1. 관리체계 수립 및 운영
| 1.1.5 정책 수립 |
| 가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산 분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가? 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가? |
| 1.1.6 자원 할당 |
| 가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가? *권고 -정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상으로 편성 -정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상, 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상 확보 |
| 1.2.1 정보자산 식별 |
| 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가? -주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간),CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등 |
| 1.2.3 위험 평가 |
| 위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드월렛과 핫 월렛의 보유액 비율을 포함하고 있는가? 가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별/평가하고 있는가? 예) CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등 가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가? 위험식별 내용에는 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우가 포함되어 있는가? |
| 1.2.4 보호대책 선정 |
| 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가? |
| 1.4.1 법적 요구사항 준수 검토 |
| 경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하고 있는가? |
| 1.4.2 관라체계 점검 |
| 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가? |
2. 보호대책 요구사항
| 2.1.1 정책의 유지관리 |
| 조직의 대내외 환경에 중대한 변화 발생시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제/개정하고 있는가? *중대한 변화 예시, - 가상자산의 핫-콜드 보유액 비율 변경 - 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설 |
| 2.1.1 주요 직무자 지정 및 관리 |
| 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가? |
| 2.2.4 인식제고 및 교육훈련 |
| 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가? (다음 교육시간 준수) - 임원 : 3시간 이상(단, 정보보호 최고책임자는 6시간 이상) - 일반직원 : 6시간 이상 - 정보기술부문업무 담당 직원 : 9시간 이상 - 정보보호업무 담당 직원 : 12시간 이상 IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행하고 있는가? |
| 2.3.3 외부자 보안 이행 관리 |
| 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치/운영하고 있는가? |
| 2.4.1 보호구역 지정 |
| 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리하고 있는가? 월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련하였는가? |
| 2.4.2 출입통제 |
| 월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제하고 있는가? 중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성등에 대하여 매월 관리/검토하고 책임자에게 보고하고 있는가? |
| 2.4.5 보호구역 내 작업 |
| 월렛룸내 작업시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행하고 있는가? |
| 2.5.5 특수 계정 및 권한 관리 |
| 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가? |
| 2.6.1 네트워크 접근 |
| 가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등) 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근을 제어하고 있는가? 노드서버들에 대하여 필수적으로 필요한 포트만 허용하고 있는가? - (권고)1024 이후 포트로 적용 월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가? |
| 2.6.2 정보시스템 접근 |
| 월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리, 추가인증, 보안토큰 등) 대책을 마련하고 있는가? |
| 2.6.4 데이터베이스 접근 |
| 가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별하고 있는가? |
| 2.6.5 무선 네트워크 접근 |
| IDC 내부에 무선통신망 설치 및 운영을 금지하고 있는가? |
| 2.6.6 원격접근 통제 |
| 월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가? |
| 2.6.7 인터넷 접속 통제 |
| 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을때에는 전원을 OFF 또는, 네트워크의 접속을 차단하고 있는가? (목적외 SW 설치 및 인터넷 사용 금지) |
| 2.7.2 암호키 관리 |
| 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립/이행하고 있는가? - 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차 - 개인티 passphrase 설정 및 관리 방안 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 2인 이상의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가? 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화 하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가? 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대택을 마련하고 있는가? 월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하고 있는가? 핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하고 있는가? |
| 2.8.1 보안 요구사항 정의 |
| 신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용하고 있는가? 주요 작업관련 정보시스템 등 월렛 관련 응용프로그램 개발시에는 해당 가상자산의 월렛 관련 상세 위험평가(공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신 등)를 근거로 보안요구사항을 도출하여 이를 설계에 반영하고 있는가? |
| 2.8.2 보안 요구사항 검토 및 시험 |
| 설계단계에서 도출한, 가상자산 월렛 관련 상세 보안요구사항(멀티시그 적용, 공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신, 거래결과 확인 방법 등)을 근거로 이행여부를 확인하기 위한 시험을 수행하고 있는가? |
| 2.8.3 시험과 운영 환경 분리 |
| 가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가? - 가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경 - 정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행 - 복수의 가상자산 거래소가 공공으로 가상자산거래 관련 표준 제정 |
| 2.8.5 소스 프로그램 관리 |
| 월렛과 관련된 소스프로그램은 개발자와 관리자 등에 대한 접근 권한을 구분하고 인가된 사용자만이 접근할 수 있도록 엄격하게 통제하고 있는가? 중요도가 높은 소스 코드는(커스터마이징한 월렛, 키관리 소프트웨어, 거래 프로그램 등)접근을 통제하기 위한 사용자 인증, 권한관리 절차를 수립/이행하고 있는가? -취급업소에서 클라우드 또는 외부 형상관리 솔루션을 통해 소스코드 버전관리를 하는 경우, 중요 소스 프로그램에 대해 외부에서 접속/다운로드 가능한 위험이 존재 - 상용 KMS 솔루션, HSM 등의 키관리 장비 외에도, 키관리용 소프트웨어를 자체 개발하여 사용하는 경우가 있으므로, 이때 사용되는 소스 프로그램에 대한 안전한 관리가 필요함 소스 프로그램 변경이 필요한 경우 해당 프로그램을 개발 또는 시험 시스템에 복사 후 변경하고 있는가? |
| 2.9.1 변경관리 |
| 장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립/운용하고 있는가? -변경 대상 및 방법 변경 권한자 지정 -변경 전후내용 자동기록 및 보존 -변경 의뢰시 변경대상 업무, 변경사유, 변경내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승인내용 등을 포함 -원장변경 의로내용 및 변경결과에 대해 그 적정성 제3자(감사자 등) 확인 안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음사항을 준수하고 있는가? -작업요청서에 의한 책임자 승인 -일괄작업의 최대한 자동화 및 오류 최소화 -일괄작업 오류 발생 시 책임자 확인 및 조치 -모든 일괄작업내용 기록관리 -일괄작업 수행자의 주요업무관련행위 책임자 모니터링 |
| 2.9.3 백업 및 복구관리 |
| 개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해/재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산하고 있는가? -클라우드를 이용하여 서비스 하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고 , 소산하여야 함 |
| 2.9.4 로그 및 접속 기록 관리 |
| 월렛에 대한 모든 접근 및 사용은 책임추적성을 확보할 수 있도록 관련 접속기록과 권한부여 및 삭제, 거래 발생 등의 행위이력 로그를 빠짐없이 기록하고 있는가? -행위이력과 책임추적성과 달리 개인키값 등 과도하게 불필요한 정보가 로그기록에 저장된 채로 방치되지 않도록 기록항목을 검토하였는가? 정보시스템 가동기록을 1년 이상 유지하고 있는가? 이용자 중요원장에 직접 접근하여 조회/수정/삭제/삽입한 경우 작업자 및 작업내용 등을 기록하여 5년간 보존하고 있는가? |
| 2.9.5 로그 및 접속기록 점검 |
| 월렛서버, 가상자산 노드서버 등 취급업소에 특화된 정보시스템에 대해서도 로그 및 접속기록에 대한 검토정책을 누락없이 운영하고 있는가? - 특히 월렛 관련 정보시스템에 대한 로그는 개인키, 암호화키, 패스프레이즈 등이 포함될 수 있으므로 암호화되거나, 불필요한 정보가 과다하게 남지 않도록 저장해야 함 전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행 시 책임자가 이중확인하고 있는가? |
| 2.10.4 전자거래 및 핀테크 보안 |
| 이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는 멀티시그를 적용하고 있는가? 예) OTP, 인증서, 기기인증 등 가상자산거래 기록의 보존(5년) 및 관리를 하고 있는가? |
| 2.10.6 업무용 단말기기 보안 |
| 가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등 의 강화된 통제정책을 수립/이행하고 있는가? |
| 2.11.1 사고 예방 및 대응체계 구축 |
| 월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시 보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련하고 있는가? |
| 2.11.2 취약점 점검 및 조치 |
| 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? -대외서비스 : 반기 1회 이상 -내부시스템 : 연1회 이상 |
| 2.11.3 이상행위 분석 및 모니터링 |
| -월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축하고 있는가? -월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립/이행하고 있는가? *24시간 운영 되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요 |