08. 가상화보안관리지침

inswave-wiki
Wikiadmin (토론 | 기여)님의 2025년 10월 16일 (목) 10:42 판
둘러보기로 이동 검색으로 이동



문서 제·개정 이력

번호 날짜 내용 담당자
1.0 2025.04.30 - 최초 작성 정보보호 관리자

제1장 총칙

제1조 (목적)

이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 「정보보호 정책서」에 의거 구성원의 가상화 보안관리에 필요한 사항을 규정함을 목적으로 한다.

제2조 (적용범위)

이 지침은 회사의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 클라우드컴퓨팅서비스 업무를 수행하는 외부업체 직원 모두에게 적용된다.

제3조 (용어 정의)

“악성코드”라 함은 컴퓨터바이러스와 달리 다른 파일을 감염시키지는 않지만, 악의적인 용도로 사용될 수 있는 유해 프로그램을 말한다.

제2장 가상자원

제4조 (가상자원 관리)

  1. 가상자원의 생성 시 다음 각 호의 사항을 고려하여 관리방안을 수립하고 운영하여야 한다.
    1. 가상자원 접근통제
    2. 가상소프트웨어 이미지 등록·배포 절차 및 담당자 지정
    3. 가상소프트웨어 이미지·스냅샷 저장 장소 및 공유금지 관리
    4. 가상소프트웨어 이미지·스냅샷의 바이러스 검사, 보안 업데이트, 패치 등 안전성 확보
    5. 가상자원의 변경 시 다른 가상자원에 미치는 영향 고려
  2. 가상자원의 회수는 다음 각 호를 포함한다.
    1. 회수 절차 및 방법 수립
    2. 비정상 회수 발생 시 대응 방안
    3. 회수 기록 관리
  3. 가상서버 등의 생성·변경·회수 시 승인절차를 마련해야 한다.
  4. 가상자원의 생성·변경·회수 내역을 주기적으로 점검하고 점검이력을 남겨야 한다.

제5조 (공개서버 보안)

  1. 공개서버(웹, 메일, 배포 등) 운영 시 다음 보안대책을 적용한다.
    1. 서비스별 전용 서버로 운영
    2. 개인정보 송·수신 시 SSL/TLS v1.2 이상 인증서 설치
    3. IPTABLES, PodSecurityPolicy, Container Network Interface 등을 이용한 접근통제
    4. 백신 설치 및 OS 최신 패치 적용
    5. 불필요한 서비스 제거 및 포트 차단
    6. 불필요한 소프트웨어·스크립트·실행파일 등 설치 금지
    7. 테스트 페이지 및 오류 페이지 노출 금지
    8. 정기 취약점 점검 수행
  2. 공개서버는 DMZ 영역에 설치하며, 침해 시 내부망 접근이 불가능하도록 해야 한다.
  3. DB, WAS 등 내부 시스템과의 통신 시 엄격한 접근통제 정책 적용.
  4. 메일서버(SMTP) 운영 시 SPF, DKIM, DMARC 등 국제표준 보안기술 적용.
  5. 방화벽 정책은 최소 서비스만 허용하도록 설정한다.
  6. 공개서버 취약점 점검은 정보자산관리지침 제10조에 따라 수행한다.
  7. 웹서버는 연 1회 이상 OWASP TOP 10 기준으로 점검하며, 취약점 발견 시 즉시 조치한다.

제6조 (악성코드 통제)

  1. 바이러스, 웜, 트로이목마 등 악성코드로부터 보호하기 위해 다음을 적용한다.
    1. 보안시스템(백신, 이메일보안, 웹셸탐지, 웹방화벽 등) 설치 및 최신 업데이트
    2. 운영체제 보안 업데이트
    3. 서비스 SW(WAS, DB 등) 최신 보안 패치
    4. 악성코드 예방·탐지 활동 지속 수행
  2. 보안시스템에서 이상 징후 발생 시 이용자에게 통보하고, 사용 중지 및 격리 조치를 수행해야 한다.
  3. 악성코드 감염 시스템은 즉시 사용 중단 및 네트워크 분리 조치 후, 확산 여부 점검 및 재발 방지 대책 수립.
  4. 서비스 영향이 발생하는 경우 이용자에게 즉시 통지해야 한다.

제7조 (인터페이스 및 API 보안)

  1. 인터페이스 및 API 보안 취약점 분석과 연관성 분석을 주기적으로 수행해야 한다.
  2. 상위 서비스(IaaS, PaaS 등)로의 통신뿐 아니라 SaaS 이용자가 접근하는 API도 식별해야 한다.
  3. 상위 서비스 제공자의 안전한 API만 사용해야 하며, 자체 개발 API는 별도 보안성 검토를 수행한다.
  4. 중요 데이터 통신 시 반드시 암호화 통신을 적용해야 한다.

제8조 (데이터 이전)

  1. 이용자 데이터를 가상 환경으로 이전할 때는 암호화 통신채널(전용회선, VPN 등)을 적용해야 한다.
  2. 수동 이전 시 이동매체 암호화, 무결성 검증, 전달 안전성 확보 등의 조치를 취해야 한다.

제9조 (가상 소프트웨어 보안)

  1. 출처 불명 또는 검증되지 않은 소프트웨어 설치를 금지하며,
 출처·유통경로·제작자가 명확한 소프트웨어만 사용해야 한다.
  1. 설치된 소프트웨어는 주기적으로 보안패치 및 업데이트를 수행해야 한다.

[별지 제1호 서식] 가상자원 관리담당자 목록

플랫폼명 가상자원명 관리자명 부서명 권한 비고

[별지 제2호 서식] 소프트웨어 패치관리대장

연도/분기 패치적용일 시스템명 패치내용 서비스 정상여부 미적용 대책 작업자

서버담당자 서명: _______ 정보보호관리자 서명: _______

[별지 제3호 서식] 가상자원 관리대장

플랫폼명 변경일시 가상자원명 변경내역(생성·변경·회수 등) 담당자(서명) 승인자(서명)

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=08._가상화보안관리지침&oldid=566"