M-03 이동통신망 장비 및 SW 제조사 등과 보안정책을 마련하여 운영
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | M-03 |
| 점검내용 | 일정 수준의 보안 요구 수준 및 운영 계획과 수명 주기를 반영한 보안정책 운영 여부 점검 |
| 점검대상 | 이동통신망 장비 및 소프트웨어 |
| 양호기준 | 제조사와 협력하여 보안정책이 수립되고, SLA에 보안 요구사항이 포함되며, 주기적 보안 검증이 수행되는 경우 |
| 취약기준 | 보안정책이 수립되지 않거나, SLA에 보안 요구사항이 미포함되거나, 보안 검증이 수행되지 않는 경우 |
| 조치방법 | 종단 네트워크 보안 설계, SLA에 보안 수준 정의, 보안 표준안 수립, 보안 사전 테스트 및 검증 수행 |
상세 설명
1. 판단 기준
기본 판단 기준
- 양호: 제조사와 협력하여 보안정책이 수립되고, SLA에 보안 요구사항이 포함되며, 주기적 보안 검증이 수행되는 경우
- 취약: 보안정책이 수립되지 않거나, SLA에 보안 요구사항이 미포함되거나, 보안 검증이 수행되지 않는 경우
경계 케이스 (Edge Case) 처리 방법
- 보안정책 수립만 있는 경우: SLA에 미포함 → 취약으로 판단
- SLA 미포함 but 검증 수행: 부분적 보안 → 개선 권고
- 검증 주기 미준수: 검증은 수행하나 주기적이지 않은 경우 → 개선 권고
권장 설정값
- 보안 검증 주기: 최소 연 1회
- 보안 패치 적용: 심각 취약점 30일 이내
- SLA 보안 수준: 업무 특성에 맞는 맞춤 정의
2. 점검 방법
점검 절차
- 문서 검토: 보안 정책, SLA 계약서, 보안 검증 보고서 확인
- 제조사 협력 현황: 보안 협력 체계, 커뮤니케이션 채널 확인
- 보안 요구사항 확인: SLA 내 보안 요구사항 포함 여부 확인
- 검증 이력 확인: 주기적 보안 검증 수행 이력 확인
점검 항목
- 보안 정책 수립 여부
- 제조사와의 보안 협력 체계
- SLA 내 보안 요구사항 포함 여부
- 주기적 보안 검증 수행 여부
- 보안 취약점 대응 프로세스
3. 조치 방법
종단 네트워크 보안 설계
- 위협 분석: 종단 네트워크 위협 모델 수립
- 보안 요구사항 도출: 위협 기반 보안 요구사항 정의
- 보안 아키텍처 설계: 종단 간 보안 아키텍처 수립
- 검증: 보안 설계 검증 및 개선
SLA에 보안 수준 정의
- 보안 메트릭 정의: 가용성, 무결성, 기밀성 등 보안 메트릭 정의
- 서비스 수준 설정: 보안 관련 서비스 수준 설정
- 페널티 정의: 보안 SLA 미준수 시 페널티 정의
- 모니터링: 보안 SLA 준수 여부 모니터링
보안 표준안 수립
- 표준 분석: 국제 표준(3GPP, ETSI, NIST 등) 분석
- 사내 표준 수립: 업무 특성에 맞는 보안 표준안 수립
- 제조사 협의: 제조사와 보안 표준 협의
- 표준 적용: 수립된 표준안 적용 및 관리
보안 사전 테스트 및 검증 수행
- 테스트 계획 수립: 보안 테스트 시나리오 및 계획 수립
- 테스트 환경 구축: 별도 테스트 환경 구축
- 보안 테스트 수행: 취약점 진단, 침투 테스트 등 수행
- 결과 보고: 테스트 결과 보고 및 개선 조치 수립
4. 참고 자료
- 3GPP TS 33.102: Security architecture and procedures
- ETSI GS NFV-SEC 004: Security and Protection; Networking Attributes
- NIST SP 800-53: Security and Privacy Controls for Information Systems
- ISO/IEC 27036: Information security for supplier relationships
5. 스크립트
- 취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
- 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.