ISMS-P 인증 기준 2.7.2.암호키 관리: Difference between revisions

From CS Wiki
m (인증기준 관련 법규 추가)
Line 14: Line 14:
|
|
* 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립‧이행하고 있는가?
* 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립‧이행하고 있는가?
** (가상자산사업자) 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립‧이행하고 있는가? - 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차  - 개인키 passphrase 설정 및 관리 방안  - 개인키의 안전한 보관(핫월렛, 콜드월렛)  - 개인키 접근 및 사용 절차  - 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책  - 개인키 백업 및 소산  - 개인키 관련 책임추적성 확보  - 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니 터링  - 기타(키 분할, passhrase 분할, 멀티시그, H/W월 렛 등)
**(가상자산사업자) 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경 우에도, 취급업소내 가상자산의 송/수신시 2인 이상 의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가?
**(가상자산사업자) 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가? 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대책을 마련하고 있는가?
**(가상자산사업자)  월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하고 있는가?
* 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?
* 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?
** (가상자산사업자)  핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하고 있는가?
|-
|-
|'''관련 법규'''
|'''관련 법규'''

Revision as of 04:15, 18 March 2023

개요

항목 2.7.2.암호키 관리
인증기준 암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다.
주요 확인사항
  • 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립‧이행하고 있는가?
    • (가상자산사업자) 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립‧이행하고 있는가? - 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차 - 개인키 passphrase 설정 및 관리 방안 - 개인키의 안전한 보관(핫월렛, 콜드월렛) - 개인키 접근 및 사용 절차 - 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책 - 개인키 백업 및 소산 - 개인키 관련 책임추적성 확보 - 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니 터링 - 기타(키 분할, passhrase 분할, 멀티시그, H/W월 렛 등)
    • (가상자산사업자) 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경 우에도, 취급업소내 가상자산의 송/수신시 2인 이상 의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가?
    • (가상자산사업자) 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가? 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대책을 마련하고 있는가?
    • (가상자산사업자) 월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하고 있는가?
  • 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?
    • (가상자산사업자) 핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하고 있는가?
관련 법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)
  • 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)

세부 설명

  • 암호키 생성, 이용, 보관, 배포, 파기에 대하여 다음과 같은 내용이 포함된 정책 및 절차를 수립하여야 한다.
    • 암호키 관리 담당자
    • 암호키 생성, 보관(소산 백업 등) 방법
    • 암호키 배포 대상자 및 배포방법(복호화 권한 부여 포함)
    • 암호키 사용 유효기간(변경 주기) : 암호키 변경 시 비용, 업무중요도 등을 고려하여 결정
    • 암호키 복구 및 폐기 절차와 방법
    • 소스코드에 하드코딩 방식의 암호키 기록 금지에 관한 사항 등
  • 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하여야 한다.
    • 암호키 손상 시 시스템 또는 암호화된 정보의 복구를 위하여 암호키는 별도의 매체에 저장한 후 안전한 장소에 보관(암호키 관리시스템, 물리적 분리된 곳 등)
    • 암호키에 대한 접근권한 최소화 및 접근 모니터링

증거 자료

  • 암호키 관리정책
  • 암호키 관리대장 및 관리시스템 화면

결함 사례

  • 암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자별로 암호키 관리 수준 및 방법 상이 등 암호키 관리에 취약사항이 존재하는 경우
  • 내부 규정에 중요 정보를 암호화할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을 작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)