1) 침해사고의 징후 또는 침해사고 발생을 인지한 경우 정의된 침해사고 보고 절차에 따라 신속하게 보고가 이루어지고 있는가?

🔍 점검 취지 및 해설

■ 침해사고 징후 또는 침해사고를 인지한 경우 보고절차에 따라 신속하게 보고하여야 한다.

- 침해사고 초기 대응 및 증거 보존 조치

- 접속권한 삭제 및 변경 또는 접속 차단

- 대내외 시스템 보안점검 및 취약점 보완조치

- 침해사고 발생원인(경로) 등

✍️ 운영 현황 및 증적 기록

작성 완료됨

■ 침해사고 징후 또는 침해사고를 인지한 경우 보고절차에 따라 신속하게 보고하여야 한다.

-->

1. 침해사고 보고절차가 침해사고지침서에 명시되어야 합니다.

제7조(침해사고 보고)

① 클라우드 컴퓨팅 서비스 상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 침해사고 보고 절차에 따라 신속하게 보고하여야 한다..

- 침해사고가 조직에 미치는 영향이 심각할 경우 최고경영진에게 신속히 보고

- 침해사고 초기 대응 및 증거 보존 조치

① 침해사고 발생시 침해사고 대응 보고서가 작성되야 하고 보고서에는 다음과 같은 사항이 포함되어 있어야 한다.

1. 발생일시

2. 보고자와 보고일시

3. 사고내용 (발견사항, 피해내용 등)

4. 침해사고 경과 내용

5. 사고대응까지의 소요시간 등

② 사고 및 장애 발생 시 국가기관등의 고객사의 클라우드 보안사고 및 장애 대응 절차에 따라 진행되도록 사업자의 침해사고 대응 절차를 점검하고, 아래의 내용을 포함한 사고 발생 보고서를 해당 국가기관등에 제공할 수 있어야 한다.

- 사고 발생일시

- 보고자와 보고일시

- 사고내용 (원인, 발견사항, 피해내용 등)

- 사고대응 경과 내용

- 사고대응까지의 소요시간

- 사고자 및 관계자의 인적 사항

- 조치 내용 등

2. 침해사고 발생시 법적 통지 및 신고의무를 지침서에 명시되어야 합니다.

① 침해사고 발생시 침해사고 유형에 따른 법적 통지 및 신고 의무를 아래 기준에 따라 준수한다.
※ 침해사고 발생시 법적 통지 및 신고 의무

구분	클라우드컴퓨팅법	정보통신망법
근거	클라우드컴퓨팅법 제25조(침해사고 등의 통지 등)	정보통신망법 제48조의3(침해사고의 신고 등)
주체	클라우드컴퓨팅서비스 제공자	정보통신서비스 제공자 집적정보통신시설 사업자
신고 대상	이용자(SaaS 사업자, 기업·개인, 공공기관 등)	-
신고 기준	이용자 정보 유출	침해사고 발생
통지 기준	1. 침해사고 발생 2. 이용자 정보 유출 3. 사전예고 없이 대통령령으로 정하는 기간(당사자 간 계약으로 기간을 정하였을 경우에는 그 기간을 말한다) 이상 서비스 중단
신고 내용	1. 유출된 이용자 정보의 개요(파악된 경우) 2. 유출된 시점과 그 경위 3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황	신고자, 신고기관, 전자우편, 연락처, 발생시간, 피해내역 등
통지 내용	1. 발생내용 2. 발생 원인 3. 피해 확산 방지 조치 현황 4. 이용자의 피해 예방 또는 확산 방지 방법 5. 담당부서 및 연락처	-
통지 방법	- 전화, 휴대전화, 우편, 전자우편, 문자메시지, 클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한 방법 - (또는) 컴퓨팅서비스 접속화면을 통해 알리는 경우 15일 이상 게시
시기	즉시 또는 지체 없이	24시간내

※ 이용자 정보 유출 발생시 법적 통지 및 신고 의무

구분	클라우드컴퓨팅법	개인정보보호법
근거	클라우드컴퓨팅법 제25조(침해사고 등의 통지 등)	개인정보 보호법 제34조(개인정보 유출 등의 통지· 신고)
주체	클라우드컴퓨팅서비스 제공자	개인정보처리자
신고 대상	과학기술정보통신부,한국인터넷진흥원 (TEL:118,클라우드인증 cloud@kisa.or.kr)	개인정보보호위원회, 한국인터넷진흥원 (☎ 118, privacyclean@kisa.or.kr, www.privacy.go.kr))
통지 대상	이용자(SaaS사업자,기업,개인,공공기관등)	정보주체
신고 기준	이용자 정보 유출 발생	① 1천명 이상 개인정보 유출 ② 민감정보 또는 고유식별정보 유출 ③ 외부로부터 불법적인 접근으로 개인정보 유출
통지 기준	이용자 정보 유출 발생	개인정보 유출등 발생
신고 내용	1. 유출된 이용자 정보의 개요(파악된 경우) 2. 유출된 시점과 그 경위 3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황	1. 유출 등이 된 개인정보 항목 2. 유출 등이 된 시점과 그 경위 3. 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차
통지 내용	1. 발생내용 2. 발생 원인 3. 피해 확산 방지 조치 현황 4. 이용자의 피해 예방 또는 확산 방지 방법 5. 담당부서 및 연락처	1. 유출 등이 된 개인정보 항목 2. 유출 등이 된 시점과 그 경위 3. 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차
통지 방법	- 전화, 휴대전화, 우편, 전자우편, 문자메시지, 클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한 방 - (또는) 컴퓨팅서비스 접속화면을 통해 알리는 경우 15일 이상 게시	- 서면 등의 방법 - 단, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 홈페이지에 30일 이상 게시하는 것으로 통지에 갈음하는 조치 가능
시기	즉시 또는 지체 없이	72시간 내

※ 서비스 중단 시 법적 통지 및 신고 의무

구분	클라우드컴퓨팅법
근거	클라우드컴퓨팅법 제25조(침해사고 등의 통지 등), 클라우드법 시행령 제16조, 제17조
주체	클라우드컴퓨팅서비스 제공자
신고 대상	과학기술정보통신부, 한국인터넷진흥원 (☎ 118, 클라우드인증 cloud@kisa.or.kr)
통지 대상	이용자(SaaS 사업자, 기업·개인, 공공기관 등)
신고 기준
통지 기준	① 서비스 중단시간 10분 이상 ② 24시간 이내 2회 이상 중단기간 15분 이상 ※ 단, 당사자 간 계약으로 기간을 정하였을 경우에는 그 기간 이상 중단 시
신고 내용	-
통지 내용	1. 발생내용 2. 발생 원인 3. 피해 확산 방지 조치 현황 4. 이용자의 피해 예방 또는 확산 방지 방법 5. 담당부서 및 연락처
통지 방법	휴대전화, 우편, 전자우편, 문자메시지 또는 클라우드컴퓨팅서비스 접속화면에 15일 이상 게시
시기	즉시 또는 지체 없이

3. 침해사고에 대한 대응 및 분석, 대책방안, 사후관리가 지침에 명시되어야 합니다.

제8조(침해사고 대응)

① 침해사고 처리 및 복구 절차에 따라 수행하여야 하며 침해사고 이력관리를 위하여 사고발생부터 처리 및 복구 종료까지의 진행경과를 보고서로 작성하여야 한다.

② 침해사고 접수 후 정보시스템 별 담당자는 침해사고 유형별로 다음 각 호의 절차 하에 로그분석을 통하여 침입 위치 및 침입대상을 추적한다.

- 침입자를 추적할 수 없거나, 해킹으로부터 시스템의 보호가 우선이라고 판단되는 경우 접속을 차단하여야 한다.

③ 정보보호 담당자는 보안사고 분석 및 대응 업무 수행 중 필요에 따라 외부 기관의 협조를 받을 수 있다. 이때 협조 의뢰의 최종결정은 정보보호 최고책임자가 한다.

제9조(비상연락체계 구축)

① 업무 별 시스템 담당자 및 관련 외부사업자(PM)의 이름과 연락처를 상시 관리하여야 하며, 외부 유지보수 협력업체, 유관기관, 이용고객 연락처 등 비상연락체계를 비치하고 월 1회 이상 비상 연락망의 변동 유무를 확인한다.

제10조(침해사고 분석)

① 정보보호 담당자는 보안사고로 인한 피해를 최소화하기 위해 보안사고 유형 및 등급에 따라 정보보호 최고책임자의 승인을 받는다.

② 정보보호 담당자는 다음 각 호에 따라 보안사고 분석 및 로그 수집을 수행한다.

- 서버 및 네트워크관리자와 정보보호 담당자는 보안사고 내용을 분석하여 침입사실, 사고 원인 등을 파악 한다.

- 서버 및 네트워크관리자는 증거확보를 위해 현재 보유하고 있는 로그 중 침입흔적을 담은 모든 로그를 백업 받는다.

- 파일시스템은 상세한 수준으로 덤프를 받은 후, 서명 일시 등을 기록하고, 덤프파일은 안전한 곳에 보관한다.

- 정보보호 담당자는 정보보호시스템 로그를 점검하여 관련기록을 모두 백업 받고 안전한 곳에 보관한다.

- 재 침입의 위험이 있다고 판단될 때에는 네트워크 접속을 끊거나 단일사용자(Single-User)모드에서 작업해야 한다.

③ 침입자가 현재 시스템에 침투해 해킹을 하고 있는 것으로 판단된 경우에는 다음과 같은 조치를 즉시 취한다.

- 정보보호 담당자는 즉시 해당 시스템을 네트워크와 분리한 후 정보보호 최고책임자의 결정 따라 추적여부를 결정한다.

- 침입 후 활동하는 내용이 치명적이지 않다고 판단되는 경우 정보보호 최고책임자의 승인하에 로그분석을 통하여 침입위치 및 침입대상을 추적한다.

- 침입자를 추적할 수 없거나, 해킹으로부터 시스템의 보호가 우선이라고 판단되는 경우 접속을 차단하여야 한다.

④ 정보보호 담당자는 보안사고 분석 및 대응 업무 수행 중 필요에 따라 외부 기관의 협조를 받을 수 있다. 이때 협조 의뢰의 최종결정은 정보보호 최고책임자가 한다.

제11조(증거수집 및 보존)

① 서버 및 네트워크관리자는 분석 및 수집한 증거를 정보보호 담당자에게 전달한다.

② 정보보호 담당자는 침입자 처벌 및 법률적 대응을 위해, 수집된 증거를 사고발생 후 공소시효까지 안전하게 보존하여야 한다.

제12조(결과보고)

① 정보보호 담당자는 조치결과를 취합하여 보안사고 1, 2등급에 대하여 보안사고 조치 보고서를 다음 각 호와 같이 작성하여 정보보호 최고책임자에게 사고 경과와 조치사항을 보고한다.

- 보안사고 분석결과

- 보안사고 대응내역

- 조치계획 및 조치내역

- 재발방지 방안 및 계획

② 개인정보사고의 경우 정보보호 담당자는 사고 종료 시까지 다음 각 호의 사항에 대해 상시 모니터링 및 대응을 수행한다.

- 고객이나 언론의 동향 분석

- 법률 Risk 파악

- 피해고객 구제방안 모색 등 사고대응 활동

③ 개인정보 유출사고의 경우 정보보호 담당자는 해당 정보주체에게 다음 각 호의 사항을 포함하여 유출사실을 통보하여야 한다.

- 유출 등이 된 개인정보 항목

- 유출 등이 발생한 시점과 그 경위

- 정보주체가 취할 수 있는 조치

- 회사의 대응조치 및 피해 구제절차

- 정보주체의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 제2항 각 호의 통보 항목을 인터넷 홈페이지에 30일 이상 게시하여야 한다.

제13조(사후관리)

① 정보보호 담당자는 유사한 사고의 재발 방지를 위하여 관련 정책 및 지침의 개정, 정보보호시스템 도입, 유관기관 협조체계 구축 등 효과적인 재발방지 대책을 수립하여야 하고 필요 시 보안사고 대응절차에 대한 내용을 변경하여야 한다.

② 정보보호 담당자는 수립된 재발방지 대책으로 동일 또는 유사 사고의 재발에 대비하여야 하며 보안사고의 대응 및 복구가 완료되었음을 확인하여야 한다.

③ 정보보호 담당자는 1, 2 등급의 보안사고 관련된 기록을 대외비 이상 등급으로 분류하고 이를 보존 ∙ 관리하여야 한다.

④ 법적 또는 규정 상 보안사고 관련하여 대외 기관의 요청이 있는 경우 대외협력 관련부서는 정보보호 담당자와 협의 후 대응하여야 한다.

⑤ 침해사고가 처리되고 종결된 후 이에 대한 분석이 수행되어야 하며 그 결과를 이용자에게 고지하여야 한다.

⑥ 정보보호 담당자는 보안사고에 대한 정보와 발견된 취약점들을 관련 부서 및 임직원들에게 공유 및 전파하여야 한다.

4. 실제 침해사고가 발생한 케이스가 있는 경우 보고서 및 분석결과,대응방안등에 대한 실제 증적 자료를 보관해야 합니다.

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.

[5.2.1 침해사고 보고] 📖 1) 침해사고의 징후 또는 침해사고 발생을 인지한 경우 정의된 침해사고 보고 절차에 따라 신속하게 보고가 이루어지고 있는가?