 |
한국인터넷진흥원(KISA)은 전날 보호나라 홈페이지에서 'CISO 대상 긴급 보안점검 관련 안내'라는 제목의 공지문을 게시했다. 이번 공지는 과학기술정보통신부(이하 과기정통부)가 국내 기업 CISO를 대상으로 보안 점검을 요청하는 공문을 발송한 데 따라 마련됐다.
공지문은 "최근 연이은 기업 해킹으로 국민과 기업 피해가 확산되면서, 엄중한 마음으로 긴급 점검에 나섰다"며 "단기 이벤트가 아닌, 우선 현장 파악을 위한 데이터를 확보한 후 개선책을 위한 토대를 마련하려는 목적"이라고 설명했다.
점검 대상은 국내 CISO 지정 여부를 신고한 3만여개 기업이다. 주요정보통신기반시설, 정보보호관리체계(ISMS) 인증 기업 및 기타 중소기업이 대상이다. 정부는 최근 보안사고의 주요 원인으로 꼽힌 망접점 자산에 대한 취약점을 점검하고, 기업 백업체계를 살펴보고 있다.
주요정보통신기반시설과 ISMS 인증기업은 10월31일까지, 상장기업은 11월30일까지, 기타 중소기업은 12월31일까지 점검을 마감해야 한다. 보안 점검을 완료한 이후에는 공문과 함께 발송된 CEO 확인서를 중앙전파관리소로 회신하면 된다.
다음은 KISA가 이번 긴급 점검과 관련해 답변한 주요 '자주묻는질문(FAQ)' 목록이다.
Q. 보안 점검은 의무사항인지, 권고사항인지.
A. 기본적으로 제출은 행정적 권고사항이지만, ISMS 인증기업·주요정보통신기반시설 등 법적·규제상 의무가 부여된 사업자는 제출 의무가 있다.
Q. 보안 점검 확인서는 반드시 대표이사(CEO)가 서명해야 하는가.
A. 이번 긴급 보안점검 공문에서는 CEO의 확인서 서명을 필수로 규정하고 있어, 반드시 CEO 서명 또는 직인을 받아야 한다.
Q. 각 점검구분(자산대상 및 실사내역, 인터넷 접점 자산 식별내역, 취약점 점검결과 보고서, 백업전환훈련실시 보고서) 세부 내역도 제출 대상인지.
A. 각 점검 구분의 세부내역은 별도 제출할 필요 없어, CEO 확인서만 제출하면 된다. 각 점검 구분 세부내역에 대한 별도 표준 양식은 없으며, 점검 결과를 제출할 필요가 없으므로 각 기업은 점검 방식과 내부 상황에 맞는 자체 양식을 사용하면 된다.
Q. 기한 내 제출이 어려울 경우 어떻게 해야 하는가. 미흡한 부분이 발견되면 처벌이 있거나 공개되나.
A. 기한 내 어려운 부분에 대해서는 설명과 함께 계획서 제출로 가능하도록 진행할 예정이다. 미흡한 부분이 발견돼도 현장 처분이나 언론 공개 등은 하지 않는다.
Q. 내부 계획에 따라 이미 취약점 점검을 수행한 경우는 대체할 수 있나.
A. 자산 실사는 2025년 수행내역이 있으면 현행화해야 한다. 취약점 점검은 이번 긴급 보안점검의 취지에 맞춰 새롭게 수행하는 것이 원칙이다. 다만, 예산 등 사정으로 수행이 어려운 경우에는 2025년 취약점 점검 결과와 2026년 점검 계획을 CEO 보고한 것으로 대체할 수 있다.
Q. 인터넷 접점 자산은 무엇을 의미하나. 백업체계 점검에서는 무엇을 확인해야 하나.
A. 인터넷 접점 자산은 외부(인터넷)와 직접 연결되거나, 외부에서 접근 가능한 모든 시스템, 서비스, 단말을 말한다. 클라우드 서비스의 경우에도 인터넷망을 통해 연결 및 접속되는 부분이 있으면 대상이 된다. 백업의 경우 데이터 복구 가능 여부를 점검하며, 도상 훈련 또는 실전 복구 훈련을 권장한다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.