주요정보통신기반시설 취약점 분석·평가 컨설팅
국민의 생활과 밀접한 각종 국가 기반 인프라 시설의 위협 요인과 침해 시 파급 효과 및 대처 방법을 파악하기 위해 '주요정보통신기반시설'이 지정되어 있습니다. 주요정보통신기반시설 관리기관은 매년 취약점 분석·평가를 통해 정보보호 강화를 위한 보호 대책의 수립과 이행을 의무적으로 수행해야 합니다.
정보통신기반시설의 취약점 분석·평가
관리기관의 장은 「정보통신기반보호법」 제9조에 따라 소관 주요정보통신기반시설에 대한 최초 취약점 분석·평가를 실시한 때에는 1년을 주기로 실시하여야 한다. 또한 법 제9조 ④항에 따른 취약점 분석·평가에 관한 기준을 고려하여 취약점 분석·평가의 대상, 기간, 절차, 방법, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다.
정보통신기반시설의 취약점 분석·평가 조직
관리기관의 장은 「정보통신기반보호법」 제9조 ③항에 따라 한국인터넷진흥원, 정보공유·분석센터(ISAC), 정보보호 전문서비스 기업 및 한국전자통신연구원(ETRI)에 재직중인 인원 중 과학기술정보통신부에 기술인력으로 등재된 인원만 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다.
특징
주요정보통신기반시설을 해킹 등 위협으로부터 보호할 수 있도록 취약점 분석·평가 및 보호 대책 수립 등에 필요한 기술을 지원하여
동 기반시설의 안정적인 운영 및 정보보호 수준을 강화합니다.
동 기반시설의 안정적인 운영 및 정보보호 수준을 강화합니다.
- 엔시큐어는 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 '정보보호 전문서비스 기업'으로써 전문 컨설팅 인력 투입
- 주요 정보통신 및 전자금융 기반시설 등 다양한 산업 분야의 기술적 보안 진단 경험을 바탕으로 한 취약점 진단 체크리스트 사용
- 전문적인 보안 컨설턴트에 의한 수동 진단 방식을 사용하여 도구(Tool)를 사용하는 자동 진단 방식에 비해 시스템 영향력 및 오탐율 최소화
목적
- 주요정보통신기반시설의 중요 업무와 정보를 처리하는 정보시스템(서버, PC, 네트워크, 데이터베이스, 보안 장비 등)에 대한 보안 설정 적용 상태를 파악하여 취약점 분석 및 조치 방안 제시
- 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현하기 위해 정보보호 관리체계의 수립을 통해 관리적, 물리적, 기술적으로 체계적인 대응 방안 제공
컨설팅 방법
취약점 분석·평가를 수행하기 위해 현황분석, 취약점 진단 및 분석, 위험평가, 보호 대책의 순서로 진행하며
정확한 취약점 진단과 도출된 취약점에 대한 세부적인 보호 대책 계획을 수립하는 것을 목표로 합니다.
정확한 취약점 진단과 도출된 취약점에 대한 세부적인 보호 대책 계획을 수립하는 것을 목표로 합니다.
기대효과
| 정성적 효과
- 정보시스템에 대한 취약점 분석 및 조치를 통해 IT 인프라 보안성 강화
- 운영자 진단 체크를 통해 지식 이전으로 보안 업무 능력 향상
| 정성적 효과
- 「정보통신기반보호법」 준수
- 보안 사고 발생 시 법적 책임 완화