[ISMS-P인증기준] 2.10.3 공개서버 보안

항목

---

2. 보호대책 요구사항

  - 2.10 시스템 및 서비스 보안관리

  - 2.10.3 공개서버 보안

 

인증기준

---

외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집·저장·공개 절차 등 강화된 보호대책을 수립·이행하여야 한다.

2.10.3 공개서버 보안

 

세부설명

---

■ 웹서버 등 공개서버를 운영하는 경우 이에 대한 보호대책을 수립·이행하여야 한다.

 

- 웹서버를 통한 개인정보 송수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축

- 백신설치 및 업데이트 설정

- 응용프로그램(웹서버, openssl 등), 운영체제 등에 대한 최신 보안패치 설치

- 불필요한 서비스 제거 및 포트 차단

- 불필요한 소프트웨어, 스크립트, 실행파일 등 설치 금지

- 에러 처리 페이지, 테스트 페이지 등 불필요한 페이지 노출 금지

- 주기적 취약점 점검 수행 등

 

■ 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안시스템을 통하여 보호하여야 한다.

 

- 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용

- DMZ의 공개서버가 내부 네트워크에 위치한 데이터베이스, WAS(Web Application Server) 등의 정보시스템과 접속이 필요한 경우 엄격하게 접근통제 정책 적용

 

 

■ 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립·이행하여야 한다.

 

- 원칙적으로 DMZ 구간의 웹서버 내에 개인정보 및 중요정보의 저장을 금지하고, 업무상 불가피하게

필요한 경우 허가 절차 및 보호대책 적용

- 웹사이트에 개인정보 및 중요정보를 게시할 경우 사전 검토 및 승인 절차 수행

- 외부 검색엔진 등을 통하여 접근권한이 없는 자에게 개인정보 및 중요정보가 노출되지 않도록 조치

 

■ 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다.

 

- 검색엔진 등을 통하여 주기적으로 점검 및 필요한 조치 적용

- 중요정보 노출을 인지한 경우 웹사이트에서 차단조치 및 해당 검색엔진 사업자에게 요청하여 캐시 등을 통하여 계속적으로 노출되지 않도록 조치

 

결함사례

---

‧ 사례 1 : 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우

 

‧ 사례 2 : 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재한 경우

 

‧ 사례 3 : 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."