[ISMS-P인증기준] 2.6.7 인터넷 접속 통제

항목

---

2. 보호대책 요구사항

  - 2.6. 접근통제

  - 2.6.7 인터넷 접속 통제

 

인증기준

---

인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.

2.6.7 인터넷 접속 통제

 

세부설명

---

■ 인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립·이행하여야 한다.

 

- 인터넷 연결 시 네트워크 구성 정책

- 외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책

- 유해사이트(성인, 오락 등) 접속 차단 정책

- 정보 유출 가능 사이트(웹하드, P2P, 원격접속 등) 접속 차단 정책

- 망분리 또는 인터넷망 차단 조치 관련 정책(망분리 적용 여부, 망분리 대상자, 망분리 방식, 망간 자료전송 절차 등)

- 인터넷 접속내역 검토(모니터링) 정책 등

 

■ 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.

 

- 악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(DB서버, 파일서버 등) 에서 외부 인터넷 접속 제한

- 불가피한 사유가 있는 경우 위험분석을 통하여 보호대책을 마련하고 책임자의 승인 후 허용

 

 

■ 관련 법령에 따라 인터넷망 차단 의무가 부과된 경우 인터넷망 차단 대상자를 식별하여 안전한 방식으로 인터넷망 차단 조치를 적용하여야 한다.

 

- 개인정보 보호법에 따른 인터넷망 차단 조치 적용 대상

‧ (의무대상 개인정보처리자) 전년도 말 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 개인정보처리자

‧ (의무대상 컴퓨터 등) 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 개인정보취급자의 컴퓨터 등

‧ (외부 클라우드서비스 이용 시 조치사항) 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치 적용

 

- 다음 사항을 고려하여 안전한 방식으로 인터넷망 차단 조치 적용

‧ 인터넷망 차단 조치 의무대상 여부 검토 및 의무 대상인 경우 인터넷망 차단 조치 대상자 식별

‧ 인터넷망 차단 조치 의무대상이 아닌 경우 위험분석 결과 등에 따라 인터넷망 차단 조치 여부 결정

‧ 물리적(네트워크가 분리된 2대의 PC 구성 등) 또는 논리적(VDI와 같은 가상화 기술 활용 등) 방식으로 인터넷망 차단 조치 적용

‧ 인터넷망 차단 조치 우회 경로 파악 및 통제대책 적용

‧ 인터넷망 차단 조치가 적용된 컴퓨터의 안전한 자료전송을 위한 통제 방안 마련

‧ 인터넷망 차단 조치 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등

 

결함사례

---

‧ 사례 1 : 개인정보 보호법에 따라 인터넷망 차단 조치를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 인터넷망 차단 조치 적용이 누락된 경우

 

‧ 사례 2 : 개인정보 보호법에 따른 인터넷망 차단 조치 의무대상으로서 인터넷망 차단 조치를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 인터넷망 차단 조치가 적용되지 않은 환경에서 개인정보처리시스템에 접속하여 개인정보의 다운로드, 파기 등이 가능한 경우

 

‧ 사례 3 : DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우

 

‧ 사례 4 : 인터넷 PC와 내부 업무용 PC를 물리적 망분리 방식으로 인터넷망 차단 조치를 적용하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우

 

‧ 사례 5 : 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."