ISMS-P 인증기준, 무선 네트워크 접근

 

ISMS-P 인증 

2.6 접근통제

2.6.1 네트워크 접근

2.6.2 정보시스템 접근

2.6.3 응용프로그램 접근

2.6.4 데이터베이스 접근

2.6.5 무선 네트워크 접근

2.6.6 원격접근 통제

2.6.7 인터넷 접속 통제

 

ISMS-P 간편인증(7의2)

2.5 접근통제

2.5.1 네트워크 접근

2.5.2 정보시스템 접근

2.5.3 원격접근 통제

2.5.4 인터넷 접속 통제

 

ISMS-P 간편인증(7의3) 

2.6 접근통제

2.6.1 네트워크 접근

2.6.2 정보시스템 접근

2.6.3 원격접근 통제

2.6.4 인터넷 접속 통제

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.

 

주요확인사항

* 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립·이행하고 있는가?
* 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하고 있는가?
* AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호대책을 수립·이행하고 있는가?

 

관련법규

개인정보 보호법 제29조(안전조치의무)
개인정보의 안전성 확보조치 기준 제6조(접근통제)

 

세부 설명

1. 업무용 무선 네트워크 보호대책 수립·이행
무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 다음의 사항을 고려하여 보호대책을 수립·이행하여야 한다.

* 무선네트워크 장비(AP 등) 목록 관리
* 사용자 인증 및 정보 송수신 시 암호화 기능 설정(WPA2-Enterprise mode, WPA3-Enterprise mode 등)
* 무선 AP 접속 단말 인증 방안(MAC 인증 등)
* SSID 숨김 기능 설정
* 무선네트워크에 대한 ACL 설정
* 무선 AP의 관리자 접근 통제(IP제한) 등

2. 무선 네트워크 사용 인가 관리
인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하여야 한다.

* 무선네트워크 사용권한 신청 및 승인 절차(사용자 및 접속단말 등록 등)
* 퇴직, 기간 만료 등의 사유로 무선네트워크 사용이 필요하지 않은 경우 접근권한 해지 절차
* 외부인에게 제공하는 무선네트워크는 임직원이 사용하는 무선네트워크와 분리 등

3. Ad-hoc 등 비인가 네트워크 차단
AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호대책을 수립·이행하여야 한다.

* WIPS(무선침입방지시스템) 설치·운영, 주기적으로 비인가 AP(Rogue AP) 설치 여부 점검 등

증거자료

* 네트워크 구성도
* AP 보안 설정 내역
* 비인가 무선 네트워크 점검 이력
* 무선네트워크 사용 신청·승인 이력

결함사례

* 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우
* 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나, 안전하지 않은 방식으로 설정한 경우
* 업무 목적으로 내부망에 연결된 무선AP에 대하여 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB