주요정보통신기반시설 취약점 분석 평가

국가는 국민 생활과 밀접한 각종 국가기반인프라 시설의 위협 요인과 침해 시 파급 효과와 대처 방법을 파악하기 위해 ‘주요 정보통신 기반시설’을 지정, 매년 취약점 분석·평가를 통해 정보보호 강화를 위한 보호대책 수립 및 이행을 의무화하고 있습니다.

정보통신 기반시설의 취약점 분석 평가

관리기관의 장은 「정보통신기반보호법」 제9조에 따라 소관 주요정보통신기반시설에 대한 최초 취약점 분석·평가를 실시한 때에는 1년을 주기로 실시하여야 한다. 또한 법 제9조 ④항에 따른 취약점 분석·평가에 관한 기준을 고려하여 취약점 분석·평가의 대상, 기간, 절차, 방법, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다.

정보통신 기반시설의 취약점 분석 평가 조직

관리기관의 장은 「정보통신기반보호법」 제9조 ③항에 따라 한국인터넷진흥원, 정보공유·분석센터(ISAC), 정보보호 전문서비스 기업 및 한국전자통신연구원(ETRI) 에 재직중인 인원 중 과학기술정보통신부에 기술인력으로 등재된 인원만 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다.

필요성

주요정보통신기반시설을 해킹 등 위협으로부터 보호할 수 있도록 취약점 분석·평가, 보호대책 수립 등에 필요한 기술을 지원하여 동 기반시설의 안정적인 운영 및 정보보호 수준을 강화합니다.

특징

  • 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 ‘정보보호 전문서비스 기업’으로 전문 인력을 투입하여 컨설팅 진행

  • 주요 정보통신 및 전자금융 기반시설 등 다양한 산업 분야의 기술적 보안 진단 경험을 바탕으로 한 취약점 진단 체크리스트 사용

  • 전문적인 보안 컨설턴트에 의한 수동 진단 방식으로 도구(Tool)를 사용하는 자동 진단 방식에 비하여 시스템 영향력 및 오탐율을 최소화

목적

  • 주요 정보통신 기반시설의 중요 업무와 정보를 처리하고 있는 정보시스템(서버, PC, 네트워크, 데이터베이스, 보안 장비 등)에 대한 보안 설정 적용 상태를 파악하여, 취약점을 분석하고 조치 방안을 제시

  • 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현 하기 위해 정보보호관리체계의 수립을 통해 관리적, 물리적, 기술적으로 체계적인 대응 방안을 제공

컨설팅 방법

주요정보통신기반시설 취약점 분석·평가를 수행하기 위해 현황분석, 위험평가, 취약점 진단·분석, 보호대책의 순서로 진행하며 정확한 취약점 진단과 도출된 취약점에 대한 세부적인 보호대책 계획을 수립하는 것을 목표로 수행합니다.

수행 절차

취약점 분석·평가를 수행하기 위해 현황분석, 위험평가, 취약점 진단 및 분석, 보호대책의 순서로 진행하며 정확한 취약점 진단과 도출된 취약점에 대한 세부적인 보호대책 계획을 수립하는 것을 목표로 수행합니다.

기대효과

정성적 효과

  • 정보시스템에 대한 취약점 분석 및 조치를 통한 IT 인프라 보안성 강화

  • 운영자 진단 체크에 대한 지식 이전으로 보안 업무 능력 향상

정성적 효과

  • 「정보통신기반보호법」 준수

  • 보안 사고 발생 시 법적 책임 완화