국가정보원 보안성 검토
· 5 min read
국정원 보안성 검토 개념
- 공공기관에서 정보시스템, SW 등을 도입하고 개발하는 사업 진행 시 보안 취약점을 사전에 제거하고 체계적인 보안관리를 하기 위해 국정원을 통해 검토 받는 제도
- 법적근거: 국가 정보보안 기본지침 제 14조
국정원 보안성 검토 대상 사업, 절차
국정원 보안성 검토 대상 사업
| 구분 | 사업 | 비고 |
|---|---|---|
| 국가 안보 사업 | 국가 안보, 비밀, 정부 정책 관련 사업 | 정보시스템 구축 및 운영 사업 |
| 대규모 사업 | 대규모 예산 투입 사업 | 총사업비 10억 이상 |
| 다량의 DB 자료를 처리하는 사업 | 100만명 이상 개인/민감정보 취급 | |
| 망 사업 | 외부 기관 간 망 연동 사업 | 내부망과 외부망 간의 연계 또는 망 분리 사업 |
| 신기술 도입 사업 | 보안 정책 과제 및 최신 IT기술 적용사업 | 스마트폰, 클라우드 컴퓨�팅 등 |
국정원 보안성 검토 절차
국정원 보안성 검토 상세절차
| 구분 | 단계 | 설명 |
|---|---|---|
| 보안성 검토 | 기획 | 인프라 구성 |
| 개인정보 취급 | ||
| SW 개발 | ||
| 보안요건도출 | 설계구현 | 보안 요건 도출 |
| 보안가이드 제공 | ||
| 보안요건 교육 | ||
| 보안성검수 | 검수 | 관리체계 보안성 점검 |
| 인프라 취약점 점검 | ||
| 어플리케이션 취약점 점검 | ||
| 소스코드 취약점 점검 |
- 체크리스트를 기반으로하여 보안성 준수 여부 검토
국정원 보안성 검토 주요 체크리스트
| 구분 | 내용 | 체크리스트 |
|---|---|---|
| 물리적 시설 보안 | 주요 정보시스템의 안전한 운영을 위한 물리적 접근 통제 | 장비 설치 위치, 출입통제, 반입통제, 영상감시 시스템 구축 |
| 정보시스템 보안 | 시스템 내 보안 위협을 최소화하고 관리 프로세스 확보 | 취약점 보안패치 적용, 패스워드 정책 준수, 시스템 관리자 권한 최소화, 로그 및 모니터링 관리 |
| 네트워크 보안 | 안전한 데이터 전송 및 외부 접근 통제 | 전송데이터 암호화, 원격접속 VPN 보안, 망분리 적용, 방화벽 및 침입탐지시스템(IDS/IPS) 구축 |
| 어플리케이션 개발보안 | 보안이 강화된 소프트웨어 개발 및 인증 관리 | 소스코드 내 인증정보 제거, 보안 취약점 점검, 사용자 식별 및 접근통제, 코드 서명 및 무결성 검증 |
| 개인정보보안 | 개인정보의 안전한 수집, 저장, 처리, 파기 정책 적용 | 개인정보 수집 시 명확한 동의 절차, 정보주체 권리보장(열람·정정·삭제), 보존기간 경과 시 안전한 파기 |
| 외주업체 관리 | 외주업체의 보안 준수를 위한 절차 및 관리 강화 | 외주개발자 계정 및 권한 통제, 외주업체 보안교육, 개발 종료 후 데이터 및 소스코드 파기, 외부 개발 환경 접근 제한 |