참석자
- 전갑호, 김민아, 이재열 (KARI)
- 최재승, 한재중 (SI)
- 서혁민, 김xx (G3)
회의 내용
| 항목 | 내용 |
|---|---|
| SW 개발 보안 대책에 DAS 가 포함되어야 하는가? | 보안성 검토에 DAS 가 포함있음. DS 에 대해서 받은 것임. PM 은 포함되지 않음 |
| 주기적인 관리자 패스워드 변경을 시스템적? 정책적? | KARI 는 둘 다 상관없음 시스템적으로 알림만 해도 됨 DSS 에도 동일하게 적용하기로 함 |
| 시큐어 코딩 관련하여 G3 의 취약점 점검이란? | tool 을 돌릴 것임. KARI 에서 제공하는 점검 tool 이 별도로 있음 그 tool 이 더 세밀하게 점검하는 것 같음 KARI 전산실에서 운영 단계에 있는 시스템에 대해 매년 보안성 취약점을 점검함 개발 단계에서는 각 업체에서 알아서 진행해 주면 됨 |
| 관리자페이지 IP 제한 | DAS 에서 IP 정보를 입력하여 회원정보를 입력할 수 있도록 구성해야 함 PM 도 그렇게 해야 할 듯 함 |
| HTTPS/TLS 적용 | KARI 에서 인증서 발급해주면 시스템에 적용 가능함 내부 IP 를 사용하는 DAS 에 적용하려면 내부 DNS 서버가 있는지 KARI 에서 확인해야 함 → DAS 는 적용 대상이 아님 |
| 무결성 검증 | Hash table 등으로 검사가 가능함 취약점 검토를 통해 무결성 검증 관련 이슈가 나오면 처리하는 것으로 함 선도적/기능적으로 수행할 필요 없음 |
| 2차 인증 다중인증 | G3 는 개발/적용 경험이 없음 적용하려면 솔루션을 적용해야 할 것 같음 → 솔루션 단가가 만만치 않은 것 같음 유통망은 2차 인증을 하지 않음 DSS 에서는 VPN 인증을 사용할 것인데 VPN 도 인증방식을 적용하는 것이라고 할 수 있음 VPN 을 사용하려면 PC 가 지정되어 있어야 함 VPN/IP 를 이용해서 인증하는 것으로 다중인증을 한다고 볼 수 있음!!! DAS 에는 적용하지 않아도 됨!!! |
| 정보보안담당관 | KARI 에서 적극적으로 수행할 의지는 없어보임 각 업체에서 제안서에서 언급한 내용을 준수해주면 됨 |
| 중요정보 관련 DB 암호화 | 접속 계정의 패스워드만 암호화하기로 함 위성 정보는 중요정보라고 보지 않아도 됨 |
| 가명정보 처리 가이드라인 | DAS/DSS 모두 관련 없는 사항임 |
| 중요정보 1차/2차 백업 | DBMS 가 백업한 파일을 다른 사람이 가져가셔 복원하지 못하게 하는 것이라고 보임 DBMS 에서 백업 시에 백업 파일에 암호를 걸 수 있는지 확인이 필요하다고 보임 → MSSQL 에서 AES256 으로 암호 지원함 |