외부경계 (External Boundary, EB)
2. 외부경계 (External Boundary, EB) · 20개 통제항목
정의
정보시스템 경계에서는 외부 네트워크와의 연결 접점을 제한하고, 승인된 통신만 허용할 수 있도록 경계 보호 장치를 활용하여 트래픽을 필터링하며, 이를 통해 외부로부터의 무단 접근을 차단하고 내부 정보시스템 구성 요소 및 데이터 유출 방지, 개인 식별 정보에 대한 보호조치를 위한 통제항목이다.
보안통제 항목 (20)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-EB-1 | 연결 접점 제한 | 정보시스템의 외부 네트워크 연결 접점 수를 제한한다. | C S |
| N2SF-EB-2 | 서비스별 외부 통신 통제 | 외부와 통신하는 서비스의 경계마다 통신 흐름을 통제한다. | C S O |
| N2SF-EB-3 | 화이트리스트 기반 통신 허용 | 기본적으로 모든 통신을 차단한 상태에서 필요한 통신만을 허용하는 화이트리스트 기반 정책을 적용한다. | C S |
| N2SF-EB-4 | 분할 터널링(Split Tunneling) 제한 | 인터넷 서비스와 원격 접속을 통한 기관 네트워크를 동시에 이용하는 등 내・외부 통신을 동시 연결하는 분할 터널링 기법을 제한한다. | C S O |
| N2SF-EB-5 | 통신 경유(proxy) 강제화 | 인가된 정보시스템을 경유하여 통신하도록 통신 경로를 강제화한다. | C |
| N2SF-EB-6 | 외부로의 사이버 위협 통신 발신 제한 | 내부에서 외부 네트워크에 사이버 위협을 가하는 발신(outbound) 통신을 탐지 및 차단하고, 발신자(사용자 및 정보자산 등)를 식별한다. | C S |
| N2SF-EB-7 | 호스트 기반 경계 보호 | 정보시스템 구성 요소에 호스트 기반 경계 보안체계를 적용한다. | C S |
| N2SF-EB-8 | 운영관리용 포트의 물리적 연결 차단 | 운영관리용 포트에 인가되지 않은 장치의 포트 연결을 차단한다. | C S O |
| N2SF-EB-9 | 전용 장치를 통한 관리자 권한 접속 | 전용 장치를 통해서만 네트워크를 경유하여 관리자 권한으로 접속한다. | C S O |
| N2SF-EB-10 | 정보시스템 구성 요소 외부 노출 차단 | 정보시스템 운영관리 및 서비스를 제공하는 구성 요소가 외부 노출되지 않도록 차단한다. | C S O |
| N2SF-EB-11 | 외부 경계 보호 기능 유지 | 외부 경계를 보호하는 정보자산(보안시스템 등) 장애 시에도 보호기능은 유지되도록 구성한다. | C S O |
| N2SF-EB-12 | 외부 통신용 정보자산(장치) 설치 금지 | 외부 네트워크와 통신하는 인가되지 않은 정보자산(장치) 설치를 금지한다. | C S O |
| N2SF-EB-13 | 오류정보 발신자 전송 제한 | 네트워크 규약에 따른 통신 오류 발생 시 발신자에게 피드백이나 경고를 통해 정보시스템 구성이나 취약점이 전송되지 않도록 한다. | C S |
| N2SF-EB-14 | 외부 DNS 통신 제한 | 인가된 DNS 서버 외의 요청을 차단한다. | C |
| N2SF-EB-15 | 우회 통신 수단 탐지 및 차단 | VPN, Tor 등 우회 경로 사용을 탐지하고 차단한다. | C S |
| N2SF-EB-M1 | 개인 식별 정보 보호 | 외부와 통신 시 개인을 식별하거나 특정 개인과 관련된 정보를 포함하는 경우 노출되지 않도록 조치한다. | C S |
| N2SF-EB-M2 | 외부 경계 정책 수립 및 갱신 | 외부 통신 및 경계 보안 정책을 수립하고 주기적으로 갱신한다. | C S O |
| N2SF-EB-M3 | 외부 통신 로그 기록 및 감사 | 외부 통신 활동과 설정 변경 사항을 기록하여 감사 가능하도록 한다. | C S O |
| N2SF-EB-M4 | 외부 경계 위협 탐지 자동화 | 이상 행위를 자동으로 탐지하는 시스템을 운영한다 | C |
| N2SF-EB-M5 | 비상 시 외부 통신 격리 | 침해 발생 시 외부 통신을 즉시 차단할 수 있는 절차를 마련한다. | C S |
구현 방법 예시
통신 모니터링 및 제어 기술
- 시스템 내·외부 경계에서 이루어지는 통신 흐름을 모니터링하고, 보안정책에 따라 차단 또는 허용 한다. 승인되지 않은 통신이나 의심스러운 트래픽이 내부 네트워크에 영향을 주지 않도록 보장한다.
- 외부망과 내부망, 업무망과 제어망 등 네트워크 도메인 간 물리적 또는 논리적 경로를 분리하고, 중간에 방화벽과 ACL을 배치하여 접근을 제한한다.
- 각 접점별로 서브넷 또는 VLAN을 구분하고, 네트워크 흐름은 보안 정책에 따라 명시적으로 지정된 목적지에만 허용되도록 구성한다.
- 방화벽을 통해 네트워크 트래픽을 실시간으로 모니터링하며, 비인가 된 접근이나 악성 코드 전송 차단, 침입 탐지 솔루션을 (IDS/IPS)로 이상 트래픽을 탐지 및 차단한다.
서브 네트워크(DMZ) 구현 기술
- 외부에서 접근 가능한 시스템(예: 웹 서버, 이메일 서버 등)을 내부 네트워크와 물리적 또는 논리적으로 분리된 DMZ 서브 네트워크에 배치하여 외부 공격이 내부 네트워크로 확산되는 것을 방지한다.
- DMZ에 웹 서버와 일방향 전송장치(Data Diode)를 함께 배치하여 외부로부터 들어오는 요청은 허용하되 내부 네트워크로의 불필요한 트래픽은 완전히 차단한다.
서비스 단위 외부 통신 통제
- 시스템 외부와 통신하는 각 서비스 단위(웹 서버, API 등)는 고유 포트 및 인터페이스를 기준으로 식별하며, 경계 방화벽에서 서비스 단위별 트래픽만 허용한다.
- 불필요한 포트는 차단하고, 보안 그룹(SG) 또는 L7 WAF를 적용하여 서비스별 외부 접근을 제어한다.
화이트리스트 기반 통신 정책
- 기본적으로 모든 외부와의 통신을 차단하고, 사전에 정의된 허용된 목적지 IP/도메인에 대해서만 예외적으로 통신을 허용하는 화이트리스트 기반 정책을 적용한다.
- DMZ, 운영망, 클라우드 환경 간 통신 경로는 명확한 승인 절차를 거친 후 허용되도록 한다.
터널링 및 비인가 경로 방지
- 원격 접근 시 VPN 또는 터널링(Split Tunneling)이 허용되지 않도록 클라이언트 정책을 구성하고, VPN 사용 시 내부망 외 다른 경로와 동시 연결을 차단한다.
- 프록시 사용 여부를 탐지하고, 비 허가된 프록시 경로로의 통신은 차단한다.
외부 정보흐름 제어를 위한 경계 보호 기술
- 외부에서 내부 시스템으로 접근 가능한 포트를 최소화하고, 방화벽(Firewall) 또는 L3/L7 Gateway를 통해 특정 포트만 허용되도록 구성한다.
- 승인된 IP 또는 서브넷만 접근할 수 있도록 ACL, Security Group을 적용하며, 나머지 접근은 기본 차단한다.
외부 네트워크 연결 통제 기술
- 외부경계에서 네트워크 연결 접점을 제한하여, 외부로부터 무단 접근 위험을 최소화한다.
- 외부로의 모든 트래픽은 방화벽을 통해 관리되며, CDS를 통해 다중 네트워크 간 연결을 관리하여 승인된 데이터만 전송한다.
호스트 및 포트 수준의 접속 제한
- 정보시스템 호스트 단위로 보안 정책을 적용하여 불필요한 외부 포트 접근을 제한하며, 인가된 포트 외의 모든 포트는 기본적으로 차단한다.
- NAC 또는 EDR을 통해 비인가 장비나 포트 연결 시도는 즉시 차단하고 관리자에게 알림을 제공한다.
외부 연결 장치 및 노출 방지
- 서버 또는 시스템 운영에 사용되지 않는 구성 요소(백업, DB 복제 등)는 외부에 노출되지 않도록 별도 방화벽 정책으로 보호하고, 공용 DNS 등록 여부를 점검한다.
- 외부 통신용 장치 또는 서비스와는 논리적 인터페이스를 분리하고, 물리 포트는 차단하거나 네트워크 분리 도메인에 위치시킨다.
이상 통신 대응 및 보호 자동화
- SIEM과 연동하여 비정상 외부 통신 시도나 과다 통신, 터널링 탐지를 기반으로 자동 경고 및 세션 종료 정책을 적용한다.
- 외부 경계 보호 장비는 이중화 구성되며, 장애 발생 시에도 보안 통제가 유지되도록 구성한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 외부 접속 제한 | 방화벽, L3/L7 Gateway, ACL, Security Group, 최소 포트 허용 정책 |
| 서비스 통신 경계 구성 | CDS, Proxy/Reverse Proxy, API Gateway, 고유 포트 분리, IP 기반 접근 제어 |
| 화이트리스트 기반 허용 정책 | IP/도메인 기반 화이트리스트, DNS/TLS 기반 허용 필터링 |
| 분할 터널링 방지 | VPN 전체 터널링 강제, NAC 기반 클라이언트 제어, VPN 터널 우회 방지 설정 |
| 사이버 위협 식별 및 분석 | DLP, NDR, DNS 분석, 출발지/도착지 탐지, 비인가 대상 통신 차단 |
| 포트 및 장비 식별 제어 | 운영 포트 분리, MAC/IP 등록제, NAC 장비 인증, 인증되지 않은 장비 자동 차단 |