보안 가이드
개요
이 문서는 시스템의 보안 정책과 절차를 정의합니다.
보안 정책
1. 접근 제어
- 인증 정책
- 강력한 비밀번호 정책 적용
- MFA(Multi-Factor Authentication) 필수
- 세션 타임아웃: 30분
- 권한 관리
- 최소 권한 원칙 적용
- 정기적인 권한 검토 (분기별)
- 퇴사자 계정 즉시 비활성화
- API 보안
- API 키 관리
- Rate Limiting 적용
- IP 기반 접근 제어
2. 데이터 보안
-
데이터 분류
등급 설명 예시 보호 조치 기밀 최고 수준의 보안 개인식별정보, 금융정보 암호화 필수, 접근 로깅 중요 높은 수준의 보안 사용자 데이터, 로그인 정보 암호화 권장, 접근 제한 일반 기본 수준의 보안 공개 데이터 기본 보안 조치 -
암호화 요구사항
- 통신 암호화: TLS 1.3 이상
- 저장 데이터 암호화: AES-256
- 키 관리: AWS KMS 사용
-
인프라 보안 관리
- 인프라 보안 설정은 코드로 관리 (IaC)
- Secret Manager를 통한 비밀 관리
- 참조 문서: TBD
3. 네트워크 보안
- 네트워크 분리
- DMZ 구성
- 내부망 분리
- VPC 구성
- 방화벽 정책
- 기본 거부 (Default Deny)
- 필요한 포트만 개방
- 정기적인 규칙 검토
- 모니터링
- IDS/IPS 운영
- 트래픽 모니터링
- 이상 징후 탐지
보안 운영
1. 보안 모니터링
- 모니터링 대상
- 시스템 로그
- 보안 이벤트
- 사용자 활동
- 모니터링 도구
- SIEM 시스템
- 로그 분석 도구
- 취약점 스캐너
- 대응 절차
- 이벤트 분류
- 위험도 평가
- 대응 방안 수립
2. 취약점 관리
- 정기 점검
- 시스템 취약점 스캔 (월 1회)
- 웹 애플리케이션 취약점 점검 (분기 1회)
- 소스코드 보안 검사 (배포 전)
- 패치 관리
- 보안 패치 적용 정책
- 긴급 패치 절차
- 패치 영향도 평가
- 보고 체계
- 취약점 보고서 작성
- 조치 계획 수립
- 이행 결과 확인
3. 인시던트 대응
- 탐지 및 보고
- 보안 이벤트 탐지
- 초기 분석
- 보고 체계
- 분석 및 조사
- 원인 분석
- 영향도 평가
- 증거 수집
- 대응 및 복구
- 차단 조치
- 시스템 복구
- 피해 최소화
- 사후 관리
- 보고서 작성
- 재발 방지 대책
- 프로세스 개선
보안 감사
1. 내부 감사
- 정기 감사
- 분기별 보안 점검
- 권한 검토
- 로그 검토
- 특별 감사
- 보안 사고 발생 시
- 중요 변경 사항 발생 시
- 규정 준수 여부 확인
2. 외부 감사
- 제3자 보안 감사
- 연간 보안 감사
- 취약점 진단
- 모의해킹
- 인증 심사
- ISMS 인증
- ISO 27001
- PCI DSS
보안 교육
1. 정기 교육
- 신규 입사자 교육
- 보안 정책 교육
- 시스템 접근 교육
- 보안 사고 대응 교육
- 전체 직원 교육
- 연간 보안 교육
- 보안 인식 제고
- 최신 보안 동향
2. 특별 교육
- 개발자 보안 교육
- 시큐어 코딩
- OWASP Top 10
- 보안 취약점 예방
- 운영자 보안 교육
- 시스템 보안
- 네트워크 보안
- 로그 분석
규정 준수
1. 법적 요구사항
- 개인정보보호법
- 정보통신망법
- 클라우드 보안 인증
2. 산업 표준
- 보안 표준
- ISO 27001
- NIST 사이버보안 프레임워크
- CIS Controls
- 보안 지침
- 클라우드 보안 가이드
- API 보안 가이드
- 암호화 가이드
변경 이력
| 날짜 | 버전 | 설명 | 작성자 |
|---|---|---|---|
| 2025-03-19 | 0.1.0 | 최초 작성 | bok@weltcorp.com |