연구 개발 목적의 망분리 예외 적용에 따른 보안 해설서
| 내부망 (3호망) | 일반 업무망 |
| 전산실 (5호망) | 운영, 테스트, 보안 등 일반적인 중요단말망? |
| 인터넷망 | 인터넷 VDI |
| 연구 개발망 | 개발, AI, SaaS 활용한 연구 개발 활동 수행?? |
연구 개발망 <> 내부망 간에 논리적 망분리를 허용하고
> 한 PC에서 가상화나 접근제어 같은걸로 분리
연구 개발망 <> 전산실 간에 망간 전송을 허용한다는 내용
> 소스코드나 개발산출물 왔다갔다 할 수 있게
> 전산실은 이미 물리적 망분리 되어 있으니까
연구 개발망에서 가명정보 처리를 허용한다는 내용
> 유해 사이트 차단하고 외부 인터넷 접근통제 되어있을때
> 내부 업무망과 망분리 되어있을때
> 처리하는 데이터에 대해 모니터링 해야
> 연구 개발망 침해사고 예방 대책 적용해야
> 소스코드 같은거 외부 반출 방지, 망간 전송 허용 같은 보안관리 대책 있어야
연구 개발망 통해 IT 개발자들 재택근무 허용한다는 내용
-------------- 여기서부턴 예상 위험 --------------
외부 인터넷 잘 막지 않으면 소스코드 등 내부 정보 유출될 수 있다
> 개발자가 무단 유출 하거나
> 악성코드에 감염돼서 유출되거나
취약점 존재하는 오픈소스 사용해서 개발할 경우
> 소프트웨어 공급망 공격 같은
> 오픈소스 라이브러리에 악성코드 삽입해서 배포
외부에서 침투할 수 있다
> 서드파티 취약점을 통해 침투하거나 (ex. 망분리 솔루션의 제로데이 취약점)
> SaaS 등을 통해 악성코드 유입되거나
> 뭐가 됐든 통로가 생기면 침투
-------------- 여기서부턴 연구 개발망 구성 절차 --------------
1) 연구 개발망 활용 범위 판단
> 개발, AI, SaaS, 가명정보에 관련된 내용인지 판단
2) 자체 위험성 평가
> 소스코드 유출 가능성
> 오픈소스 등 공급망 공격 가능성
> 내부 침투 가능성
3) 정보보호통제 및 추가 보호 대책 적용
> 유해 사이트 차단, 외부 인터넷 통제
> 연구 개발망, 업무망, 전산실 간 망분리
> 연구 개발 단말기 및 시스템에 대한 보호대책 수립
> 중요정보 모니터링
> 연구 개말방 침해사고 예방 대책 수립
> 소스코드 등 외부 반출 방지, 망간 전송 허용에 따른 보안 관리 대책 수립
4) 정보보호 위원회 의결
> 위 내용들이 적정한지 판단