M-03: 이동통신망 장비 및 SW 제조사 등과 보안 정책을 마련하여 운영

분류: Mobile

중요도: 상

개요

일정 수준의 보안 요구 수준 및 운영 계획과 수명주기를 반영하여 보안 정책 운영 여부 점검

장비 도입 시점부터 SLA나 운영 방법, 개통이나 서비스 적용에 대한 상세 내역을 반영하여 운영 계획과 제품에 대한 수명주기를 반영하고 보안 수준을 유지하기 위함

운영 계획과 수명주기를 반영하지 않고 보안 요구 수준이 낮은 환경으로 서비스 운영 시 잠재적 보안 위협으로 인한 보안 사고 발생 위험이 존재함

-

사용자 장치로부터 코어 네트워크까지의 종단 네트워크 경로에 대한 보안 수준이 유지되도록 네트워크 설계 프로세스의 일부로서 초기에 고려되어 최저 보안 기준을 수립해야 함
장비를 도입하기 위한 네트워크 구축 디자인 시 전체 물리적인 도메인인 단말, 액세스 네트워크, 코어 네트워크에 걸쳐 보안 수준이 일정 수준으로 유지되도록 서비스 레벨 정의서(Service Level Agreement : SLA)를 작성해야 함
장비 도입 시 필수적인 보안 항목과 보안 수준을 개선할 수 있는 구현 가능 항목을 포함하여 보안 표준안을 정의하여야 하며, 개발 주기 동안 최신의 잠재적 위험을 개선할 수 있도록 피해 발생 회피와 피해 최소화를 고려해야 함
개발이 완료된 후 운영 환경에 적용하기 전에 보안 사전 테스트 및 검증을 통해 설계 시 예측하지 못한 운영상의 취약점을 식별하고 대응해야 하며 이러한 운영 환경에 대한 위험성 검토 및 보안 개선 활동은 구축이 완료된 이후에도 주기적으로 계획되고 실행되어야 함
네트워크 접속 시 보안 요구 수준이 낮은 종단 사용자 단말기와 IoT 장비 등은 제3의 서비스 사업자가 사용하는 API, IoT 운영 및 원격 관리에 대해서 추가적인 자동 보안 관제 장치 기술의 적용을 적극적으로 고려해야 함