침해사고 관리지침은 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨

제목 없음

주식회사 팀모노리스 침해사고 관리지침

2024. 07 .11

개정 이력

제1장 총칙

제1조(목적)

이 지침은 주식회사 팀모노리스의 ‘정보보호 정책서’에 의거 침해사고에 의해 중요 자료 유출 및 정보 자산의 손실, 절도, 파괴 등으로 정상적인 업무수행에 지장을 초래하는 사고 발생 시 신속하게 대응하고, 그 과정을 기록 관리함으로써 정보보호 침해사고에 효과적으로 대응하는 것을 목적으로 한다.

제2조(적용범위)

이 지침은 주식회사 팀모노리스의 클라우드 컴퓨팅 서비스 업무에 종사하는 임직원 및 주식회사 팀모노리스와 계약을 맺어 클라우드 컴퓨팅 서비스 업무 외부 업체 직원 모두에게 적용된다.

제3조(용어정의)

이 지침에서 사용되는 용어 정의는 다음 각 호와 같다.

1. “침해사고”라 함은 보안 정책에 위배되는 모든 사고를 말하며 보안 침해사고, 소프트웨어 이상 및 오류, 악성코드 등으로 인한 정보 자산의 손상 등을 포함한다.

2. “바이러스”라 함은 사용자 몰래 다른 프로그램에 자기 자신을 복사하는 프로그램이나 컴퓨터 프로그램의 실행 가능한 부분을 수정하여 자신의 변형을 복사하는 명령어들의 조합을 말한다.

3. “악성코드”이라 함은 컴퓨터바이러스와 달리 다른 파일을 감염시키지는 않지만, 악의적인 용도로 사용될 수 있는 유해 프로그램을 말한다.

4. “서비스 거부 공격”이라 함은 공격자의 컴퓨터로부터 표적 시스템과 그 시스템이 속한 네트워크에 과다한 데이터를 보냄으로써 시스템과 네트워크의 성능을 급격히 저하시켜 표적 시스템에서 제공하는 서비스들을 인터넷 사용자들이 이용하지 못하게 하는 기법을 말한다.

제2장 침해사고 대응 절차 및 체계

제4조(침해사고 예방)

① 정보보호최고책임자는 필요 시 국가정보원과 협의하여 현장방문 또는 원격 측정을 통하여 사이버안전대책 이행 여부와 정보통신망의 안정성 여부를 확인한다.

② 인프라 담당자는 보안관제시스템 또는 오프라인 등을 통해 사이버 위협 정보를 인지한 경우에는 초동조치하고 정보보호담당자는 관련 기관에게 신속히 통지한다.

③ 정보보호담당자는 보안정보, 보안 권고문 또는 취약점 분석정보를 수시로 수집하여 보안 업데이트 및 대응조치를 수행하고 직원들에게 배포한다.

제5조(침해사고 보고)

① 클라우드 컴퓨팅 서비스 상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 별지 제2호 `심각도 분류기준’을 확인하여 등급에 맞는 침해사고 보고 절차에 따라 신속하게 보고하여야 한다.

• 침해사고가 조직에 미치는 영향이 심각할 경우 정보보호최고책임자는 최고경영진에게 신속히 보고
• 침해사고 초기 대응 및 증거 보존 조치

제6조(침해사고대응)

① 정보보호담당자는 보안 사고로 인한 피해를 최소화하기 위해 별지 제1호 ‘침해사고대응팀’을 구성하고, 정보보호최고책임자의 승인을 받는다.

② 정보보호 침해사고 접수 후 인프라 담당자와 서버 담당자는 침해사고 유형별로 다음 각 호의 절차에 따라 대응한다.

1. 침해사고가 확대되지 않도록 침해당한 서버의 네트워크 분리, 공격 포트의 차단 등  필요한 응급조치를 먼저 취한다.

2. 침해사고의 확산을 막기 위해 해당 정보시스템의 중단이 전체 업무에 영향을 미치는 경우 업무시간 종료 후에 서비스를 중단하며, 해당 정보시스템의 중단이 일부 업무에 영향을 미치는 경우에는 해당 업무 부서와 협의 후 즉시 해당 정보시스템을 중단시킨다.

3. 응급조치 후 정보보호 침해사고의 원인 분석 및 증거확보를 위하여 해당 침해사고 관련 로그 및 제반 증거자료를 수집 및 확보해야 한다.

4. 국가정보원 등에서 권고하는 유형별 대응 조치를 취하고, 추후 재발방지를 위한 재발방지 교육 등 대응책을 마련해야 한다.

③ 정보보호 침해사고 유형은 별지 제3호 ’정보보호 침해사고 유형’과 같이 구분한다.

1. 악성코드공격

2. 서비스거부공격

3. 비인가접근공격

④ 정보보호 침해사고 유형별 세부 대응 방법은 별지 제4호 ’정보보호 침해사고 대응절차’를 따른다.

제7조(이용자 침해사고 통지)

① 정보보호 담당자는 이용자의 개인정보 유출 등이 되었음을 알게 되었을 경우 지체 없이 72시간 이내에 고객팀을 통해 이용자에게 통지해야 한다.

1. 유출된 개인정보의 항목

2. 유출이 발생한 시점과 그 경위

3. 이용자가 피해 최소화를 위해 취할 수 있는 조치

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생할 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

② 천재지변이나 그 밖의 부득이한 사유로 인해서 72시간 이내에 통지하기 곤란한 경우에는 전화, 휴대전화, 우편, 전자우편, 문자메시지, 홈페이지 접속 화면 게시 또는이와 유사한 방법 중 어느 하나 이상의 방법으로 통지한다.

③ 상기 통지방법으로 통지가 곤란한 경우 에는 인터넷 홈페이지에 30일 이상 게시하여야 하여야 하며, 인터넷 홈페이지를 운영하지 아니하는 경우에는 사업장 등의 보기 쉬운 장소에 30일 이상 게시하는 것으로 통지를 갈음할 수 있다

제8조(관계기관 침해사고 신고)

① 정보보호 담당자는 이용자 정보 유출 사실이 확인되는 경우 즉시 그 사실을 과학기술정보통신부장관에게 알려야 한다.

② 정보보호 담당자는 아래 3가지 항목의 어느 하나라도 해당되는 경우 피해 최소화를 위한 대책 마련 및 조치하고 개인정보보호위원회와 한국인터넷진흥원에 지체 없이 72시간 이내에 신고하여야 한다.

1. 1천명 이상의 정보 주체에 관한 개인정보가 유출이 된 경우

2. 민감 정보 또는 고유식별정보가 유출이 된 경우

3. 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출이 된 경우

제9조(비상연락체계 구축)

① 정보보호담당자는 업무별 시스템 담당자 및 관련 외부사업자(PM)의 이름과 연락처를 별첨 제1호 서식 ‘침해사고_비상연락망’에 작성하여 상시 관리하여야 하며, 정보보호 관련 상주 근무자, 외부 유지보수 협력업체, 유관기관 등 비상연락체계를 비치하고, 월 1회 이상 비상연락망의 변동 유무를 확인한다.

제10조(침해사고 분석)

① 침해사고대응팀은 다음 각 호에 따라 보안사고 분석 및 로그 수집을 수행한다.

• 인프라 담당자는 보안사고 내용을 분석하여 침입 사실, 사고 원인 등을 파악한다.
• 인프라 담당자는 증거확보를 위해 현재 보유하고 있는 로그 중 침입 흔적을 담은 모든 로그를 백업 받는다.
• 인프라 담당자는 파일시스템은 상세한 수준으로 덤프를 받은 후, 서명, 일시 등을 기록하고, 덤프파일은 안전한 곳에 보관한다.
• 인프라 담당자는 정보보호시스템 로그를 점검하여 관련기록을 모두 백업 받고 안전한 곳에 보관한다.
• 정보보호담당자가 재침입의 위험이 있다고 판단할 때에는 인프라 담당자는 네트워크 접속을 끊거나 단일사용자(single-User)모드에서 작업해야 한다.

② 침입자가 현재 시스템에 침투해 해킹을 하고 있는 것으로 판단된 경우에는 다음과 같은 조치를 하여야 한다.

• 정보보호담당자는 정보보호최고책임자에게 보고함과 동시에 인프라 담당자에게 요청하여 즉시 해당 시스템을 네트워크와 분리한 후, 정보보호최고책임자의 결정에따라 추적 여부를 결정하여야 한다.
• 인프라 담당자는 침입자를 추적할 수 없거나, 해킹으로부터 시스템의 보호가 우선이라고 판단되는 경우 네트워크 접속을 차단하여야 한다.

③ 정보보호담당자는 보안사고 분석 및 대응 업무 수행 중 필요에 따라 외부 기관의 협조를 받을 수 있다. 이때 협조 의뢰의 최종 결정은 정보보호최고책임자가 한다.