국가정보보안 기본지침 국가정보원 - guggajeongboboan gibonjichim guggajeongbowon

소통 강화 차원... ‘사이버위기경보’ 메인 화면 배치, 국민 신고 접수
기관·기업 등과 각종 정보 공유...어린이·청소년용 웹툰 및 애니메이션, Q&A 코너 마련

[보안뉴스 권 준 기자] 국정원은 최근 공공·민간분야 대상으로 사이버 위협이 증가됨에 따라 신속한 위협 상황 공유와 소통 확대를 위해 국가사이버안보센터 홈페이지를 별도 개설했다고 7일 밝혔다.

미국(국토안보부), 영국(정보통신본부) 등 해외 주요 정보기관들이 사이버안보 전용 홈페이지를 운영 중인 가운데, 그동안 우리나라도 전용 홈페이지 개설이 필요하다는 의견이 학계와 업계에서 꾸준히 제기되어 왔다고 국정원은 설명했다.

국정원은 국민들의 정보 접근성 확대를 위해 ‘사이버위기경보’ 상황을 홈페이지 첫 메인화면에서 바로 확인할 수 있도록 했다.

홈페이지내 ‘사이버위협’ 코너에서는 사용자들이 직접 특정 소프트웨어 등의 사이버위협 취약점을 신고할 수 있는 ‘취약점 신고’ 메뉴가 마련됐다. 이름과 연락처만 기입하면 바로 내용을 신고할 수 있고, 익명제보도 가능하다. 신고 기여도에 따라 포상금이 지급되는 ‘버그바운티 제도’도 시행한다.

IT 제품 공급업체와 공공기관을 위해서는 메인화면에 ‘보안적합성 검증’ 코너가 따로 마련됐다. 이 코너에서는 품목별로 ‘보안기능성 확인서 발급을 위한 기준’과 ‘보안검증 시험 기관’, ‘안전성 검증필 제품 목록’ 등을 확인할 수 있다.

국정원은 ICT장비와 소프트웨어에 내재된 보안 취약점, 최신 사이버위협 동향 정보 등은 ‘보안권고문’을 통해 실시간 공유할 예정이다.

‘자료실’에는 그동안 공공기관에만 제한 배포했던 ‘국가정보보안기본지침’, ‘암호모듈 시험 및 검증지침’ 등 지침ㆍ가이드라인도 공개해 기업들이 참고할 수 있도록 했다.

어린이·청소년을 위해서도 다양한 콘텐츠가 마련됐다. ‘센터소개’ 코너의 ‘주요업무’에서는 어린이·청소년도 국가사이버안보센터의 업무에 대해 재밌고 쉽게 이해할 수 있는 웹툰을 공개했다.

‘실생활속 위협’ 메뉴에서는 피싱메일·악성코드·SNS상 정보절취 등에 대한 카드뉴스와 정보보안 생활수칙 등과 관련한 애니메이션, 모션그래픽이 게재됐다.

이와 함께 방문자들이 해킹 관련 질문을 남기면 국정원 사이버보안 전문가가 직접 답해 주는 ‘Q&A’ 메뉴도 마련됐다.

국정원 국가사이버안보센터는 “사이버안보 홈페이지를 통해 사이버위협 관련 정보는 실시간 업데이트해 알리고 국민들의 신고에 적극 대응하겠다”며 “앞으로 대국민 사이버 정보서비스를 지속 확대해 나갈 것”이라고 말했다.
[권 준 기자()]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

DGIST내 정보시스템·홈페이지 신규 구축 사업, 기존 시스템 유지보수 사업 등 정보화사업 추진 시 필수적으로 요구되는 [정보화사업 보안성 검토]에 대한 관련 규정·근거, 절차 및 방법에 대해 안내합니다.

1. 관련 규정 및 근거

- 국가정보원 국가정보보안기본지침 제2장 <정보화사업 보안>

- 과학기술정보통신부 정보보안기본지침 제85조~88조 <보안성 검토>

- DGIST 정보보안기본지침 제20조(보안성 검토) 

2. 용어 정의

- 정보화사업 (행자부 고시 제2015-45호, "행정기관 및 공공기관 정보시스템 구축·운영 지침")

​   전자정부법 제2조 제13호의 규정에 따른 정보시스템을 기획·구축·운영·유지보수 하거나,

   정보시스템 감리, 전자정부 사업관리의 위탁 등을 하기 위한 사업

- 정보시스템 (전자정부법 제2조 제13호)

​   정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계

3. 시기 및 주체

- 보안성 검토 요청 시기: 사업계획 단계 (사업 발주 이전)

- 보안성 검토 요청 주체: 사업주관부서 담당자

- 보안성 검토 승인 주체: 과학기술정보통신부 또는 국가정보원

4. 필수 제출 서류

- 정보화사업 보안성 검토 요청서

- 사업계획서(내부결재完)

- 제안요청서(또는 과업지시서)

5. 상세 절차 및 방법 

1) 자체 보안성 검토 대상 사업

​  - 매년 수행하는 단순 개발 및 유지보수 등 정형화된 정보화·유지보수 사업

​  - CCTV, 백업시스템, 인터넷전화 등 단일기능 정보시스템 구축 사업

6. 관련 문의

- 정보보안팀 양재승 기술원

-  (내선 1271)

국정원에서 관리하는 국가, 공공기관을 대상으로 하는 정보보안 지침

• 원문 내용은 일반인에게 공개되지 않음
• 국가 정보보안 기본지침은 2021.11.1 자 개정부터는 일반인에게 공개
• 국가사이버안보센터 홈페이지 자료실[https://www.ncsc.go.kr/]에서 다운로드가 가능하다.
• IT위키에도 전문이 올라와 있다.

목차[편집 | 원본 편집]

• 제1장 총칙
  • 제1조(목적)
  • 제2조(정의)
  • 제3조(적용범위)
  • 제4조(책무)
  • 제5조(정보보안담당관 운영)
  • 제6조(연도 추진계획 수립)
  • 제7조(정보보안내규)
  • 제8조(정보보안감사 등)
  • 제9조(정보보안교육)
  • 제10조(사이버보안진단의 날)
• 제2장 정보화사업 보안
  • 제1절 사업 계획
  • 제11조(보안책임)
  • 제12조(보안대책 수립)
  • 제13조(제안요청서 기재사항)
  • 제2절 보안성 검토
  • 제14조(검토 시기 및 절차)
  • 제15조(검토 기관)
  • 제16조(검토 생략)
  • 제17조(제출 문서)
  • 제18조(검토결과 조치)
  • 제19조(현황 제출)
  • 제3절 제품 도입
  • 제19조의2(보안기능 시험)
  • 제20조(정보통신제품 도입)
  • 제21조(안전성 검증필 제품 목록)
  • 제22조(검증필 암호모듈 목록 및 운용관리)
  • 제23조(영상정보처리기기 도입)
  • 제24조(도입현황 제출)
  • 제24조의2(상용소프트웨어 도입)
  • 제4절 계약 및 사업 수행
  • 제25조(계약 특수조건)
  • 제26조(용역업체 보안)
  • 제27조(소프트웨어 개발보안)
  • 제27조의2(발주기관내 작업장소 보안)
  • 제28조(원격지 개발보안)
  • 제28조의2(원격지에서의 온라인 개발)
  • 제29조(소프트웨어 산출물 제공)
  • 제30조(누출금지정보 유출시 조치)
  • 제5절 보안적합성 검증
  • 제31조(대상 제품)
  • 제32조(검증기관 및 신청)
  • 제33조(검증 신청시 제출물)
  • 제34조(안전성 시험)
  • 제35조(검증결과 통보 및 조치)
  • 제36조(취약점 조치)
  • 제37조(형상변경 및 용도변경시 조치)
  • 제39조(이행여부 확인)
• 제3장 정보통신망 및 정보시스템 보안
  • 제1절 정보통신망 보안
  • 제40조(내부망ㆍ인터넷망 분리)
  • 제41조(클라우드컴퓨팅 보안)
  • 제42조(보안ㆍ네트워크장비 보안)
  • 제43조(무선랜 보안)
  • 제44조(이통통신망 보안)
  • 제45조(영상회의 보안)
  • 제46조(인터넷전화 보안)
  • 제47조(인터넷 사용제한)
  • 제48조(외교통신 보안)
  • 제48조의2(파견자용 정보통신망)
  • 제49조(재외사무소 정보보안점검)
  • 제2절 정보시스템 보안
  • 제50조(정보시스템 보안책임)
  • 제51조(정보시스템 유지보수)
  • 제52조(지정 단말기를 통한 온라인 유지보수)
  • 제53조(서버 보안)
  • 제53조의2(제어시스템 보안)
  • 제54조(공개서버 보안)
  • 제55조(로그기록 유지)
  • 제56조(업무용 통신단말기 보안)
  • 제57조(모바일 업무 보안)
  • 제58조(사물인터넷 보안)
  • 제59조(원격근무 보안)
  • 제60조(국제회의 보안)
  • 제61조(저장매체 불용처리)
  • 제3절 자료 보안
  • 제62조(비밀의 전자적 처리)
  • 제63조(비밀관리시스템 운용)
  • 제64조(비밀의 전자적 처리 규격)
  • 제65조(대외비의 전자적 처리)
  • 제66조(비공개 업무자료 처리)
  • 제66조의2(특정 상황별 비공개 업무자료 처리)
  • 제67조(행정전자서명 인증서 등 관리)
  • 제68조(비공개 업무자료 유출방지)
  • 제69조(공개 업무자료 처리)
  • 제70조(홈페이지 등 게시자료 보안)
  • 제71조(정보통신망 현황자료 관리)
  • 제72조(빅데이터 보안)
  • 제4절 사용자 보안
  • 제73조(개별사용자 보안)
  • 제74조(단말기 보안)
  • 제75조(계정 관리)
  • 제76조(비밀번호 관리)
  • 제77조(전자우편 보안)
  • 제78조(휴대용 저장매체 보안)
  • 제79조(비인가 기기 통제)
  • 제80조(위규자 처리)
  • 제5절 주요정보통신기반시설 보호
  • 제81조(보호대책 수립)
  • 제82조(지정기준 수립ㆍ지원)
  • 제83조(지정 및 취소)
  • 제84조(보호지침 수립ㆍ지원)
  • 제85조(취약점 분석ㆍ평가 결과물 관리)
  • 제86조(협의체 구성ㆍ운영)
• 제4장 융합 보안
  • 제1절 정보통신시설 및 기기 보호
  • 제87조(정보통신시설 보호대책)
  • 제88조(정보통신시설 출입관리)
  • 제89조(영상정보처리기기 보안)
  • 제90조(RFID 보안)
  • 제91조(디지털복합기 보안)
  • 제92조(재난 방지대책)
  • 제2절 전자파 보안
  • 제93조(대도청 측정)
  • 제94조(무선통신망 보안)
  • 제95조(고출력 전자파 보안)
• 제5장 훈련 및 평가
  • 제1절 훈련 및 진단
  • 제96조(사이버공격 대응훈련)
  • 제97조(정보통신망 보안진단)
  • 제97조의2(제어시스템 운용전 점검)
  • 제2절 정보보안 관리실태 평가
  • 제98조(평가 실시)
  • 제99조(자체 평가)
  • 제100조(현장 실사)
  • 제101조(평가결과 통보)
• 제6장 암호자재 및 암호알고리즘
  • 제1절 기본사항
  • 제102조(사용 원칙)
  • 제103조(취급인가자 지정)
  • 제104조(정ㆍ부 책임자 운영)
  • 제105조(암호자재 설치ㆍ운영 장소)
  • 제106조(암호실 관리)
  • 제107조(암호문 관리)
  • 제108조(제공 및 반출)
  • 제109조(관련사항 공개 및 토의)
  • 제110조(관련문서 생산ㆍ제출)
  • 제110조의2(국방부 관련사항의 위탁)
  • 제2절 개발 및 제작
  • 제111조(개발 및 제작)
  • 제112조(소통 및 관리 등급)
  • 제3절 지원요청 및 사용승인
  • 제113조(암호자재 지원 요청)
  • 제114조(암호장비 사용 승인)
  • 제115조(검사)
  • 제116조(외국산 암호자재ㆍ장비 사용)
  • 제117조(목적 외 사용금지)
  • 제4절 운용 및 관리
  • 제118조(운용 및 관리)
  • 제119조(기록부 등의 전자적 관리)
  • 제120조(배부ㆍ반납 및 운반)
  • 제121조(변경 사용)
  • 제122조(인계인수)
  • 제123조(운용현황 통보)
  • 제124조(운용관리실태 점검)
  • 제125조(사고발생시 조치)
  • 제5절 정비 및 파기
  • 제126조(정비)
  • 제127조(파기)
  • 제6절 암호알고리즘
  • 제128조(개발 및 지원요청)
  • 제129조(적용 및 운용)
  • 제130조(반납 및 파기)
• 제7장 사이버위협 탐지 및 대응
  • 제1절 보안관제
  • 제131조(보안관제센터 설치ㆍ운영)
  • 제132조(보안관제 인원)
  • 제133조(탐지규칙정보 개발 및 배포)
  • 제134조(공격정보 탐지ㆍ처리)
  • 제135조(초동 조치)
  • 제136조(조치결과 통보)
  • 제136조의2(사이버공격 탐지ㆍ대응조치 이행여부 확인)
  • 제137조(운영현황 통보)
  • 제138조(직원 교육)
  • 제139조(협의회 구성ㆍ운영)
  • 제2절 사고 대응
  • 제140조(사이버공격으로 인한 사고)
  • 제141조(정보통신보안 규정 위반 및 자료유출 사고)
  • 제142조(재발방지 조치)
  • 제143조(군기관에 대한 특례)
• 제8장 정보 협력
  • 제144조(정보협조 요청)
  • 제145조(기관간 정보공유 협력)
  • 제146조(정보공유시스템 운영)
  • 제147조(정보공유시스템의 정보 관리)
  • 제148조(협의회 구성ㆍ운영)
• 제9장 보칙
  • 제149조(협의회 등)
  • 제150조(각급기관 이외 단체에 대한 관리ㆍ감독)
  • 제150조의2(서약서 징구시 고지 사항)
  • 제151조(재검토 기한)
• 부칙
• 별표
  • [별표 1] ‘안전성 검증필 제품 목록’ 등재 기본요건
  • [별표 2] ‘암호가 주기능인 제품’ 도입요건
  • [별표 3] 보안적합성 검증 신청시 제출물
• 서식
  • [서식 제1호] 보안적합성 검증 신청서
  • [서식 제3호] 정보통신제품 도입 확인서(현황)
  • [서식 제4호] 정보시스템 관리대장
  • [서식 제5호] 전파측정 결과보고서
  • [서식 제6호] 암호실 및 암호취급자 현황
  • [서식 제7호] 서약서
  • [서식 제8호] 암호자재 신청서
  • [서식 제9호] 지편자재 사용기록부
  • [서식 제10호] 암호자재 운용관리 현황
  • [서식 제11호] 암호실 출입자 기록부
  • [서식 제12호] 보안관제센터 운영현황