누텔라

24년 9월에 새로 발간된 MVNO 사업자 대상의 ISMS 세부항목 안내서이다.

가상자산사업자 대상의 세부항목과 유사한 점이 꽤 보인다.

새로 발간된 문서인 만큼 얼마나 인용될지는 모르겠지만 알아둘 필요는 있어 보인다.

[가상자산 사업자 추가내용과의 유사점]

• 위원회에서 관련 사항 심의·의결 후 정책 수립 시 반영하고 필요한 자원 할당
• 해당 업무에 특화된 자산 식별 및 흐름 분석 > 위험 평가하여 대책 마련
• 대내외 환경변화 모니터링 후 필요 시 반영
• 주요 직무자는 최소한으로 지정
• 해당 업무에 특화된 위수탁에 대해 해당 인프라는 분리 및 관리/감독 강화
• 해당 업무에 특화된 전산실에는 무선 네트워크 운용 금지
• 해당 업무에 특화된 송수신 시 암호화 적용
• 주기적으로 보안시스템 작동상태 점검
• 해당 업무에 특화된 접속용 단말기를 별도로 지정하고 강화된 보안정책 적용
• 해당 업무에 특화된 웹 서비스는 반기 별 취약점 점검 수행
• 해당 업무에 특화된 모니터링 체계 수립 및 운영

[특이한 수치 정리]

정보보호점검의 날: 매월

보안시스템 주기적 점검: 매월 권고

MVNO 관련하여 공개된 대외서비스 취약점 점검: 반기 별 1회 이상

1.1.3 조직 구성

• 위원회에서 MVNO서비스의 안전성 확보 및 이용자의 보호에 관한 사항을 심의·의결

1.1.5 정책 수립

• MVNO서비스 이용 및 이용자 인증 등을 안전하게 제공, 관리하기 위한 보안 요구사항이 정책, 매뉴얼, 지침 등에 포함
• 정보보호 및 개인정보보호 정책을 수립하기 위한 MVNO서비스와 관련한 최근 동향, 가이드라인 등을 반영

1.1.6 자원 할당

• MVNO서비스의 안전성 확보 및 이용자 보호를 위해 정보기술 및 정보보호에 필요한 예산과 인력을 지원

1.2.1 정보자산 식별

• 이용자 본인 확인을 위한 신분증 및 구비서류를 수취하기 위해 운영하는 시스템을 식별하여 그 목록을 최신으로 관리
  • 신분증 스캐너, 평판 스캐너, 웹사이트, 웹하드, 문서적 정보와 전자적 정보(신분증 사본, 가족관계증명서 등)
  • MVNO 사업자가 개통 등의 업무를 위하여 사용하는 사이트도 자산으로 식별 필요

1.2.2. 현황 및 흐름분석

• MVNO서비스별(개통, 비개통 등) 업무를 구분하고 각 업무별 절차, 흐름 및 준수사항을 파악하여 문서화
  • 업무 별 정보 흐름 분석하여 현황표 작성 필요

1.2.3 위험 평가

• 본인인증 과정 등에서 발생할 수 있는 위험을 식별 평가하고 발견된 문제점을 개선 조치 및 이행 실태를 연 1회 이상 점검

1.2.4 보호대책 선정

• 본인인증 과정 등에서 식별된 위험을 처리하기 위한 적합한 보호대책을 선정

1.4.1 법적 요구사항 준수 검토

• 경영진은 MVNO서비스의 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수 여부를 연 1회 이상 정기적으로 점검하고 최고경영자에게 보고

1.4.2 관리체계 점검

• 정보보호최고책임자는 정보보호점검의 날을 지정하고 , 정보보호 점검항목을 수립하여 매월 준수여부 점검 및 그 결과를 최고경영자에게 보고

1.4.3 관리체계 개선

• 최고경영자는 임직원이 정보보호 관련법규를 위반할 경우 그 제재에 관한 세부기준 및 절차를 마련하여 운영

2.1.1 정책의 유지관리

• MVNO서비스 침해사고 동향, 신규 취약점 발생 등 관련 정책 및 시행문서에 미치는 영향을 검토하고 제‧개정

2.2.1 주요 직무자 지정 및 관리

• MVNO 서비스 처리 또는 관련 시스템의 주요 직무자 및 개인정보 취급자 지정을 최소화 하고 관리방안을 수립 및 이행

2.3.1 외부자 현황 관리

• MVNO서비스의 일부를 외부에 위탁하거나 외부의 시설 또는 서비스를 이용하는 경우 현황을 식별하고 발생하는 위험을 파악하여 보호대책을 마련
  • 개통 업무를 위한 전산 시스템, 본인확인 시스템, 교환기, 녹취 서버 등

2.3.3. 외부자 보안 이행 관리

• MVNO서비스의 개발, 구축을 외부에 위탁 시 내부 보안수준에 상응하는 보호조치와 이를 관리·감독하기 위한 절차를 포함
• 외부자 보안 계약에 대한 적절성 검토와 자체적인 통제를 위해 관리감독 조직과 인력 필요
• 개발 업무용 장소 및 전산설비는 내부 업무용과 분리 설치·운영

2.4.2 출입통제

• 전산실이 위치한 건물 출입구는 전산실 출입문을 한곳으로 지정하여 운영하고 있으며, 주요 설비시설에 대해 출입통제

2.4.5 보호구역 내 작업

• 본인인증 시스템 등 MVNO 서비스의 중요시스템을 운영하는 보호구역 내 무선네트워크 설치 및 운용을 금지

2.5.3 사용자 인증

• MVNO서비스 제공을 위한 본인인증 절차는 보안 표준을 준용하고 본인인증 시 실명 확인 요청과 추가 검증 절차를 적용
  • 인증 실패횟수 제한
  • 크리덴셜 스터핑 제한
  • 국외 접속지에서의 인증 제한
  • 내·외부 연계시스템과의 암호화 통신 및 본인인증 관련 수신 정보의 무결성 검증 기능 구현
  • 동일 계정으로 동시 접속 시 접속차단 또는 알림
• MVNO 서비스 제공을 위한 본인인증은 내부시스템을 이용하고, 외부 검증된 기관과 비교확인 등 강화된 인증 방식을 적용

2.5.4 비밀번호 관리

• 비밀번호, 생체인식정보 등에 대해 조회가 불가피하게 인정되는 경우 조회사유, 내용 등을 기록 관리
• 서비스 제공 시 계정 및 비밀번호 관리 절차 등 이용자 유의사항을 공지

2.6.1 네트워크 접근

• 본인인증 등 MVNO서비스의 중요 시스템은 내부 및 다른 서버존 장비들과 별도로 네트워크 존을 구성하고 접근통제 정책을 적용

2.6.2 정보시스템 접근

• MVNO서비스 관련 서버, 네트워크시스템 등에 직접 접속 하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔은 적절한 접근 통제를 적용

2.6.3 응용프로그램 접근

• MVNO 서비스의 업무 처리를 위해 수집되는 비정형 개인정보(신분증, 가족관계증명서 등)에 대해 저장 시 가림 처리(마스킹)하여 저장
  • 주민등록번호 뒷 6자리는 마스킹
  • 본인 및 해당 가족의 성명, 생년월일, 성별을 제외한 가족의 다른 정보는 마스킹

2.7.1 암호정책 적용

• MVNO서비스 네트워크 전송구간의 안전한 암호화 통신을 위해 취약하지 않은 암호화 방식을 사용하도록 설계
  • 본인 확인 시 암호화 전송
  • 구비서류 전송 및 저장 시 암호화 적용
  • 그 외 개인정보 안전성 확보조치 기준의 암호화 기준을 충족해야 함

2.8.1 보안 요구사항 정의

• MVNO서비스 업무 처리를 위한 시스템 개발 시 법적 요구사항을 반영한 보안 요구사항을 수립

2.8.5 소스 프로그램 관리

• 소스 프로그램 변경이 필요한 경우 해당 프로그램 개발 또는 시험 시스템에 복사 후 변경
• 프로그램 설명서, 입·출력 레코드·설명서, 프로그램 목록 및 사용자·운영자 지침서 등 소스 프로그램 유지보수에 필요한 문서를 작성·관리

2.8.6 운영환경 이관

• 운영환경 이관 시 소스 프로그램 반출, 실행프로그램의 생성, 운영시스템 등록은 해당 프로그램 담당자 이외의 별도 이관 담당자가 수행

2.10.1 보안시스템 운영

• 보안시스템은 최소한의 서비스포트(port)만 허용하고, 관리자 접속주소 (IP)를 제한하는 등 비인가된 접속을 차단하고 업무목적 이외 기능을 제거 (다중 목적의 서버로 이용 금지)
• 보안시스템의 원격관리를 원칙적으로 금지하고 주기적으로 작동 상태를 점검 (월 1회 이상 권고)
• 보안시스템 장애, 가동정지 등 비상상황에 대비한 백업 및 복구절차를 수립·시행

2.10.2 클라우드 보안

• 클라우드서비스에 전자적 침해행위 등 발생 시 MVNO서비스에 미치는 영향을 분석

2.10.3 공개서버 보안

• 공개서버에서 제공하는 서비스와 무관한 소프트웨어·스크립트·실행 파일 설치를 금지
  • 개발, 테스트 도구 사용 금지

2.10.6 업무용 단말기기 보안

• MVNO서비스를 위해 네트워크에 연결하는 단말기는 업무목적과 관계없는 비인가 또는 불법 소프트웨어 설치를 제한
• MVNO서비스의 중요시스템을 관리하기 위해 접속하는 단말기를 지정하고, 외부반출, 단말기 공유금지, 인터넷 및 그룹웨어 접속 금지 등의 보호대책을 적용

2.11.2 취약점 점검 및 조치

• MVNO와 관련하여 공개된 대외 서비스는 최소 반기 1회 이상 웹 서비스 취약점을 수행하고 조치

2.11.3 이상행위 분석 및 모니터링

• 본인인증 우회, 부정가입 등 MVNO서비스의 비정상적인 행위를 탐지 및 대응을 할 수 있는 절차가 마련

가상자산과 관련된 내용을 정리해봤다. 인증기준 중 기존 인증기준과 다른 부분은 알아둘 필요가 있다.

가상자산이용자보호법과 ISMS-P 인증기준 상의 가상자산거래기록 보유 요구기한이 다른 것 같다.

가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)

제2조 - 정의

• 가상자산: 경제적 가치를 지님 + 전자적으로 거래/이전될 수 있는 전자적 증표 및 권리
  • 아래의 항목은 제외
    • 교환되지 않는 전자적 증표
    • 게임물의 이용을 통하여 획득한 유ㆍ무형의 결과물
    • 선불전자지급수단
    • 전자등록주식
    • 전자어음
    • 한국은행이 발행하는 전자적 형태의 화폐
    • 전자채권
    • 모바일 상품권

제7조 - 가상자산의 보관

• 아래 정보가 담긴 이용자명부를 작성ㆍ비치해야 함
  • 이용자의 주소 및 성명
  • 이용자가 위탁하는 가상자산의 종류 및 수량
  • 이용자의 가상자산주소
• 사업자의 가상자산과 이용자의 가상자산을 분리 보관해야 함
• 이용자로부터 위탁받은 가상자산과 동일 종류/수량의 가상자산을 실질적으로 보유해야 함

제9조 - 거래기록의 생성ㆍ보존 및 파기

• 가상자산거래기록을 거래관계 종료한 때부터 15년간 보존해야 함

추가 정의

* 출처: https://011cpo.tistory.com/22

• 콜드 월렛(Cold Wallet): 인터넷에 연결되지 않거나 스마트 계약과 상호 작용하지 않는 암호화폐 지갑
• 핫월렛(HotWallet): 항상 인터넷에 연결되어 바로 출금이 가능한 암호화폐 지갑
• 멀티시그(Multi Signature): 다중서명, 가상자산을 보관하는 전자지갑의 개인 암호키를 3개로 나눠 만들고, 이 중 2개 이상의 열쇠를 이용하면 스마트컨트랙트를 통해 출금이 이뤄지는 방식
• 패스프레이즈(pass phrase) : 비밀구절, 비밀번호(password)와 유사하지만 24 단어 복구 문구에 추가하여 완전히 새로운 비밀 계정에 대한 액세스를 제공하는 선택적인 패스워드. 패스워드와 같이 사용자와 같은 특정 개체만이 알고 있는 문자열로 전산 시스템에 대한 사용자 인증이나 시스템 자원에 대한 접근 권한 확인에 사용
• 콜드월렛룸 : 가상화폐 이용자의 전자지갑을 안전하게 보관하기 위한 보안장치

ISMS-P 인증기준 세부점검항목(230711) - 가상자산사업자 대상

[요약]

1. 월렛 관련 주요 작업 내용은 비밀로 관리하고 최소한으로 배포

2. 가상자산 관련 자산목록은 최소한으로 배포

3. 정보보호최고책임자가 정보보안점검의 날을 지정

4. 가상자산 관련 장소 및 전산설비는 내부업무용과 분리 필요

5. 월렛과 관련된 공간은 일반 보호구역과 별도로 분리하여 관리

6. 월렛 관련 시스템/인원은 별도의 네트워크 존 구성

7. IDC 내 무선네트워크 운용 금지

8. 주요정보가 저장된 시스템 작업 시 책임자가 이중확인 필요

[숫자 정리]

정보보호 예산: IT 예산의 7% 이상

IT인력: 총 임직원의 5% 이상

정보보호 인력: IT인력의 5% 이상

정보보안의 날 점검결과 보고: 매 분기

가상자산의 핫 - 콜드 월렛의 보관 비율: 2:8

정보보호 및 개인정보보호 교육 시간:

- 임원: 3시간 이상 / CISO는 6시간 이상

- 일반직원: 6시간 이상

- 정보기술: 9시간 이상

- 정보보호: 12시간 이상

중요통제구역 관리현황 점검: 매 월

정보시스템 가동기록 보관: 1년 이상

이용자 중요원장에 직접 접근하여 작업: 5년 이상 작업 내용 보관

가상자산거래기록 보관: 5년 이상

취약점 점검: 

- 대외 서비스: 반기 1회 이상

- 내부 서비스: 연 1회 이상

일반 인증기준과 다르거나 추가된 부분을 따로 정리했다. (개인적으로 이해하기 쉽도록 임의대로 요약함)

1.1.5 정책 수립

• 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함
• 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한

1.1.6 자원 할당

• 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원 (아래 비율 권고)
  • 정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상
  • 정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상
  • 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상

1.2.1 정보자산 식별

• 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공
  • 주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등

1.2.3 위험 평가

• 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율에 대한 경영진의 승인 필요
• 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우의 위험식별 내용 필요
• 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험 식별 필요

1.2.4 보호대책 선정

• 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함

1.4.1 법적 요구사항 준수 검토

• 경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고

1.4.2 관리체계 점검

• 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고

2.1.1 정책의 유지관리

• 가상자산과 관련된 대내외 환경 변화 발생 시 영향 검토 및 필요 시 정책, 시행문서 제ㆍ개정
  • 중대한 변화 예시 :
    • 가상자산의 핫 - 콜드 월렛 보유액 비율 변경 (현재 2:8)
    • 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설

2.2.1 주요 직무자 지정 및 관리

• 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의

2.2.4 인식제고 및 교육훈련

• 정보보호 및 개인정보보호 연간 교육 계획을 수립하고 경영진의 승인 필요 (아래 유형 별 교육시간 준수)
  • 임원 : 3시간 이상 (단, 정보보호 최고책임자는 6시간 이상)
  • 일반직원 : 6시간 이상
  • 정보기술부문업무 담당 직원 : 9시간 이상
  • 정보보호업무 담당 직원 : 12시간 이상
• 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행 필요

2.3.3. 외부자 보안 이행 관리

• 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영

2.4.1 보호구역 지정

• 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리
• 월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련

2.4.2 출입통제

• 월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제
• 중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고

2.4.5 보호구역 내 작업

• 월렛룸 내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행

2.5.5 특수 계정 및 권한 관리

• 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별

2.6.1 네트워크 접근

• 가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근 제어
• 월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용

2.6.2 정보시스템 접근

• 월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리,추가인증,보안토큰 등) 대책 마련

2.6.4 데이터베이스 접근

• 가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별

2.6.5 무선 네트워크 접근

• IDC 내부에 무선통신망 설치 및 운용을 금지

2.6.6 원격접근 통제

• 월렛 관련 시스템의 접속은 예외 없이 외부 네트워크를 통한 원격 접근을 금지

2.6.7 인터넷 접속 통제

• 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성
• 전용장비 미 사용 시 전원 OFF 또는, 네트워크의 접속 차단(목적외 SW 설치 및 인터넷 사용 금지)

2.7.2 암호키 관리

• 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립ㆍ이행하고 있는가?
  • 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차
  • 개인키 passphrase 설정 및 관리 방안
  • 개인키의 안전한 보관(핫월렛, 콜드월렛)
  • 개인키 접근 및 사용 절차
  • 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책
  • 개인키 백업 및 소산
  • 개인키 관련 책임추적성 확보
  • 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니터링
  • 기타(키 분할, passhrase 분할, 멀티시그, H/W월렛 등)
• 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 보안이 강화된 안전장치 적용
  • 2인 이상의 MFA(Multi-Factor Authentication) 인증
  • 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용)
• 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리
• 핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관

2.8.1 보안 요구사항 정의

• 신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용

2.8.2 보안 요구사항 검토 및 시험

• 가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가?
  • 가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경
  • 정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행
  • 복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정

2.8.5 소스 프로그램 관리

• 월렛과 관련된 소스프로그램은 개발자 및 관리자 등에 대한 접근 권한을 구분하고 인가된 사용자만이 접근할 수 있도록 엄격하게 통제
• 중요도가 높은 소스 코드는(커스터마이징한 월렛, 키관리 소프트웨어, 거래 프로그램 등) 접근을 통제하기 위한 사용자 인증, 권한관리 절차를 수립ㆍ이행

2.9.1 변경 관리

• 장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립·운용
  • 변경 대상 및 방법 변경 권한자 지정
  • 변경 전후내용 자동기록 및 보존
  • 변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승인내용 등을 포함
  • 원장변경 의뢰내용 및 변경결과에 대해 그 적정성에 대해 제3자(감사자 등) 확인
• 안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음사항을 준수
  • 작업요청서에 의한 책임자 승인
  • 일괄작업의 최대한 자동화 및 오류 최소화
  • 일괄작업 오류 발생 시 책임자 확인 및 조치
  • 모든 일괄작업내용 기록관리
  • 일괄작업 수행자의 주요업무관련행위 책임자 모니터링

2.9.3 백업 및 복구관리

• 개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해ㆍ재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산
• 클라우드를 이용하여 서비스 하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고, 소산

2.9.4 로그 및 접속기록 관리

• 월렛에 대한 모든 접근 및 사용은 책임추적성을 확보할 수 있도록 관련 접속기록과 권한부여 및 삭제, 거래 발생 등의 행위이력 로그를 빠짐없이 기록 (개인키값 등 과도하게 불필요한 정보가 로그기록에 저장된 채로 방치되지 않도록 기록항목 검토)
• 정보시스템 가동기록을 1년 이상 유지
• 이용자 중요원장에 직접 접근하여 조회·수정·삭제·삽입한 경우 작업자 및 작업내용 등을 기록하여 5년간 보존

2.9.5 로그 및 접속기록 점검

• 전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행 시 책임자가 이중확인

2.10.4 전자거래 및 핀테크 보안

• 이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용
  • OTP, 인증서, 기기인증 등
• 가상자산거래기록의 보존(5년) 및 관리

2.10.6 업무용 단말기기 보안

• 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행

2.11.1 사고 예방 및 대응체계 구축

• 월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시 보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련

2.11.2 취약점 점검 및 조치

• 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
  • 대외서비스: 반기 1회 이상
  • 내부시스템: 연 1회 이상

2.11.3 이상행위 분석 및 모니터링

• 월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축
• 월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립ㆍ이행
  • 24시간 운영 되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요

인증제도 안내서보다 상세한 내용이 담겨있는 고시이다.

제2조(정의)

6. "인증심사"란 신청기관이 수립하여 운영하는 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원ㆍ인증기관 또는 심사기관(이하 "심사수행기관"이라 한다)이 서면심사 및 현장심사의 방법으로 확인하는 것을 말한다. 

7. "인증위원회"란 인터넷진흥원 또는 인증기관의 장이 인증심사 결과 등을 심의ㆍ의결하기 위해 설치ㆍ운영하는 기구로서 위원장과 위원으로 구성된다. 

8. "인증심사원"이란 인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자를 말한다. 

제9조(인증기관 및 심사기관의 재지정) 

① 인증기관 및 심사기관 지정의 유효기간은 3년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청을 할 수 있으며 제6조제2항 각 호의 서류를 과학기술정보통신부장관과 보호위원회에 제출하여야 한다. 이 경우 재지정의 신청에 대한 처리결과를 통지받을 때까지는 그 지정이 계속 유효한 것으로 본다. 

② 과학기술정보통신부장관과 보호위원회는 제1항에 따른 재지정 신청을 받은 때에는 별표 2 업무수행 요건ㆍ능력 심사에 관한 세부기준에 따른 적합 여부를 심사하여 신청을 받은 날부터 3개월 이내에 그 결과를 신청기관에 통지하고, 인증기관 또는 심사기관으로 지정되는 신청기관에 제7조제4항의 지정서를 발급하여야 한다. 

③ 인증기관 또는 심사기관이 재지정을 신청하지 않고 유효기간이 경과한 때에는 인증기관 또는 심사기관의 효력은 상실된다. 

제10조(공정성 및 독립성 확보)

인증기관 및 심사기관은 인증심사의 공정성 및 독립성 확보를 위해 다음 각 호의 행위가 발생되지 않도록 노력하여야 한다.  
1. 정보보호 및 개인정보보호 관리체계 구축과 관련된 컨설팅 업무를 수행하는 행위 
2. 정당한 사유 없이 인증절차, 인증기준 등의 일부를 생략하는 행위 
3. 조직의 이익 등을 위해 인증심사 결과에 영향을 주는 행위 
4. 그 밖에 인증심사의 공정성 및 독립성을 훼손할 수 있는 행위

제12조(인증심사원의 자격 요건 등) 

인증심사원은 심사원보, 심사원, 선임심사원으로 구분하며 등급별 자격 요건은 별표 3과 같다.

제13조(인증심사원 자격 신청)

- 박사학위, 기술사, 감리사만 2년 인정

- 정보보호와 개인정보보호 경력 각 1년 이상이 필수

- 학력 별 경력연수 요건

• 대졸: 6년
• 2년제졸: 6+2년
• 고졸: 6+4년

- 경력인정 요건

제15조(인증심사원 자격 유지 및 갱신) 

① 인증심사원의 자격 유효기간은 자격을 부여 받은 날부터 3년으로 한다. 

② 인증심사원은 자격유지를 위해 자격 유효기간 만료 전까지 인터넷진흥원이 인정하는 보수교육을 수료하여야 한다. 

③ 인터넷진흥원은 자격 유효기간 동안 1회 이상의 인증심사를 참여한 인증심사원에 대하여 제2항의 보수교육 시간 중 일부를 이수한 것으로 인정할 수 있다. 

• 보수교육: 총 42시간
• 필수교육: 7시간(반드시 참여 / 생략 X)
• 선택교육: 35시간(인증심사 1일 참여 시마다 선택교육 5시간 인정)

④ 인터넷진흥원은 인증정보를 제공하는 홈페이지에 제2항의 보수교육 운영에 관한 세부내용을 공지하여야 한다. 

⑤ 인터넷진흥원은 제2항의 요건을 충족한 인증심사원에 한하여 별지 제8호서식의 정보보호 및 개인정보보호 관리체계 인증심사원 자격 증명서를 갱신하여 발급하고 자격 유효기간을 3년간 연장한다. 

⑥ 다음 각 호의 어느 하나에 해당하면 인증심사원 자격의 유효기간을 연장 가능

1. 제29조제2항에 따른 인증위원회 위원으로 인정된 자 (이하 생략)

제16조(인증심사원 자격 취소) 

① 인터넷진흥원은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우 인증심사원의 자격을 취소할 수 있다. 
1. 거짓이나 부정한 방법으로 인증심사원 자격을 부여 받은 경우 
2. 제15조제2항에 따른 자격 유지 기준을 충족하지 못한 경우 
3. 인증심사원으로서 객관적이고 공정한 인증심사를 수행하지 않은 경우 
4. 인증심사 과정에서 취득한 정보 또는 서류를 관련 법령의 근거나 인증신청인의 동의 없이 누설 또는 유출하거나 업무목적 외에 이를 사용한 경우 
5. 인증신청인으로부터 금전, 금품, 향응, 이익 등을 부당하게 수수하거나 요구한 경우 

② 인터넷진흥원의 장은 제1항에 따른 자격 취소의 적합여부를 심의ㆍ의결하기 위하여 자격심의위원회를 개최하여야 하며, 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여 구성한다. 

③ 제1항에 따른 자격 취소에 대하여 인증심사원은 30일 이내에 이의신청을 할 수 있다. 이 경우 인터넷진흥원은 해당 인증심사원의 자격을 제2항의 절차에 따라 재심의하여 처리결과를 통지하여야 한다. 

이후의 내용은 ISMS-P 인증 안내서와 중복되므로 생략

ISMS-P 인증제도 안내서를 정리해봤다. 인증심사원 자격을 취득하기 위해 반드시 잘 알아둬야 하는 내용이다.

1. ISMS-P 인증제도 개요

* 법적 근거

- ISMS-P는 정보통신망법(과기정통부)과 개인정보 보호법(개보위)의 법령에 따른 고시이다. 

- ISMS-P는 과기정통부와 개보위가 공동으로 개정 및 시행한다.

* 유형

- ISMS 예비인증

>> 신규 가상자산사업자만을 대상으로 한다.

>> 예비인증 취득일로부터 3개월 이내에 금융정보분석원장에게 신고해야 한다. (근거: 특정금융정보법 제7조)

>> 신고가 수리된 날부터 6개월 이내에 본인증을 취득해야 한다.

- ISMS-P 간편인증

간편인증 특례 기준에 부합하는 자는 완화된 기준과 절차로 ISMS 또는 ISMS-P를 취득할 수 있다.

- ISMS 인증심사 종류

* 담당 기관

1. 정책기관 (과기정통부, 개보위)

- 인증 협의회

- 법제도 개선, 정책 결정, 인증기관 및 심사기관 지정

2. 인증기관(KISA, 금융보안원)

- KISA는 인증심사원 양성 및 자격관리, 인증제도 및 기준 개선 등을 수행

- 인증 위원회를 통해 인증서를 발급 (35명 이하의 위원으로 구성 + 인증 적합여부, 인증 취소, 이의신청 심의/의결)

3. 심사기관

- KISA에 심사원 모집을 요청하여 심사팀 구성

- 심사 진행, 결함 보완조치 이행 여부 확인

2. ISMS-P 인증대상 및 범위

* ISMS 의무 대상

> ISMS-P는 의무 대상이 없으므로, 모든 ISMS-P 인증은 선택 사항이다. (임의 신청)

> 아래는 ISMS 의무 대상이다. (유형은 임의로 나눈 것이므로 크게 의미 없음)

> 의무 대상 여부는 스스로 확인해야 하며, 인증을 미 취득한 의무 대상자는 과태료 부과 대상이 될 수 있다. (3천만원 이하)

* ISMS-P 생략

> 의무 대상 중 아래 요건을 충족하는 경우 ISMS 인증심사 일부 또는 전부를 생략할 수 있다.

> ISMS-P 인증심사 시에는 생략할 수 없다.

> ISMS 인증심사 일부 생략 후 인증 부여 시, 생략 사실을 인증서에 표기해야 한다.

> 인증범위 내의 수탁사가 ISMS 또는 ISMS-P 인증 보유 시, 해당 범위에 대한 현장심사 생략 가능

* ISMS-P 인증범위

- ISMS 인증범위

> 정보통신서비스와 관련된 정보시스템, 장소, 조직 및 인력을 모두 포함

> 인증 의무 대상자: 신청기관의 정보통신서비스를 모두 포함해야 함

>> 직접적인 운영 및 관리를 위한 백오피스 시스템 포함

>> 서비스의 핵심정보자산에 접근 가능한 자산 포함

>> 의무 인증범위 내 보안시스템 포함

>> ERP, DW, 그룹웨어 등 내부 시스템과 영업/마케팅 조직은 불포함

>> 영리 목적이 아니더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하면서 외부에 공개되어 있는 서비스 포함(채용 사이트, 공익 사이트, 임직원 복지몰 등) 

- ISMS 인증범위 예시

- ISMS-P 인증범위 (= ISMS 인증범위 + 개인정보 생명주기 관련 범위)

> 자율적으로 인증대상 서비스를 지정

> 인증대상 서비스 내 개인정보 생명주기와 관련된 업무/정보시스템과 관련있는 조직, 인력, 물리적 장소, 수탁자 등이 포함되어야 함

> 개인정보처리시스템은 인증범위에 포함(DW, CRM, 데이터 분석시스템 등)

> 인증범위 내 개인정보의 처리 없이 내부업무 처리가 주목적인 정보시스템은 인증범위에서 제외 가능 (그룹웨어, ERP 등)

- ISMS-P 인증범위 예시

3. ISMS-P 인증심사 절차

- 인증 의무대상자는 다음 해 8월 31일까지 인증을 취득해야 함

* 인증 준비 단계

- 인증심사 신청 및 접수

> (개인)정보보호 관리체계를 최소 2개월 이상 운영한 증거자료를 준비해야 함

> 희망 심사일 기준 최소 8주 전에 신청해야 함

- 심사 준비상태 점검(예비점검)

> 심사팀장이 인증범위 적정성, 조직 현황, 물리적 현황, 운영 현황 확인

> 심사일정을 확정함

- 인증심사 계약 및 수수료 납부

> 인증범위 내 정보통신 설비 수, 인원 수, 개인정보 수탁사 수, 개인정보 처리 서비스 수를 기준으로 비용 산정

> 인증심사 비용 = 직접 인건비 + 제경비 + 기술료 + 직접 경비

>> 수수료 할인

>>정보보호 공시 의무대상

1. ISP
2. IDC
3. 상급종합병원
4. CSP
5. 매출 3000억 원 이상의 상장법인
6. 정보통신서비스 일일 평균 이용자수 100만명 이상

* ISMS-P 인증 심사단계

- 서면심사

> 관리적 요소 심사

> 관리체계 구축/운영 관련 정책, 지침, 절차 및 이행 증거자료 검토

> 정보보호 대책 및 개인정보 처리단계 별 요구사항 적용 여부 확인 (증적자료 확인)

- 현장심사

> 기술적 요소 심사

> 기술적/물리적 보호대책 이행여부 확인을 위한 담당자 면담, 시스템 확인, 취약점 점검

- 결함보고서 검토

> 결함 사항: 인증기준을 충족하지 못하나 중대한 영향을 미치지 않는 사항

> 중결함 사항: 인증기준을 충족하지 못하며 중대한 영향을 미치는 사항

>> 중결함 확인 시 인증심사 중단할 수 있음

- 인증심사 종료

> 결함 사항에 대한 보완조치 요청

> 40일 이내 보완조치 완료해야 함 (공문 통해 최대 60일 연장 가능) = 최대 100일 이내 이행점검까지 완료되어야 함

> 100일 이내 보완조치 미 완료 시 인증 취소 (최초심사는 심사 무효처리)

* ISMS-P 인증 단계

- 인증위원회 심의/의결

> 최초심사 또는 갱신심사 시 보완조치가 완료된 신청기관에 대해 결과보고서를 인증위원회로 상정

> 인증기준에 적합한 경우 인증서 발급

> 부적합 통보를 받은 신청기관은 15일 이내 이의신청 가능

> 심사수행기관은 인증위원회 종료 다음날부터 30일 이내 신청기관에 추가 보완조치 요구 가능

* 사후관리 단계

- 사후심사

> 인증위원회 미 개최

> 매년 1회 이상 시행해야 함 (미 시행 시 인증 취소 가능)

- 갱신심사

> 유효기간 연장을 위한 심사(중요 변경 발생 시 최초심사를 진행해야 함)
> 인증서 발급 시 연장되는 인증 유효기간은 3년이며, 인증위원회 의결 필요