사용기록 관련현황 전산자료보유현황 ( 백업및소산내역포함 ) 전산자료관련 H/W 및 S/W 현황, 네트워크구성도 전산자료관련사용자및계정부여, 변경, 삭제현황 전산자료입 출현황 ( 테스트시사용포함 ) 전산자료관련보조기억배체사용현황 - 49 -

3) 전자금융감독규정제 14 조 ( 정보처리시스템보호대책 ) 또는전자금융업자는정보처리시스템의안전한운영을위하여다음각호를포함한보호대책을수립 운용하여야한다. 1. 주요정보처리시스템에대한구동, 조작방법, 명령어사용법, 운용순서, 장애조치및연락처등시스템운영매뉴얼을작성할것 2. 데이터베이스관리시스템 (Database Management System : DBMS) 운영체제 웹프로그램등주요프로그램에대하여정기적으로유지보수를실시하고, 작업일, 작업내용, 작업결과등을기록한유지보수관리대장을작성 보관할것 3. 정보처리시스템의장애발생시장애일시, 장애내용및조치사항등을기록한장애상황기록부를상세하게작성 보관할것 4. 정보처리시스템의정상작동여부확인을위하여시스템자원상태의감시, 경고및제어가가능한모니터링시스템을갖출것 5. 시스템통합, 전환및재개발시장애등으로인하여정보처리시스템의운영에지장이초래되지않도록통제절차를마련하여준수할것 6. 정보처리시스템의책임자를지정 운영할것 7. 정보처리시스템의운영체계, 시스템유틸리티등의긴급하고중요한보정 (patch) 사항에대하여는즉시보정작업을할것 8. 중요도에따라정보처리시스템의운영체제및설정내용등을정기백업및원격안전지역에소산하고백업자료는 1 년이상기록 관리할것 9. 정보처리시스템의운영체제 (Operating System) 계정으로로그인 (Log in) 할경우계정및비밀번호이외에별도의추가인증절차를의무적으로시행할것 10. 정보처리시스템운영체제 (Operating System) 계정에대한사용권한, 접근기록, 작업내역등에대한상시모니터링체계를수립하고, 이상징후발생시필요한통제조치를즉시시행할것 관련로그 F/W, IDS, PC 보안, 백신등정보보호시스템로그 단말기 OS 및어플리케이션로그 단말기사용자및계정별사용내역, 접근성공및실패기록 단말기패치기록및로그 단말기사용보조기억매체및휴대용전산장비사용기록 관련현황 중요단말기지정현황 단말기 H/W 및 S/W 현황, 네트워크구성도 단말기사용자및계정현황 단말기사용보조기억매체및휴대용전산장비사용현황 - 50 -

4) 전자금융감독규정제 15 조 ( 해킹등방지대책 ) 1 또는전자금융업자는정보처리시스템및정보통신망을해킹등전자적침해행위로부터방지하기위하여다음각호의대책을수립 운용하여야한다. 1. 해킹등전자적침해행위로인한사고를방지하기위한정보보호시스템설치및운영 2. 해킹등전자적침해행위에대비한시스템프로그램등의긴급하고중요한보정 (patch) 사항에대하여즉시보정작업실시 3. 내부통신망과연결된내부업무용시스템은인터넷 ( 무선통신망포함 ) 등외부통신망과분리 차단및접속금지 ( 단, 업무상불가피하여금융감독원장의확인을받은경우에는그러하지아니하다 ) 4. 내부통신망에서의파일배포기능은통합및최소화하여운영하고, 이를배포할경우에는무결성검증을수행할것 5. 전산실내에위치한정보처리시스템과해당정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기에대해서는인터넷등외부통신망으로부터물리적으로분리할것 ( 단, 업무특성상분리하기어렵다고금융감독원장이인정하는경우에는분리하지아니하여도된다.) 2 제1항제1호의규정에따른정보보호시스템을설치 운영하는경우에는다음각호의사항을준수하여야한다. 1. 삭제 2. 최소한의서비스번호 (port) 와기능만을적용하고업무목적이외의기능및프로그램을제거할것 3. 보안정책의승인 적용및보안정책의등록, 변경및삭제에대한이력을기록 보관할것 4. 정보보호시스템의원격관리를금지하고주기적으로작동상태를점검할것 5. 시스템장애, 가동중지등긴급사태에대비하여백업및복구절차등을수립 시행할것 3 제1항각호의정보보호시스템에대하여책임자를지정 운영하여야하며, 운영결과는 1년이상보존하여야한다. 4 금융회사또는전자금융업자는해킹등전자적침해행위로인한피해발생시즉시대처할수있도록적절한대책을마련하여야한다. 5 삭제 - 51 -

6 또는전자금융업자는무선통신망을설치 운용할때에는다음각호의사항을준수하여야한다. 1. 무선통신망이용업무는최소한으로국한하고법제21조의 2에따른정보보호최고책임자의승인을받아사전에지정할것 2. 무선통신망을통한불법접속을방지하기위한사용자인증, 암호화등보안대책을수립할것 3. 금융회사내부망에연결된정보처리시스템이지정된업무용도와사용지역 (zone) 이외의무선통신망에접속하는것을차단하기위한차단시스템을구축하고실시간모니터링체계를운영할것 4. 비인가무선접속장비 (Access Point : AP) 설치 접속여부, 중요정보노출여부를주기적으로점검할것 관련로그 F/W, IDS, PC보안, 백신등정보보호시스템로그 NMS, WIPS 등유무선네트워크관리및정보보호시스템로그 디도스대응시스템정책및차단로그 관련현황 네트워크망분리현황 서비스및포트허용정책현황 내부네트워크파일배부및무결성검증현황 무선통신사용현황 무선통신보안대책적용현황 패치적용및관리현황 원격관리금지및작동상태점검현황 백업및복구절차수립시행현황 보안정책의등록, 변경및삭제에대한이력현황 비인가무선접속장비 (Access Point : AP) 설치 접속현황 중요정보노출여부를주기적점검현황 - 52 -

5) 전자금융감독규정제 16 조 ( 악성코드감염방지대책 ) 1 또는전자금융업자는악성코드감염을방지하기위하여다음각호를포함한대책을수립 운용하여야한다. 1. 응용프로그램을사용할때에는악성코드검색프로그램등으로진단및치료후사용할것 2. 악성코드검색및치료프로그램은최신상태로유지할것 3. 악성코드감염에대비하여복구절차를마련할것 4. 제12조제 3호에따른중요단말기는악성코드감염여부를매일점검할것 2 금융회사또는전자금융업자는악성코드감염이발견된경우악성코드확산및피해를최소화하기위하여필요한조치를신속하게취하여야한다. 관련로그 안티바이러스시스템및프로그램 ( 백신등 ) 로그 NMS, WIPS 등유무선네트워크관리및정보보호시스템로그 관련현황 안티바이러스시스템및프로그램적용현황 안티바이러스프로그램패치현황 악성코드대응방안 악성코드점검및감염시조치현황 - 53 -

6) 전자금융감독규정제 17 조 ( 홈페이지등공개용웹서버관리대책 ) 1 또는전자금융업자는공개용웹서버의안전한관리를위하여다음각호를포함한적절한대책을수립 운용하여야한다. 1. 공개용웹서버를내부통신망과분리하여내부통신망과외부통신망사이의독립된통신망 ( 이하 "DMZ 구간 ) 에설치하고네트워크및웹접근제어수단으로보호할것 2. 공개용웹서버에접근할수있는사용자계정은업무관련자만접속할수있도록제한하고아이디 비밀번호이외에추가인증수단을적용할것 3. 공개용웹서버에서제공하는서비스를제외한다른서비스및시험 개발도구등의사용을제한할것 4. DMZ구간내에이용자정보등주요정보를저장및관리하지아니할것 ( 다만, 거래로그를관리하기위한경우에는예외로하되이경우반드시암호화하여저장 관리하여야한다 ) 2 금융회사또는전자금융업자는공개용웹서버에게재된내용에대하여다음각호의사항을준수하여야한다. 1. 게시자료에대한사전내부통제실시 2. 무기명또는가명에의한게시금지 3. 홈페이지에자료를게시하는담당자의지정 운용 4. 개인정보의유출및위 변조를방지하기위한보안조치 3 삭제 4 금융회사또는전자금융업자는공개용웹서버가해킹공격에노출되지않도록대응조치하여야한다. 5 금융회사또는전자금융업자는단말기에서음란, 도박등업무와무관한프로그램또는인터넷사이트에접근하는것에대한통제대책을마련하여야한다. 관련로그 F/W, IDS, PC보안, 백신등정보보호시스템로그 단말기외부인터넷접속로그 관련정보 공개용웹서버운영및추가인증수단적용현황 공개용웹서버제공서비스현황 홈페이지자료게시담당자현황 웹서버해킹대응및단말기악성사이트접근통제대책현황 - 54 -

7) 전자금융감독규정제 18 조 (IP 주소관리대책 ) 또는전자금융업자는정보제공자주소 ( 이하 "IP주소 라한다 ) 의안전한사용을위하여다음각호를포함하여적절한대책을수립 운용하여야한다. 1. 내부통신망에서사용하는 IP주소의경우사설 IP주소사용등으로보안을강화하며내부 IP주소체계의외부유출을금지할것 2. 개인별로내부 IP주소를부여하여유지 관리할것 3. 내부 IP주소및외부 IP주소의인터넷접속내용을 1년이상별도로기록 보관할것 4. 정보처리시스템의운영담당, 개발담당및외부직원등업무특성별로네트워크를적절하게분리하여 IP주소를사용할것. 다만, 외부직원등과의공동작업수행등네트워크의분리가어렵다고금융감독원장이정하는경우에는업무특성별로접근권한을분리하여 IP주소를사용할수있다. 5. 내부통신망은다른기관내부통신망과분리하여사용할것 관련로그 내부 IP 주소및외부 IP 주소의인터넷접속내용로그 (1 년이상 ) 관련정보 IP 주소관리및부여현황 내부통신망과다른기관내부통신망분리 사용현황 - 55 -

< 참고 > 정보보호관련법률현황 법령 법규명 정보통신기반보호법 정보통신망이용촉진및정보보호등에관한법률 개인정보보호법 전자금융거래법 전자금융감독규정 < 금융위원회 > 금융전산분야위기대응실무매뉴얼 < 각금융회사 > 위기대응행동매뉴얼 관련내용 제 4 장주요정보통신기반시설의보호및침해사고대응에서침해사고의통지 ( 제 13 조 ), 복구조치 ( 제 14 조 ), 대책본부구성 ( 제 15 조 ), 정보공유 분석센터 ( 제 16 조 ) 등침해대응관련내용을규정하고시행령에세부절차및방법을규정 법, 제 27 조의 3( 개인정보누출등의통지 신고 ), 제 48 조의 2 ( 침해사고의대응등 ), 제 48 조의 3( 침해사고의신고등 ), 제 48 조의 4( 침해사고의원인분석 ) 에서침해사고관련통지 신고및대응업무내용을규정하고시행령에세부절차및방법을규정 제 34 조 ( 개인정보유출통지등 ) 에서개인정보유출사고발생시통지및신고관련내용을규정하고시행령에세부절차및방법을규정 제 21 조의 5( 침해사고의통지등 ), 제 21 조의 6( 침해사고의대응 ) 에서침해사고발생시통지및대응관련내용을규정하고시행령에세부절차및방법을규정 제 15 조 ( 해킹등방지대책 ), 제 16 조 ( 악성코드감염방지대책 ), 제 23 조 ( 비상대책등의수립 운용 ), 제 24 조 ( 비상대응훈련실시 ), 제 37 조의 4( 침해사고대응기관지정및업무범위등 ), 제 73 조 ( 정보기술부문및전자금융사고보고 ) 에서침해사고관련통지및대응업무내용을규정하고시행세칙에세부절차및방법을규정 국가위기관리기본지침, 재난및안전관리기본법, 전자금융거래법, 정보통신기반보호법에근거하여위기유형별로위기경보수준별조치사항, 위기대응조치및절차를규정한금융위원회실무매뉴얼 [ 금융위원회 ] 금융전산분야위기대응실무매뉴얼에근거하여위기유형별로각참가기관의위기경보수준별조치사항, 위기대응조치및절차를규정한개별금융회사위기대응실무매뉴얼 - 56 -