M-02 이동통신망에서 가상화 기술 적용 시 계정관리, 이상징후탐지 등 보안설정 또는 기술 적용

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: 3GPP 표준의 필수 보안 설정이 적용되고, 계층별 접근 통제 정책이 수립되어 운영되는 경우
• 취약: 계층별 보안 설정이 미흡하거나 접근 통제 정책이 수립되지 않은 경우

경계 케이스 (Edge Case) 처리 방법

• 부분 적용: 일부 계층에만 보안 설정이 적용된 경우 → 취약으로 판단
• 정책 수립 미준수: 정책은 수립되었으나 실제 운영에 적용되지 않은 경우 → 취약으로 판단
• 3GPP 표준 미준수: 타 표준을 따르나 3GPP와 상충되는 경우 → 보안 요건 충족 시 양호로 판단 가능

권장 설정값

• 3GPP TS 33.531 (Security aspects of Virtual Network Platforms)
• 3GPP TS 32.541 (Telecommunication management; Security Assurance)
• 계층별 최소 권한 원칙 적용
• 이상징후 탐지 임계값: 업무 특성에 맞는 맞춤 설정

2. 점검 방법

점검 절차

1. 문서 검토: 보안 정책, 접근 통제 정책, 계층별 보안 설정 문서 확인
2. 설정 검증: NFV/SDN 장비의 실제 보안 설정 확인
3. 운영 확인: 보안 정책의 실제 운영 여부 점검
4. 로그 분석: 이상징후 탐지 시스템의 운영 현황 확인

점검 항목

• 물리적 계층 보안: 하드웨어 보안, 물리적 접근 통제
• 가상화 계층 보안: 하이퍼바이저 보안, 가상머신 격리
• 애플리케이션 계층 보안: VNF 보안, 컨테이너 보안
• 관리 계층 보안: MANO 보안, Orchestrator 보안

3. 조치 방법

3GPP 표준 보안 설정 적용

1. 보안 요구사항 식별: 3GPP TS 33.531 기반 보안 요구사항 도출
2. 보안 설정 적용: NFVI, VNF, MANO 각 컴포넌트별 보안 설정 적용
3. 검증: 보안 설정 적용 후 테스트 및 검증

계층별 권한 관리

1. 역할 정의: 계층별 관리자 역할 및 권한 정의
2. 접근 통제: 계층별 접근 통제 정책 수립 및 적용
3. 권한 검토: 정기적 권한 검토 및 불필요 권한 제거

이상징후 탐지 및 알림 시스템 구축

1. 탐지 항목 설정: 리소스 사용량, 네트워크 트래픽, 접속 패턴 등
2. 임계값 설정: 업무 특성에 맞는 탐지 임계값 설정
3. 알림 설정: 이상징후 발생 시 실시간 알림 시스템 구축

SDN/NFV 보안 통합

1. 보안 아키텍처 설계: SDN 컨트롤러, NFV Orchestrator 보안 통합
2. 세그먼테이션: 관리 트래픽과 데이터 트래픽 분리
3. 암호화: 관리 인터페이스 암호화 적용

4. 참고 자료

• 3GPP TS 33.531: Security aspects of Virtual Network Platforms
• 3GPP TS 32.541: Telecommunication management; Security Assurance
• ETSI GS NFV-SEC: Network Functions Virtualisation Security
• NIST SP 800-37: Risk Management Framework

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.