망분리 후 이렇게 해야하고 이렇게 하지 말아야 한다는 내용이다...
1. 기존 접속현황 및 사유조사
-. 이런 걸 할려면 DLP와 같은 솔루션이 필요함.
2. 예외사이트의 안정성 검토(취약한 사이트는 아닌지, 최근에 해킹당하거나 이슈가 있는지 등 확인)
-. 검토 보다는 멀웨어 바이트나 네트워크 방화벽의 웹필터 기능을 활용해서 미리 차단
-. 검토가 끝난 시점에는 이미 감염되어 있을 수 있다.
3. 업무상 반드시 필요한 사안에 대해서만 허용하되, 책임자의 승인을 득한 후 필요시 보안위원회 등에 상정하여 보고
-. 지금 필요한데 언제 승인처리를 기다리고 그러냐.. 말이 안되지..이건.. 그냥 분리/차단 해야지..
4. 예외 허용된 사이트의 허용기간을 설정하고, 기간이 만료된 경우 다시 책임자의 승인을 득하는 등 주기적으로 확인
-. 예외 허용된 사이트가 한두개가 아닐 것이고, 큰규모의 회사는 별도의 인력이 있겠지만 그렇지 않을 경우에는 이것만 대응하다가 주업무를 못할 것이다. 그럼으로 그냥 분리/차단.
- 업무용PC는 원칙적으로 인터넷망 접근과 외부메일 차단
. 맞는 말
- 인터넷 PC는 업무망 접근을 원천적으로 차단하고, 인터넷 및 외부메일은 이용가능 하지만 문서편집은 불가능하고 읽기만 가능하도록 설정. 인터넷 PC에서 문서편집 허용시 중요정보가 유출될 우려가 있기 때문. 관리자의 승인 하에 제한적으로 일부 허용은 가능함
. 맞는 말
- 망분리에 따른 불편 해소를 위해 망간(인터넷망↔업무망) 중계서버 등을 이용하여 파일 송수신은 가능
. 중계서버에서 네트워크 및 파일 단위로 실시간 감시 (악성코드, 바이러스 등)
. 단, 랜섬웨어의 경우 파일을 암호화해 버리니 클라이언트PC의 보안에 좀 더 신경을 써야함.
- 업무망에서는 회사 내부(자체) 메일만 사용 가능하고, 외부메일은 인터넷 PC에서만 이용 가능
. 맞는 말
- 종전에 백신업체 등과 인터넷으로 연결하여 운영되던 패치관리시스템은 인터넷과 분리하여 오프라인 방식으로 운영
. PMS를 운영하되 수동으로 패치파일을 다운받아 PMS에 적용한다는 것인데... 매일 매일 해줘야 한다는 단점은 있음.
- 비인가된 기기(PC, 노트북 등)가 접속할 수 없도록 통제
. 맞는 말, NAC나 IP주소 관리 시스템 도입 필요
- 보낸 이가 조금이라도 의심스러운 메일 클릭 금지
. 맞는 말
- 인터넷망에 연결된 기기에 중요 정보 저장 금지
. 맞는 말 (인터넷 PC는 인터넷만 하자.)
- 업무 외 사이트 접속 금지(토렌트, P2P)
. 맞는 말 (토렌트사용 중에 멀웨어바이트로 스캔하면 엄청나게 많은 악성코드가 차단되었다고 기록됨)
- 업무에 사용 되는 모든 기기 사진 촬영 금지
. 모니터 워터마크 솔루션을 활용해 보는 것도 좋을 듯 (성명, 직책, 연락처 등이 기록됨)
http://www.boannews.com/media/view.asp?idx=52616&page=1&kind=1
