Day 29: 국가정보보안 기본지침
1. 국가정보보안 기본지침의 개요
1.1 국가정보보안 기본지침이란?
정식 명칭 : 국가정보보안 기본지침
성격 : 국가정보원장 훈령
제정 : 2021년 1월 5일 (전면 개정)
이전 명칭 :
- 국가사이버안전관리규정 (2015년)
- 국가정보보안관리규정 (그 이전)
1.2 법적 근거
국가정보화 기본법 제3조 (국가의 책무)
“국가는 정보통신망의 안전성·신뢰성 확보를 위한 시책을 마련하여야 한다”
전자정부법 제48조 (행정기관등의 정보보호 대책 마련)
“행정기관등의 장은 소관 정보시스템 및 이를 통하여 처리·보유하고 있는 정보의 안전성·신뢰성 확보를 위하여 필요한 보안대책을 수립·시행하여야 한다”
1.3 목적
- 1. 국가 정보 자산 보호
- 2. 국가 안보 및 공공 안전 확보
- 3. 공공기관 정보보호 체계 표준화
- 4. 사이버 위협 대응 능력 강화
1.4 적용 대상
공공기관
- 중앙행정기관 (부처)
- 지방자치단체
- 공공기관 (공기업, 준정부기관)
- 국·공립 대학
- 지방공사·공단
국가기밀 취급 민간기업
- 방산업체
- 국가 연구개발 수행 기업
특징 : 민간기업은 원칙적으로 적용 대상 아님 (국가기밀 취급 시 해당 부분만 적용)
1.5 2021년 전면 개정 배경
사이버 위협 환경 변화
- 북한 등 국가 배후 해킹 증가
- 랜섬웨어 등 신종 위협
- 공급망 공격
재택근무 확산
- COVID-19로 원격근무 증가
- 기존 망분리 중심 정책의 한계
클라우드 전환
- 공공기관 클라우드 도입 확대
- 클라우드 보안 기준 필요
제로 트러스트
- 새로운 보안 패러다임 도입
2. 전체 구조
2.1 7개 장
[제1장 총칙]
- 목적, 정의, 적용범위
[제2장 국가정보보안 관리체계]
- 국가사이버안전센터
- 정보보호책임관
- 보안관리위원회
[제3장 국가정보보안 대책]
- 보안등급 분류
- 보안구역 설정
- 인원 보안
- 문서 보안
- 시설 보안
- 정보시스템 보안
- 암호 이용
[제4장 사이버 위협 대응]
- 침해사고 예방 및 대응
- 보안관제
- 정보 공유
[제5장 평가 및 점검]
- 자체평가
- 외부평가
[제6장 교육 및 훈련]
[제7장 보칙]
3. 제2장: 국가정보보안 관리체계
3.1 국가사이버안전센터
설치 : 국가정보원 내 국가사이버안전센터 설치
역할 :
- 1. 국가 사이버 안전 정책 총괄
- 2. 사이버 위협 대응
- 3. 공공기관 보안 지원
- 4. 정보 공유 및 경보
권한 :
- 공공기관 보안 점검
- 보안 취약점 통보
- 침해사고 조사 지원
3.2 정보보호책임관 (CISO)
지정 의무
중앙행정기관, 지방자치단체, 공공기관 : 정보보호책임관 지정 의무
자격
[중앙행정기관]
- 고위공무원단 또는 이에 상당하는 직위
[지방자치단체, 공공기관]
- 임원급 또는 이에 준하는 직위
역할
- 1. 정보보호 정책 수립
- 2. 정보보호 예산 확보
- 3. 정보보호 조직 운영
- 4. 침해사고 대응 총괄
- 5. 정보보호 점검 및 개선
3.3 보안관리위원회
구성 :
- 위원장: 기관장 또는 부기관장
- 위원: 정보보호책임관, 주요 부서장
역할 :
- 1. 정보보호 정책 심의
- 2. 중요 보안 사안 의결
- 3. 보안 예산 심의
운영 : 분기 1회 이상 개최
4. 제3장: 국가정보보안 대책
4.1 보안등급 분류
4등급 체계
Ⅰ급 비밀 (최상급)
누설 시 대한민국 또는 우방의 국가안전보장에 막대한 지장 초래
[예시]
- 국방 핵심 기밀
- 외교 최고 기밀
- 국가 정보 활동
Ⅱ급 비밀
누설 시 국가안전보장에 상당한 지장 초래
[예시]
- 군사 작전 계획
- 주요 외교 문서
Ⅲ급 비밀
누설 시 국가안전보장에 지장 초래
[예시]
- 일반 군사 정보
- 일반 외교 정보
대외비
공개 시 업무 수행에 지장 초래
[예시]
- 정책 검토 문서
- 인사 정보
- 예산 내역
보안등급 표시
[등급 표시 방법]
- Ⅰ급비밀 / Ⅱ급비밀 / Ⅲ급비밀 / 대외비
- **문서 상단에 표시**
4.2 보안구역 설정
3등급 체계
- **제한지역**: Ⅰ급 비밀 취급 구역
- **통제지역**: Ⅱ급 비밀 취급 구역
- **제한구역**: Ⅲ급 비밀 또는 대외비 취급 구역
보안구역 관리
[출입통제]
- 출입증 확인
- 출입자 명부 작성
- CCTV 설치
[표지판]
- 보안구역 표시
- 출입 제한 안내
4.3 인원 보안
보안심사
대상 :
- 국가기밀 취급 직원
- 보안구역 근무 직원
심사 내용 :
- 신원 조사
- 범죄 경력
- 외국과의 관계
등급 :
- 1급 심사: Ⅰ급 비밀 취급자
- 2급 심사: Ⅱ급 비밀 취급자
- 3급 심사: Ⅲ급 비밀 취급자
보안서약
국가기밀 취급자는 보안서약서 작성
[서약 내용]
- 기밀 누설 금지
- 퇴직 후에도 준수
- 위반 시 처벌 감수
보안교육
[정기 교육]
- **연 2회 이상** (상반기, 하반기)
[신규 교육]
- 채용 시 즉시
[교육 내용]
- 보안 규정
- 기밀 관리
- 사이버 보안
- 사례 연구
4.4 문서 보안
비밀 문서 작성
[표시]
- 보안등급 표시 (상단)
- 일련번호
- 작성자, 작성일
[페이지]
- 각 페이지에 보안등급 표시
비밀 문서 보관
- Ⅰ·Ⅱ급 비밀: 금고 또는 보안 캐비닛 (3중 잠금장치) + 경보장치
- Ⅲ급 비밀: 보안 캐비닛 (2중 잠금장치)
- 대외비: 잠금장치가 있는 캐비닛
비밀 문서 열람
[열람 권한]
- 보안심사를 받은 자
- 업무상 알 필요가 있는 자
[열람 기록]
- 열람자, 일시 기록
비밀 문서 전송
[허용 방법]
- 비밀취급 인가자 전달
- 등기우편 (봉인)
- 전자문서 (암호화)
[금지 방법]
- 일반 우편
- 팩스
- 일반 이메일
비밀 문서 파기
[방법]
- 파쇄 (복원 불가능)
- 소각
[기록]
- 파기 대장 작성
4.5 시설 보안
물리적 경계
- 벽, 철조망 등 물리적 경계
- 출입구 통제
출입통제
[제한지역 - Ⅰ급]
- 생체인증 + 출입증
- 2인 이상 동행
[통제지역 - Ⅱ급]
- 생체인증 또는 출입증
[제한구역 - Ⅲ급]
- 출입증
CCTV
- 설치: 보안구역 출입구, 주요 통로
- 녹화: 24시간 녹화, 보관 (최소 30일)
외부인 통제
- 방문 신청: 사전 승인
- 출입: 담당자 동행 필수, 방문증 패용
- 기록: 방문자 명부
4.6 정보시스템 보안
접근통제
[사용자 계정]
- 개인별 고유 ID
- 공용 계정 금지
[인증]
- ID + 비밀번호
- 관리자: 2차 인증 (OTP 등)
[비밀번호 정책]
- 10자 이상
- 영문, 숫자, 특수문자 조합
- **90일마다 변경** (공공기관)
[권한 관리]
- 최소 권한
- 분기 1회 검토
- 퇴직자: 당일 계정 삭제
네트워크 보안
망분리 : 업무망과 인터넷망 분리 의무
[방식]
- 물리적 망분리 (PC 2대)
- 논리적 망분리 (가상화)
[예외]
- 업무상 필요 시 망연계 솔루션 사용
- 자료 전송 시 악성코드 검사
[방화벽]
- 네트워크 경계 설치
- 최소 허용 원칙 (Deny All)
- 정책 정기 검토 (분기 1회)
[IDS/IPS]
- 침입 탐지 및 차단
- 실시간 모니터링
암호화
[암호화 대상]
- Ⅰ·Ⅱ·Ⅲ급 비밀
- 대외비 (중요한 것)
- 개인정보
[알고리즘 - 국가정보원 검증 암호]
- SEED
- ARIA
- LEA
- HIGHT
[알고리즘 - 국제 표준]
- AES
[키 관리]
- 암호키 별도 보관
- 접근 통제
- 정기 변경
로그 관리
[기록 대상]
- 로그인/로그아웃
- 중요 파일 접근
- 시스템 설정 변경
- 권한 변경
[보관 기간]
- **최소 2년**
[점검]
- 월 1회 이상
백업
[정기 백업]
- 중요 시스템: 일일
- 일반 시스템: 주간
[보관]
- 별도 장소 (재해 대비)
- 암호화 상태
[복구 테스트]
- 분기 1회
보안 패치
- 중요 패치: 발표 후 **1개월 이내** 적용
- 정기 패치: 월 1회
악성코드 방지
- 백신: 모든 PC·서버 설치, 실시간 검사, 자동 업데이트
- 정기 검사: **주 1회** 전체 검사
보조저장매체 통제
[허용]
- **보안 USB**만 사용
- 일반 USB 차단
[암호화]
- 저장 데이터 암호화
[반출입 관리]
- 승인 절차
- 반출입 대장
이동형 저장매체 (노트북, 태블릿 등)
- 디스크 전체 암호화
- 분실 대비: 원격 삭제 기능
- 반출입 승인
4.7 암호 이용
국가정보원 검증 암호
검증 제도 : 국가정보원이 암호 알고리즘 및 모듈 검증
검증 대상 :
- 암호 알고리즘
- 암호 모듈 (제품)
검증 암호 사용 의무 : 공공기관은 검증받은 암호 사용 권장
주요 검증 암호 알고리즘
[블록 암호]
- SEED (128비트)
- ARIA (128, 192, 256비트)
- LEA (128, 192, 256비트)
- HIGHT (64비트, 경량)
[해시]
- HAS-160
- LSH (256, 512비트)
[공개키]
- KCDSA (서명)
- EC-KCDSA (타원곡선 서명)
5. 제4장: 사이버 위협 대응
5.1 침해사고 예방
취약점 점검
[자체 점검]
- **분기 1회 이상**
[외부 점검]
- **연 1회 이상**
- 전문기관 수행
[점검 대상]
- 서버
- 네트워크 장비
- 보안 장비
- 웹 애플리케이션
[조치]
- 발견된 취약점 즉시 조치
모의해킹
- 주기: **연 1회 이상**
- 대상: 인터넷 연결 시스템, 주요 시스템
- 수행: 외부 전문기관
5.2 침해사고 대응
침해사고 대응 체계
대응팀 구성 : 침해사고대응팀 (CERT) 구성, 정보보호책임관 총괄
대응 절차 :
- 1. 탐지 및 보고
- 2. 분석 및 평가
- 3. 대응 조치 (격리, 차단)
- 4. 복구
- 5. 사후 조치 (원인 분석, 재발 방지)
침해사고 신고
국가사이버안전센터 신고 : 중대 침해사고 발생 시 즉시 신고
[신고 대상]
- 국가기밀 유출
- 주요 정보 유출
- 시스템 마비
- 대규모 개인정보 유출
모의 훈련
- 주기: **연 1회 이상**
- 내용: 시나리오 기반, 전 직원 참여
5.3 보안관제
24시간 보안관제
[대상 기관]
- 중앙행정기관
- 주요 공공기관
[관제 대상]
- 침입탐지시스템
- 방화벽
- 서버
- 네트워크
[조치]
- 실시간 이상 징후 탐지
- 즉시 대응
외부 위탁 가능 : 자체 관제 어려운 기관은 전문기관 위탁
5.4 정보 공유
보안 위협 정보 공유
[국가사이버안전센터]
- 위협 정보 수집·분석
- 공공기관에 전파
[공공기관]
- 침해사고 정보 공유
- 대응 방법 공유
C-TAS (사이버 위협 분석 공유 시스템)
운영 : 국가정보원
기능 :
- 악성코드 분석
- 침해지표 (IoC) 공유
- 실시간 위협 정보
6. 제5장: 평가 및 점검
6.1 자체평가
- 주기: **연 1회**
- 내용: 정보보안 대책 이행 점검, 자체 체크리스트
- 결과: 기관장 보고 → 개선 조치
6.2 외부평가
- 주기: **격년 (2년마다)**
- 수행: 국가정보원, 전문평가기관
- 내용: 정보보안 대책 이행 점검, 취약점 점검, 모의해킹
- 결과: 등급 부여, 미흡 사항 개선 명령
- 공개: 평가 결과 일부 공개
7. 제6장: 교육 및 훈련
7.1 정보보호 교육
정기 교육
- 주기: **연 2회 이상** (상반기, 하반기)
- 대상: 전 직원
[교육 내용]
- 정보보호 정책
- 기밀 관리
- 개인정보 보호
- 사이버 위협 (피싱 등)
[교육 방법]
- 집합 교육
- 온라인 교육
신규 교육
- 주기: 채용 즉시
- 내용: 기관 정보보호 정책, 보안 규정
전문 교육
- 대상: 정보보호 담당자
- 내용: 정보보호 전문 지식, 침해사고 대응, 최신 보안 기술
7.2 침해사고 대응 훈련
- 주기: **연 1회 이상**
- 내용: 시나리오 기반, 실전 훈련
- 참여: 침해사고대응팀, 유관 부서
8. 망분리 vs 망연계 vs 가상망분리
8.1 물리적 망분리
개념 : 업무망과 인터넷망을 물리적으로 완전 분리
[방법]
- PC 2대 사용
- 업무용 PC: 내부망만 / 인터넷용 PC: 인터넷만
[장점]
- 보안 수준 최고
- 악성코드 침투 차단
[단점]
- 비용 증가 (PC 2대)
- 공간 필요
- 불편함
8.2 논리적 망분리 (가상망분리)
개념 : 1대 PC에서 가상화 기술로 2개 망 분리
[방법]
- VDI (Virtual Desktop Infrastructure)
- 가상머신
[장점]
- 비용 절감 (PC 1대)
- 공간 절약
- 사용 편의성
[단점]
- 물리적 분리 대비 보안 수준 낮음
- 가상화 취약점 존재
2021년 개정 : 가상망분리 공식 허용 (단, 보안 요구사항 충족 시)
8.3 망연계
개념 : 분리된 망 간 제한적 자료 전송
[방법]
- 망연계 솔루션
- 보안 USB
[절차]
- 1. 자료 전송 신청
- 2. 승인
- 3. **악성코드 검사**
- 4. 전송
- 5. 로그 기록
[통제]
- 파일 형식 제한
- 크기 제한
- 전송 기록
9. 공공기관 vs 민간기업 보안
9.1 주요 차이점
| 구분 | 공공기관 | 민간기업 |
|---|---|---|
| 적용 법규 | 국가정보보안 기본지침 | 개인정보보호법, 정보통신망법 |
| 망분리 | 의무 | 권장 (금융권 일부 의무) |
| CISO | 의무 | 일부 의무 (정보통신망법) |
| 비밀번호 변경 | 90일 | 의무 삭제 (2023년) |
| 보안 등급 | Ⅰ·Ⅱ·Ⅲ급, 대외비 | 기밀, 대외비 (자체 기준) |
| 외부 평가 | 2년마다 (국정원) | 임의 |
| 보안 USB | 필수 | 권장 |
9.2 공공기관이 더 엄격한 이유
[국가 안보]
- 국가기밀 취급
- 사이버 공격 대상
[공공성]
- 국민 정보 보호
- 행정 서비스 연속성
[모범 사례]
- 민간 부문 롤모델
10. 실무 적용
10.1 공공기관 정보보호 구축
[1단계 - 조직 (1개월)]
- 정보보호책임관 지정
- 정보보호 전담 조직 구성
- 보안관리위원회 구성
[2단계 - 정책 (1개월)]
- 정보보호 정책 수립
- 내부 규정 제·개정
[3단계 - 인원 보안 (진행 중)]
- 보안심사
- 보안서약
- 교육 (연 2회)
[4단계 - 시설 보안 (2~3개월)]
- 보안구역 설정
- 출입통제 시스템 구축
- CCTV 설치
[5단계 - 정보시스템 보안 (3~6개월)]
- 망분리 (물리적 또는 가상)
- 방화벽, IDS/IPS
- 접근통제 시스템
- 암호화
- 로그 관리
- 백신
[6단계 - 운영 (계속)]
- 취약점 점검 (분기 1회)
- 모의해킹 (연 1회)
- 보안 패치
- 로그 점검 (월 1회)
[7단계 - 평가 (연 1회 / 2년 1회)]
- 자체평가 (연 1회)
- 외부평가 (2년 1회)
10.2 공공기관 보안 컨설팅
[Phase 1 - 현황 진단 (1개월)]
- 국가정보보안 기본지침 갭 분석
- 미흡 사항 도출
[Phase 2 - 개선 계획 수립 (1개월)]
- 우선순위 결정
- 로드맵 수립
- 예산 산정
[Phase 3 - 구축 지원 (3~6개월)]
- 조직 구성 지원
- 정책 수립 지원
- 기술적 통제 구현
- 교육
[Phase 4 - 평가 대비 (1~2개월)]
- 자체평가 지원
- 외부평가 대비
- 증적 준비
11. 체크리스트
관리체계
- [ ] 정보보호책임관을 지정했는가?
- [ ] 정보보호 전담 조직이 있는가?
- [ ] 보안관리위원회를 분기 1회 운영하는가?
보안등급 및 구역
- [ ] 보안등급을 분류했는가?
- [ ] 보안구역을 설정했는가?
- [ ] 보안구역 출입을 통제하는가?
인원 보안
- [ ] 국가기밀 취급자는 보안심사를 받았는가?
- [ ] 보안서약서를 징구했는가?
- [ ] 보안교육을 연 2회 실시하는가?
문서 보안
- [ ] 비밀 문서를 금고/캐비닛에 보관하는가?
- [ ] 비밀 문서 열람을 기록하는가?
- [ ] 비밀 문서를 안전하게 파기하는가?
시설 보안
- [ ] 보안구역에 CCTV를 설치했는가?
- [ ] 외부인 방문을 관리하는가?
정보시스템 보안 - 접근통제
- [ ] 개인별 고유 ID를 부여하는가?
- [ ] 비밀번호를 90일마다 변경하는가?
- [ ] 관리자 계정에 2차 인증을 사용하는가?
- [ ] 분기 1회 권한을 검토하는가?
- [ ] 퇴직자 계정을 당일 삭제하는가?
정보시스템 보안 - 네트워크
- [ ] 망분리를 구현했는가? (물리적 또는 논리적)
- [ ] 방화벽을 설치했는가?
- [ ] IDS/IPS를 설치했는가?
정보시스템 보안 - 암호화
- [ ] 비밀 정보를 암호화하는가?
- [ ] 검증된 암호 알고리즘을 사용하는가?
- [ ] 암호키를 안전하게 관리하는가?
정보시스템 보안 - 로그
- [ ] 로그를 2년 보관하는가?
- [ ] 월 1회 로그를 점검하는가?
정보시스템 보안 - 백업
- [ ] 정기적으로 백업하는가?
- [ ] 백업본을 별도 장소에 보관하는가?
- [ ] 분기 1회 복구 테스트를 하는가?
정보시스템 보안 - 패치 및 백신
- [ ] 중요 패치를 1개월 내 적용하는가?
- [ ] 백신을 설치했는가?
- [ ] 주 1회 전체 검사를 하는가?
정보시스템 보안 - 보조저장매체
- [ ] 보안 USB만 사용하는가?
- [ ] 반출입을 관리하는가?
사이버 위협 대응
- [ ] 침해사고대응팀을 구성했는가?
- [ ] 분기 1회 취약점 점검을 하는가?
- [ ] 연 1회 모의해킹을 하는가?
- [ ] 24시간 보안관제를 수행하는가?
- [ ] 연 1회 침해사고 대응 훈련을 하는가?
평가 및 교육
- [ ] 연 1회 자체평가를 하는가?
- [ ] 연 2회 보안교육을 실시하는가?
학습 정리
오늘 학습한 핵심 내용 :
- 국가정보보안 기본지침은 공공기관 정보보호 기본 규정 (국정원장 훈령)
- 2021년 전면 개정 (클라우드, 제로 트러스트, 원격근무 반영)
- 적용 대상: 공공기관 (민간기업은 국가기밀 취급 시만)
- 정보보호책임관 지정 의무
- 보안등급: Ⅰ·Ⅱ·Ⅲ급 비밀, 대외비
- 보안구역: 제한지역, 통제지역, 제한구역
- 망분리 의무 (물리적 또는 가상)
- 검증 암호 사용 권장 (SEED, ARIA, LEA 등)
- 취약점 점검 분기 1회, 모의해킹 연 1회
- 24시간 보안관제
- 자체평가 연 1회, 외부평가 2년 1회
- 보안교육 연 2회
- 비밀번호 90일 변경 (공공기관)
- 공공기관이 민간기업보다 엄격한 보안 규정
다음 학습 주제
Day 30: ISMS-P (정보보호 및 개인정보보호 관리체계 인증)