제1장 총칙

제1조(목적)

이 지침은 ㈜OOO의 『정보보호정책서』에 의거 침해사고에 대한 관리에 필요한 사항을 규정함을 목적으로 한다.

제2조(적용범위)

이 지침은 ㈜OOO의 클라우드 컴퓨팅 서비스 업무에 종사하는 임직원 및 ㈜OOO와 계약을 맺어 클라우드 컴퓨팅 서비스 업무 외부업체 직원 모두에게 적용된다.

제3조(용어정의)

이 지침에서 사용하는 용어의 정의는 다음과 같다.

1. “침해사고”라 함은 보안정책에 위배되는 모든 사고를 말하며 보안 침해사고, 소프트웨어 이상 및 오류, 악성코드 등으로 인한 정보자산의 손상 등을 포함한다.

2. “악성코드”이라 함은 컴퓨터 바이러스와 달리 다른 파일을 감염시키지는 않지만, 악의적인 용도로 사용될 수 있는 유해 프로그램을 말한다..

3. “백도어”라 함은 시스템의 정상적인 보호 수단을 우회할 수 있는 숨겨진 메커니즘을 의미 한다.

제2장 침해사고의 유형 및 등급

제4조(침해사고의 유형)

① 서비스의 중단

1. 회사의 자산에 대한 물리적인 손상이 발생하여 서비스가 중단되는 경우

2. 서비스거부공격(DoS), 바이러스 등으로 인한 자산의 일부 또는 전체의 서비스가 중단되는 경우

② 고객정보 또는 회사 기밀정보의 누출

1. 회사의 정보자산에 접근 가능한 내부인 또는 외부인에 의한 대량 정보의 유출

2. 고객정보 또는 회사 기밀정보를 보유한 시스템의 해킹으로 인한 정보의 유출

3. 중요장비 또는 정보 저장 매체(디스크, CD, 자기 테이프 등)의 도난으로 인한 정보의 유출

4. 협력업체를 통한 정보의 유출

5. 도청, 감청, 또는 네트워크 스니핑(Sniffing)에 의한 정보의 유출

③ 회사가 제공하는 서비스나 정보 등을 이용하여 회사 이미지를 실추

1. 회사 홈페이지에 대한 해킹으로 인한 경우

2. 회사에서 제공하는 서비스에 대한 해킹으로 인한 경우

제5조(침해사고 등급 구분)

① 침해사고가 발생한 경우, 위험등급에 따른 피해상황 및 업무영향에 따라 적절한 의사결정을 통하여 신속하고 피해를 최소화할 수 있도록 대응을 취해야 한다.

구분	피해상황	업무영향	보고체계
1 등급	해킹, 바이러스, 논리폭탄, 서비스거부 및 전자기파 등의 공격으로 50% 이상의 시스템 가동불가	전산부문 업무의 수행불가	- 경영진 - 정보보호 최고책임자
2 등급	해킹, 바이러스, 논리폭탄, 서비스거부 및 전자기파 등의 공격으로 30% 이상의 시스템 가동불가	업무의 치명적 영향	- 정보보호 최고책임자
3 등급	해킹, 바이러스, 논리폭탄, 서비스거부 및 전자기파 등의 공격으로 10% 이상의 시스템 가동불가	업무의 제한적 영향	- 정보보호 최고책임자

제3장 침해사고 대응 절차 및 체계

제6조(침해사고 예방)

① 정보보호 담당자는 필요 시 한국인터넷진흥원(KISA)과 협의하여 현장방문 또는 원격 측정을 통하여 사이버안전대책 이행여부와 정보통신망의 안정성 여부를 확인한다.

② 정보보호 최고책임자는 보안관제시스템 또는 오프라인 등을 통해 사이버 위협 정보를 인지한 경우에는 초동조치 후 관련기관에게 신속히 통지한다.

③ 정보보호 담당자는 보안정보, 보안권고문, 또는 취약점 분석정보를 수시로 수집하여 보안 업데이트 및 대응조치를 수행하고 직원들에게 배포한다.

④ 비인가된 활동으로 인한 보안차단시스템의 경보 및 주요 시스템이나 파일에 대한 비인가된 변경 등을 정보보호 담당자가 지속적으로 모니터링해야 한다.

⑤ 사용하지 않는 계정은 없는지 최소 반기 1회 점검하고 계정 담당자만이 신규 계정의 발급, 취소 등을 관리할 수 있도록 한다.

⑥ 외부 망으로부터의 접근은 공개서버로만 라우팅 될 수 있도록 외부 망과 연결된 라우터를 설정하고, 공개서버 시스템에는 적절한 보안도구를 설치하여 외부에서 공개서비스 이외의 접근을 통제하도록 한다.

⑦ 외부 망으로부터의 불법 접근을 차단하고, 원격지 시스템 점검 및 스캔 도구를 사용하여 내부 네트워크가 취약성이 있는지를 체크하고 보완조치를 취한다.

⑧ 시스템이 생성하는 각종 로그 기록을 수시로 분석하여 이상 유무를 점검하도록 한다.

⑨ 정보보호 담당자는 반기 별로 1회 이상 직원들이 바이러스 백신 프로그램을 적절하게 운영하고 있는지를 점검하고 바이러스 백신 프로그램을 적절하게 운영하지 않은 직원에 대해서는 각 부서 책임자에게 통보하여 조치를 취하도록 한다.

제7조(침해사고 보고)

① 클라우드 컴퓨팅 서비스 상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 침해사고 보고 절차에 따라 신속하게 보고하여야 한다..

- 침해사고가 조직에 미치는 영향이 심각할 경우 최고경영진에게 신속히 보고

- 침해사고 초기 대응 및 증거 보존 조치

② 침해사고 발생시 침해사고 대응 보고서가 작성되야 하고 보고서에는 다음과 같은 사항이 포함되어 있어야 한다.

1. 발생일시

2. 보고자와 보고일시

3. 사고내용 (발견사항, 피해내용 등)

4. 침해사고 경과 내용

5. 사고대응까지의 소요시간 등

③ 사고 및 장애 발생 시 국가기관등의 고객사의 클라우드 보안사고 및 장애 대응 절차에 따라 진행되도록 사업자의 침해사고 대응 절차를 점검하고, 아래의 내용을 포함한 사고 발생 보고서를 해당 국가기관등에 제공할 수 있어야 한다.

- 사고 발생일시

- 보고자와 보고일시

- 사고내용 (원인, 발견사항, 피해내용 등)

- 사고대응 경과 내용

- 사고대응까지의 소요시간

- 사고자 및 관계자의 인적 사항

- 조치 내용 등

④ 침해사고 발생시 침해사고 유형에 따른 법적 통지 및 신고 의무를 아래 기준에 따라 준수한다.
※ 침해사고 발생시 법적 통지 및 신고 의무

구분	클라우드컴퓨팅법	정보통신망법
근거	클라우드컴퓨팅법 제25조(침해사고 등의 통지 등)	정보통신망법 제48조의3(침해사고의 신고 등)
주체	클라우드컴퓨팅서비스 제공자	정보통신서비스 제공자 집적정보통신시설 사업자
신고 대상	이용자(SaaS 사업자, 기업·개인, 공공기관 등)	-
신고 기준	이용자 정보 유출	침해사고 발생
통지 기준	1. 침해사고 발생 2. 이용자 정보 유출 3. 사전예고 없이 대통령령으로 정하는 기간(당사자 간 계약으로 기간을 정하였을 경우에는 그 기간을 말한다) 이상 서비스 중단
신고 내용	1. 유출된 이용자 정보의 개요(파악된 경우) 2. 유출된 시점과 그 경위 3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황	신고자, 신고기관, 전자우편, 연락처, 발생시간, 피해내역 등
통지 내용	1. 발생내용 2. 발생 원인 3. 피해 확산 방지 조치 현황 4. 이용자의 피해 예방 또는 확산 방지 방법 5. 담당부서 및 연락처	-
통지 방법	- 전화, 휴대전화, 우편, 전자우편, 문자메시지, 클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한 방법 - (또는) 컴퓨팅서비스 접속화면을 통해 알리는 경우 15일 이상 게시
시기	즉시 또는 지체 없이	24시간내

※ 이용자 정보 유출 발생시 법적 통지 및 신고 의무

구분	클라우드컴퓨팅법	개인정보보호법
근거	클라우드컴퓨팅법 제25조(침해사고 등의 통지 등)	개인정보 보호법 제34조(개인정보 유출 등의 통지· 신고)
주체	클라우드컴퓨팅서비스 제공자	개인정보처리자
신고 대상	과학기술정보통신부,한국인터넷진흥원 (TEL:118,클라우드인증 cloud@kisa.or.kr)	개인정보보호위원회, 한국인터넷진흥원 (☎ 118, privacyclean@kisa.or.kr, www.privacy.go.kr))
통지 대상	이용자(SaaS사업자,기업,개인,공공기관등)	정보주체
신고 기준	이용자 정보 유출 발생	① 1천명 이상 개인정보 유출 ② 민감정보 또는 고유식별정보 유출 ③ 외부로부터 불법적인 접근으로 개인정보 유출
통지 기준	이용자 정보 유출 발생	개인정보 유출등 발생
신고 내용	1. 유출된 이용자 정보의 개요(파악된 경우) 2. 유출된 시점과 그 경위 3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황	1. 유출 등이 된 개인정보 항목 2. 유출 등이 된 시점과 그 경위 3. 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차
통지 내용	1. 발생내용 2. 발생 원인 3. 피해 확산 방지 조치 현황 4. 이용자의 피해 예방 또는 확산 방지 방법 5. 담당부서 및 연락처	1. 유출 등이 된 개인정보 항목 2. 유출 등이 된 시점과 그 경위 3. 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차
통지 방법	- 전화, 휴대전화, 우편, 전자우편, 문자메시지, 클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한 방 - (또는) 컴퓨팅서비스 접속화면을 통해 알리는 경우 15일 이상 게시	- 서면 등의 방법 - 단, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 홈페이지에 30일 이상 게시하는 것으로 통지에 갈음하는 조치 가능
시기	즉시 또는 지체 없이	72시간 내

※ 서비스 중단 시 법적 통지 및 신고 의무

구분	클라우드컴퓨팅법
근거	클라우드컴퓨팅법 제25조(침해사고 등의 통지 등), 클라우드법 시행령 제16조, 제17조
주체	클라우드컴퓨팅서비스 제공자
신고 대상	과학기술정보통신부, 한국인터넷진흥원 (☎ 118, 클라우드인증 cloud@kisa.or.kr)
통지 대상	이용자(SaaS 사업자, 기업·개인, 공공기관 등)
신고 기준
통지 기준	① 서비스 중단시간 10분 이상 ② 24시간 이내 2회 이상 중단기간 15분 이상 ※ 단, 당사자 간 계약으로 기간을 정하였을 경우에는 그 기간 이상 중단 시
신고 내용	-
통지 내용	1. 발생내용 2. 발생 원인 3. 피해 확산 방지 조치 현황 4. 이용자의 피해 예방 또는 확산 방지 방법 5. 담당부서 및 연락처
통지 방법	휴대전화, 우편, 전자우편, 문자메시지 또는 클라우드컴퓨팅서비스 접속화면에 15일 이상 게시
시기	즉시 또는 지체 없이

제8조(침해사고 대응)

① 침해사고 처리 및 복구 절차에 따라 수행하여야 하며 침해사고 이력관리를 위하여 사고발생부터 처리 및 복구 종료까지의 진행경과를 보고서로 작성하여야 한다.

② 침해사고 접수 후 정보시스템 별 담당자는 침해사고 유형별로 다음 각 호의 절차 하에 로그분석을 통하여 침입 위치 및 침입대상을 추적한다.

- 침입자를 추적할 수 없거나, 해킹으로부터 시스템의 보호가 우선이라고 판단되는 경우 접속을 차단하여야 한다.

③ 정보보호 담당자는 보안사고 분석 및 대응 업무 수행 중 필요에 따라 외부 기관의 협조를 받을 수 있다. 이때 협조 의뢰의 최종결정은 정보보호 최고책임자가 한다.

제9조(비상연락체계 구축)

① 업무 별 시스템 담당자 및 관련 외부사업자(PM)의 이름과 연락처를 상시 관리하여야 하며, 외부 유지보수 협력업체, 유관기관, 이용고객 연락처 등 비상연락체계를 비치하고 월 1회 이상 비상 연락망의 변동 유무를 확인한다.

제10조(침해사고 분석)

① 정보보호 담당자는 보안사고로 인한 피해를 최소화하기 위해 보안사고 유형 및 등급에 따라 정보보호 최고책임자의 승인을 받는다.

② 정보보호 담당자는 다음 각 호에 따라 보안사고 분석 및 로그 수집을 수행한다.

- 서버 및 네트워크관리자와 정보보호 담당자는 보안사고 내용을 분석하여 침입사실, 사고 원인 등을 파악 한다.

- 서버 및 네트워크관리자는 증거확보를 위해 현재 보유하고 있는 로그 중 침입흔적을 담은 모든 로그를 백업 받는다.

- 파일시스템은 상세한 수준으로 덤프를 받은 후, 서명 일시 등을 기록하고, 덤프파일은 안전한 곳에 보관한다.

- 정보보호 담당자는 정보보호시스템 로그를 점검하여 관련기록을 모두 백업 받고 안전한 곳에 보관한다.

- 재 침입의 위험이 있다고 판단될 때에는 네트워크 접속을 끊거나 단일사용자(Single-User)모드에서 작업해야 한다.

③ 침입자가 현재 시스템에 침투해 해킹을 하고 있는 것으로 판단된 경우에는 다음과 같은 조치를 즉시 취한다.

- 정보보호 담당자는 즉시 해당 시스템을 네트워크와 분리한 후 정보보호 최고책임자의 결정 따라 추적여부를 결정한다.

- 침입 후 활동하는 내용이 치명적이지 않다고 판단되는 경우 정보보호 최고책임자의 승인하에 로그분석을 통하여 침입위치 및 침입대상을 추적한다.

- 침입자를 추적할 수 없거나, 해킹으로부터 시스템의 보호가 우선이라고 판단되는 경우 접속을 차단하여야 한다.

④ 정보보호 담당자는 보안사고 분석 및 대응 업무 수행 중 필요에 따라 외부 기관의 협조를 받을 수 있다. 이때 협조 의뢰의 최종결정은 정보보호 최고책임자가 한다.

제11조(증거수집 및 보존)

① 서버 및 네트워크관리자는 분석 및 수집한 증거를 정보보호 담당자에게 전달한다.

② 정보보호 담당자는 침입자 처벌 및 법률적 대응을 위해, 수집된 증거를 사고발생 후 공소시효까지 안전하게 보존하여야 한다.

제12조(결과보고)

① 정보보호 담당자는 조치결과를 취합하여 보안사고 1, 2등급에 대하여 보안사고 조치 보고서를 다음 각 호와 같이 작성하여 정보보호 최고책임자에게 사고 경과와 조치사항을 보고한다.

- 보안사고 분석결과

- 보안사고 대응내역

- 조치계획 및 조치내역

- 재발방지 방안 및 계획

② 개인정보사고의 경우 정보보호 담당자는 사고 종료 시까지 다음 각 호의 사항에 대해 상시 모니터링 및 대응을 수행한다.

- 고객이나 언론의 동향 분석

- 법률 Risk 파악

- 피해고객 구제방안 모색 등 사고대응 활동

③ 개인정보 유출사고의 경우 정보보호 담당자는 해당 정보주체에게 다음 각 호의 사항을 포함하여 유출사실을 통보하여야 한다.

- 유출 등이 된 개인정보 항목

- 유출 등이 발생한 시점과 그 경위

- 정보주체가 취할 수 있는 조치

- 회사의 대응조치 및 피해 구제절차

- 정보주체의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 제2항 각 호의 통보 항목을 인터넷 홈페이지에 30일 이상 게시하여야 한다.

제13조(사후관리)

① 정보보호 담당자는 유사한 사고의 재발 방지를 위하여 관련 정책 및 지침의 개정, 정보보호시스템 도입, 유관기관 협조체계 구축 등 효과적인 재발방지 대책을 수립하여야 하고 필요 시 보안사고 대응절차에 대한 내용을 변경하여야 한다.

② 정보보호 담당자는 수립된 재발방지 대책으로 동일 또는 유사 사고의 재발에 대비하여야 하며 보안사고의 대응 및 복구가 완료되었음을 확인하여야 한다.

③ 정보보호 담당자는 1, 2 등급의 보안사고 관련된 기록을 대외비 이상 등급으로 분류하고 이를 보존 ∙ 관리하여야 한다.

④ 법적 또는 규정 상 보안사고 관련하여 대외 기관의 요청이 있는 경우 대외협력 관련부서는 정보보호 담당자와 협의 후 대응하여야 한다.

⑤ 침해사고가 처리되고 종결된 후 이에 대한 분석이 수행되어야 하며 그 결과를 이용자에게 고지하여야 한다.

⑥ 정보보호 담당자는 보안사고에 대한 정보와 발견된 취약점들을 관련 부서 및 임직원들에게 공유 및 전파하여야 한다.

제4장 침해사고 대응 훈련 및 점검

제14조(침해사고 모의훈련)

① 침해사고 대응절차 및 방법에 대한 적정성과 효과성을 평가하기 위하여 주기적으로 침해사고 대응 훈련을 수행하여야 한다.

1. 모의훈련 계획서를 수립하여야 한다.

2. 연 1회이상 수행하여야 한다.

3. 모의훈련과 관련하여 외부의 전문기관과 업체와 공동으로 진행하는 것도 가능하다.

② 이용자가 클라우드 서비스 제공자의 침해사고 대응 모의훈련 결과를 요청할 경우 이를 문서화하여 제공하여야 한다.