하드웨어 (Device, DV)
2. 하드웨어 (Device, DV) · 14개 통제항목
정의
하드웨어 보안 항목은 정보시스템과 하드웨어의 무결성을 유지하기 위해, 펌웨어 및 하드웨어 구성 요소 검증, 그리고 실행 환경의 무결성 보장을 위한 통제항목이다.
보안통제 항목 (14)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-DV-1 | 하드웨어 무결성 검증 | 하드웨어 구성 요소의 무결성을 검증한다. | C S |
| N2SF-DV-2 | 하드웨어 기반 펌웨어 보호(Hardware-Based Protection) | 펌웨어 구성요소 대상 하드웨어 기반 쓰기방지 기능을 활용한다. | C |
| N2SF-DV-3 | 하드웨어 장치(Device) 사용 제한 | 정보자산 배포 또는 설치 전 특정 하드웨어 장치(USB포트, 무선통신 모듈 등)를 비활성화 또는 제거 등으로 사용을 제한한다. | C S |
| N2SF-DV-4 | 포트 및 입출력 장치 제어 | 정보시스템의 포트나 입출력 장치를 제어하여 악성코드 유입 및 정보 유출을 차단한다. | C S |
| N2SF-DV-5 | 외부 정보자산 활용 정보처리 제한 | 외부 정보자산 등을 통한 정보의 처리, 저장 및 전송 등을 제한한다. | C |
| N2SF-DV-6 | 통신 기능이 포함된 저장장치 제한 | 통신기능이 포함된 저장장치를 사용을 제한한다. | C |
| N2SF-DV-7 | 기관 접속용 장치 제한 | 외부 정보자산(시스템 등)에서 기관 네트워크 접속이 가능한 장치 사용을 제한한다. | C |
| N2SF-DV-8 | 장치 자동 잠금 | 사용자가 일정시간 이상 정보시스템을 사용하지 않거나 방치할 경우 잠금 기능을 활성화하고, 화면에 표시되는 정보는 표출되지 않아야 한다. | C S O |
| N2SF-DV-9 | 읽기 전용 매체 활용 프로그램 실행 | 하드웨어 기반의 읽기 전용 매체에서 운영체제(OS) 로드 및 응용프로그램을 실행하여 실행환경의 무결성을 확보한다. | C |
| N2SF-DV-10 | 저장장치 연결 금지 | 정보시스템 기동 및 종료 또는 재시작하는 동안 쓰기 가능한 저장장치 연결을 금지한다. | C |
| N2SF-DV-11 | 읽기 전용 매체 무결성 검증 | 읽기 전용 매체에 정보를 저장하기 이전 무결성을 검증한다. | C |
| N2SF-DV-12 | 장치 펌웨어 업데이트 검증 | 펌웨어 업데이트 시 서명 검증 또는 위변조 여부를 검증하여 설치를 제한한다. | C |
| N2SF-DV-M1 | 하드웨어 장치 식별 및 인벤토리 | 장치별 고유 ID(MAC, Serial 등)를 기반으로 자산 목록을 구성하고 지속적으로 관리한다. | C S |
| N2SF-DV-M2 | 반입 장치 검사 절차 | 외부 장치 반입 시 보안 검사 및 승인 절차를 운영한다. | C S |
구현 방법 예시
하드웨어 무결성 검증
- BIOS, UEFI 및 TPM을 활용하여 하드웨어 구성 요소의 무결성을 부팅 시 검증한다.
- 펌웨어와 드라이버에 대한 Secure Boot를 구성하고, 변경 탐지를 위한 Hash 기반 비교 기능을 활성화한다.
- 특정 하드웨어 구성 요소에 쓰기 보호 칩을 적용하여, 펌웨어를 수정하지 못하도록 한다. 이 칩은 하드웨어적으로 쓰기 명령을 막아, 펌웨어가 원치 않게 변경되는 것을 방지한다.
펌웨어 보호 및 업데이트 검증
- 하드웨어 기반의 쓰기방지 기능(WP) 또는 보안 부팅 옵션으로 펌웨어의 무단 변경을 방지한다.
- 펌웨어 업데이트 시에는 디지털 서명 검증 및 무결성 체크를 수행하며, 공인된 펌웨어만 허용되도록 한다.
장치 식별 및 인벤토리 관리
- 장치 MAC 주소, Serial 번호 등 고유 식별자를 수집하여 자산 등록 및 인벤토리를 구성하고 주기적으로 비교한다.
- 자산 등록 이외의 장치가 네트워크에 연결되는 경우 자동 알림 또는 차단 정책을 적용한다.
- 개발자가 제공한 검증 가능한 일련번호를 사용하여 각 하드웨어 구성 요소의 진위 여부를 확인하고, 복제된 하드웨어가 사용되지 않도록 방지한다.
장치 단말 제어 및 제한
- USB, SD 카드, 블루투스 등 외부 입출력 장치는 정책 기반으로 허용 여부를 제어하며, 읽기전용 설정을 적용한다.
- 이동식 저장장치는 보안 정책에 따라 허용된 사용자 또는 작업에서만 사용할 수 있도록 DLP 솔루션과 연동한다.
하드웨어 장치 자동 잠금 및 비사용 제어
- 일정 시간 이상 사용하지 않는 시스템은 자동 잠금되도록 구성하며, 장치 화면 보호기와 연동한 로그인 재인증을 설정한다.
- 업무 외 시간에는 장치의 네트워크 접속 또는 작업 실행이 제한되도록 Endpoint Policy를 적용한다.
반입 장치 승인 절차 운영
- 외부에서 반입되는 장치는 보안 검사 도구(AntiVirus, Asset Scanner 등)로 사전 검사하며, 관리자 승인 후만 연결되도록 구성한다.
- 임시 등록 장치는 VLAN 또는 격리망으로 분리하여 검증 후 본망으로 이동되도록 구성한다.
- 하드웨어 구성 요소에 복제하기 어려운 라벨을 부착하여, 하드웨어가 무단으로 교체되거나 변조되지 않았는지 확인한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 하드웨어 무결성 검증 | TPM, BIOS/UEFI Secure Boot, Hash 비교, Boot Integrity 검증 |
| 펌웨어 보호 및 검증 | Write Protection, Signed Firmware Update, Secure Boot, 무결성 검증 |
| 장치 식별 및 인벤토리 관리 | MAC/Serial 수집, 자산 인벤토리 시스템, 비인가 장치 탐지 및 알림 |
| 외부 입출력 장치 제어 | USB/SD 제어, 읽기전용 설정, DLP 연동, 입출력 포트 통제 |
| 장치 자동 잠금 및 비사용 제어 | 자동 잠금 정책, 시간 기반 접근 제어, Endpoint 정책 |
| 반입 장치 승인 및 격리 | 외부 장치 검사 도구, 관리자 승인 절차, VLAN 격리 구성 |