본문으로 건너뛰기

국가정보원 보안성 검토

· 약 5분

국정원 보안성 검토 개념

  • 공공기관에서 정보시스템, SW 등을 도입하고 개발하는 사업 진행 시 보안 취약점을 사전에 제거하고 체계적인 보안관리를 하기 위해 국정원을 통해 검토 받는 제도
  • 법적근거: 국가 정보보안 기본지침 제 14조

국정원 보안성 검토 대상 사업, 절차

국정원 보안성 검토 대상 사업

구분사업비고
국가 안보 사업국가 안보, 비밀, 정부 정책 관련 사업정보시스템 구축 및 운영 사업
대규모 사업대규모 예산 투입 사업총사업비 10억 이상
다량의 DB 자료를 처리하는 사업100만명 이상 개인/민감정보 취급
망 사업외부 기관 간 망 연동 사업내부망과 외부망 간의 연계 또는 망 분리 사업
신기술 도입 사업보안 정책 과제 및 최신 IT기술 적용사업스마트폰, 클라우드 컴퓨팅 등

국정원 보안성 검토 절차

국정원 보안성 검토 상세절차

구분단계설명
보안성 검토기획인프라 구성
개인정보 취급
SW 개발
보안요건도출설계구현보안 요건 도출
보안가이드 제공
보안요건 교육
보안성검수검수관리체계 보안성 점검
인프라 취약점 점검
어플리케이션 취약점 점검
소스코드 취약점 점검
  • 체크리스트를 기반으로하여 보안성 준수 여부 검토

국정원 보안성 검토 주요 체크리스트

구분내용체크리스트
물리적 시설 보안주요 정보시스템의 안전한 운영을 위한 물리적 접근 통제장비 설치 위치, 출입통제, 반입통제, 영상감시 시스템 구축
정보시스템 보안시스템 내 보안 위협을 최소화하고 관리 프로세스 확보취약점 보안패치 적용, 패스워드 정책 준수, 시스템 관리자 권한 최소화, 로그 및 모니터링 관리
네트워크 보안안전한 데이터 전송 및 외부 접근 통제전송데이터 암호화, 원격접속 VPN 보안, 망분리 적용, 방화벽 및 침입탐지시스템(IDS/IPS) 구축
어플리케이션 개발보안보안이 강화된 소프트웨어 개발 및 인증 관리소스코드 내 인증정보 제거, 보안 취약점 점검, 사용자 식별 및 접근통제, 코드 서명 및 무결성 검증
개인정보보안개인정보의 안전한 수집, 저장, 처리, 파기 정책 적용개인정보 수집 시 명확한 동의 절차, 정보주체 권리보장(열람·정정·삭제), 보존기간 경과 시 안전한 파기
외주업체 관리외주업체의 보안 준수를 위한 절차 및 관리 강화외주개발자 계정 및 권한 통제, 외주업체 보안교육, 개발 종료 후 데이터 및 소스코드 파기, 외부 개발 환경 접근 제한