M-04 이동통신망 장비 구축과 네트워크 설계 시 보안 내재화 수행
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | M-04 |
| 점검내용 | 보안담당자 지정 및 보안업무 인력이 개통 운영 참여 여부 점검 |
| 점검대상 | 이동통신망 장비 구축 및 네트워크 설계 |
| 양호기준 | 보안담당자가 지정되고, 장비 도입 전부터 개통·운영까지 전 단계에 참여하며, 국제표준 보안 요건을 준수하는 경우 |
| 취약기준 | 보안담당자가 지정되지 않거나, 장비 구축 단계에 참여하지 않거나, 보안 검증이 수행되지 않는 경우 |
| 조치방법 | 보안담당자 지정 및 역할 정의, 생애주기별 보안 참여, 국제표준 보안 요건 준수, 종단 간 보안 관점 적용 |
상세 설명
1. 판단 기준
기본 판단 기준
- 양호: 보안담당자가 지정되고, 장비 도입 전부터 개통·운영까지 전 단계에 참여하며, 국제표준 보안 요건을 준수하는 경우
- 취약: 보안담당자가 지정되지 않거나, 장비 구축 단계에 참여하지 않거나, 보안 검증이 수행되지 않는 경우
경계 케이스 (Edge Case) 처리 방법
- 보안담당자 지정만 있는 경우: 실제 참여하지 않음 → 취약으로 판단
- 일부 단계 참여: 개통 단계에만 참여 → 부분적 보안, 개선 권고
- 국제표준 미준수: 자체 표준을 따르나 보안 요건 충족 → 양호로 판단 가능
권장 설정값
- 보안담당자: 전담 인력 1인 이상
- 참여 단계: 요구사항 분석부터 운영 전체
- 국제표준: 3GPP, ETSI, NIST 등 준수
2. 점검 방법
점검 절차
- 인력 확인: 보안담당자 지정 여부 및 역할 확인
- 참여 이력 확인: 장비 생애주기별 보안 참여 이력 확인
- 보안 요건 준수 확인: 국제표준 보안 요건 준수 여부 확인
- 문서 검토: 보안 검증 보고서, 참여 기록 등 문서 확인
점검 항목
- 보안담당자 지정 여부
- 장비 생애주기별 참여 여부
- 국제표준 보안 요건 준수 여부
- 보안 검증 수행 이력
- 종단 간 보안 관점 적용 여부
3. 조치 방법
보안담당자 지정 및 역할 정의
- 보안담당자 선정: 보안 전문 인력 선정
- 역할 정의: 생애주기별 보안담당자 역할 정의
- 권한 부여: 보안 관련 의사결정 권한 부여
- 교육: 보안담당자 교육 및 훈련
생애주기별 보안 참여
- 요구사항 분석 단계: 보안 요구사항 도출 참여
- 설계 단계: 보안 아키텍처 설계 참여
- 구매 단계: 보안 요건 포함 여부 검토
- 개통 단계: 보안 설정 검증 참여
- 운영 단계: 보안 모니터링 및 개선 참여
국제표준 보안 요건 준수
- 표준 분석: 3GPP, ETSI, NIST 등 국제표준 분석
- 요구사항 도출: 표준 기반 보안 요구사항 도출
- 적용 계획 수립: 보안 요건 적용 계획 수립
- 준수 검증: 보안 요건 준수 여부 검증
종단 간 보안 관점 적용
- 종단 분석: 단말부터 코어까지 종단 보안 분석
- 보안 체계 수립: 종단 간 보안 체계 수립
- 연계 검증: 각 구간별 보안 연계 검증
- 통합 관리: 종단 보안 통합 관리
4. 참고 자료
- 3GPP TR 33.844: Study on Security of Virtual Network Management
- ETSI GS NFV-SEC 009: Security; Security Architecture for Management
- NIST SP 800-160: Systems Security Engineering
- ISO/IEC 15288: Systems and software engineering
5. 스크립트
- 취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
- 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.