정보시스템 구성요소 (Information System Component, IN)
3. 정보시스템 구성요소 (Information System Component, IN) · 19개 통제항목
정의
정보시스템의 구성요소는 중앙화된 저장소를 통해 목록화하고, 설치·제거·업데이트 시 이를 정기적으로 갱신, 자동화된 메커니즘으로 최신성, 완전성, 정확성을 유지하여 불필요한 기능, 포트, 프로토콜, 소프트웨어를 비활성화 또는 제거하기 위한 통제항목이다.
보안통제 항목 (19)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-IN-1 | 구성요소 목록 중앙관리 | 정보시스템 내의 모든 구성요소가 포함되도록 정보시스템 구성요소 목록을 작성하고 정기적으로 검토 및 최신 상태로 업데이트 한다. | C S |
| N2SF-IN-1(1) | 정보시스템 구성요소 최신상태 유지 | 정보시스템 내의 모든 구성요소가 포함되도록 정보시스템 구성요소 목록을 작성하고 정기적으로 검토 및 최신 상태로 업데이트 한다. | C S |
| N2SF-IN-1(2) | 구성요소 목록 현행화 | 정보시스템 구성요소 설치, 제거, 또는 정보시스템 업데이트 시 목록을 갱신한다. | C S |
| N2SF-IN-1(3) | 구성요소 목록 자동관리 | 자동화된 메커니즘을 통해 정보시스템 구성요소 목록의 최신성, 완전성, 정확성, 가용성을 유지한다. | C |
| N2SF-IN-2 | 비인가 구성요소 식별 | 정보시스템 내 비인가 하드웨어, 소프트웨어 및 펌웨어 구성요소를 검사하여 식별한다. | C S |
| N2SF-IN-3 | 물리적 위치 식별 | 자동화된 메커니즘을 통해 정보시스템 구성요소의 물리적 위치를 식별한다. | C |
| N2SF-IN-4 | 변경 사항 테스트 및 검증 | 변경 사항을 최종 적용하기 전에 테스트 및 검증을 통해 안전성을 확보한다. | C S |
| N2SF-IN-5 | 비인가 변경 방지 | 인가되지 않은 정보시스템 구성요소 변경을 방지한다. | C S |
| N2SF-IN-6 | 불필요한 구성요소 제거 | 필요 기능만 제공하도록 구성하고, 사용하지 않는 기능, 포트, 프로토콜, 소프트웨어, 서비스의 사용을 제거하거나 비활성화한다. | C S |
| N2SF-IN-7 | 주기적인 구성요소 제거 상태 점검 | 주기적으로 사용하지 않은 기능, 포트, 프로토콜, 소프트웨어 및 서비스의 활성화 여부를 점검한다. | C S |
| N2SF-IN-8 | 비인가 소프트웨어 실행 차단 | 허가되지 않은 소프트웨어(응용프로그램)가 실행되지 않도록 차단한다. | C S |
| N2SF-IN-9 | 소프트웨어 기술지원 유지 | 개발자, 공급업체 또는 제조업체에서 기술지원이 종료된 구성요소는 교체하거나 지속적 기술지원이 가능하도록 조치한다. | C S O |
| N2SF-IN-10 | 소프트웨어 설치 권한 제한 | 소프트웨어 설치 권한은 필요한 사용자에게만 부여한다. | C S |
| N2SF-IN-11 | 재기동 서비스 신뢰성 확보 | 정보시스템 구성요소와 서비스가 재기동(재부팅) 할 때 소프트웨어와 데이터는 신뢰된 곳으로부터 획득한다. | C S O |
| N2SF-IN-12 | 신뢰성이 보장된 구성요소 설치 | 신뢰할 수 있는 외부 기관·제조사 또는 기관이 자체 서명한 구성요소를 설치 및 활용한다. | C S O |
| N2SF-IN-13 | 정보의 비지속성 | 정보시스템이 종료되거나 재부팅될 때 관련 정보(데이터 등)는 자동 삭제하여 유지되지 않도록 한다. | C S |
| N2SF-IN-14 | 연결의 비지속성 | 일시적으로 사용된 연결은 사용이 종료되면 자동으로 연결을 끊어 연결이 유지되지 않도록 한다. | C S |
| N2SF-IN-15 | 구성요소 해시/서명 무결성 검증 | 설치된 구성요소의 해시 또는 디지털 서명을 검증한다. | C S |
| N2SF-IN-16 | 악성코드 감염 차단 | 악성코드 유입 및 실행 등으로 인한 악성코드 감염을 실시간 탐지하고 차단한다. | C S O |
구현 방법 예시
구성요소 자산 식별 및 중앙 인벤토리 구축
- 정보시스템의 하드웨어, 소프트웨어, 펌웨어 자산을 자동 수집 도구를 통해 식별하고 중앙 자산 관리 시스템에 등록한다.
- 수집 항목에는 장비명, 모델명, MAC/Serial 번호, 소프트웨어 버전, OS 패치 정보 등을 포함한다.
- 자산 등록 시 자동 분류(서버, 네트워크 장비, 보안 장비 등)를 통해 가시성을 확보하고, 물리 위치와 논리 위치도 함께 연계한다.
구성요소 무결성 및 상태 점검
- 설치된 시스템 구성요소의 상태를 주기적으로 점검하며, 변경된 파일은 무결성 검사 도구(FIM 등)로 감시한다.
- 구성요소 변경은 승인 절차 후 테스트 환경에서 사전 검증 후 운영 시스템에 반영하도록 한다.
- 자동화된 변경 관리 시스템과 연동하여 구성요소 변경 로그를 기록하고 관리자에게 경고를 제공한다.
비인가 구성요소 및 소프트웨어 실행 차단
- 백신, EDR, 보안 에이전트를 통해 비인가 실행 파일 또는 프로세스의 실행을 차단하고 경고한다.
- 사용자 설치가 불가하도록 관리자 권한으로만 설치 가능하도록 정책을 설정한다.
- 샌드박스나 가상화 환경에서 의심 구성요소를 실행시켜 악성 여부를 탐지하고 격리할 수 있도록 구성한다.
구성요소 설치·삭제 권한 관리 및 기술지원 검증
- OS 또는 소프트웨어 설치 시 제조사 서명 검증을 통해 위변조 여부를 판별하며, 인증된 저장소만 통해 설치하도록 제한한다.
- 기술지원이 종료된 구성요소는 목록에서 식별하고, 대체 가능한 구성요소 또는 보안 업데이트 우회 방안을 마련한다.
- 불필요한 포트/서비스는 제거하며, 사용하지 않는 구성요소는 비활성화하여 공격 표면을 줄인다.
정보 비지속성 및 해지 검증
- 구성요소 삭제 또는 연결 해제 시 관련 데이터가 디스크에 남지 않도록 데이터 영구 삭제 알고리즘을 적용한다.
- 디지털 서명 검증 또는 구성요소 제거 로그 수집을 통해 해지 상태를 명확히 검증하고 감사기록으로 보관한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 자산 식별 및 인벤토리 | ASM, 자동 자산 수집 에이전트, MAC/Serial 관리 |
| 무결성 및 상태 점검 | FIM, 구성요소 변경 모니터링, 변경 승인 및 테스트 자동화 |
| 비인가 요소, 악성코드 탐지/차단 | 백신, EDR, 보안 에이전트 |
| 설치/삭제 및 지원 관리 | 서명 검증, 기술지원 종료 식별, 비활성화, 취약 구성요소 제거 |
| 비지속성 및 해지 검증 | 영구 삭제 알고리즘, 디지털 서명 확인, 구성요소 해지 로그 관리 |