최근 KISA(한국인터넷진흥원)에서
CISO 신고기업을 대상으로 한 긴급 보안점검이 시행되고 있습니다.
최근 발생한 보안사고의 대부분이
‘인터넷 접점 자산(망 접점)’에서 비롯된 만큼,
기업 내 IT자산 및 백업체계에 대한 전반적인 점검이 요구되고 있습니다.
CISO 긴급 보안점검 주요 내용
(목적)
망접점 자산 취약점 점검 및 기업 백업체계 강화
(대상)
국내 CISO 신고기업
(기간)
- ISMS 인증 기업 → ~10.31
- 상장기업 → ~11.30
- 중소기업 → ~12.31
(내용)
전사 IT자산 실사 → 인터넷 접점 자산 식별 →
취약점 점검 → 자체 백업훈련 및 결과보고
출처: KISA 보호나라
✅ CISO 보안점검 체크리스트
1️⃣ IT 자산 실사 및 인터넷 접점 자산 점검
- 전사 PC 및 서버 자산 목록 수집
- 공용 PC 및 개인 PC 현황 확인
- 패스워드 복잡도 설정 (대문자+숫자+특수문자 포함)
- 패스워드 주기적 변경 (90일 권장)
- Windows 업데이트 자동설정 및 최신 유지
- 비인가 소프트웨어 설치 여부 확인
- 윈도우 방화벽 실행 여부
- 백신 설치 및 최신 업데이트 확인
- 실시간 감시 기능 활성화
- 외부저장장치 자동실행 차단
2️⃣ 서버 및 네트워크 인프라 점검
- 서버 자산 목록(IP, OS, 역할 포함) 수집
- 관리자 비밀번호 복잡도·변경주기 점검
- 최신 보안패치 적용 여부 확인
- 불필요 서비스 및 포트 비활성화
- 비인가 원격접속 제한 (RDP, SSH 등)
- 서버용 백신 설치 및 실시간 감시 기능 활성화
- VPN/SSL 인증 적용
- 시스템·보안 로그 보관
- 정기 백업 정책 수립 및 수행
- 관리자 OTP(이중인증) 적용 권장
3️⃣ 백업체계 점검
- 정기 백업 주기 및 대상 확인
- 백업 저장 위치·매체 관리 (오프라인/암호화 권장)
- 자동백업 스케줄러 또는 솔루션 점검
- 복구 테스트(도상훈련) 실시
- 복구 후 서비스 정상 작동 확인
- 백업매체 보관 및 접근제한 설정
- 백업 점검 결과보고서 작성 및 CEO 보고
추가 점검 권장 항목
- BitLocker(디스크 암호화) 적용
- USB 차단 정책 중앙관리 (GPO 정책 활용)
- 서버 접근 IP 화이트리스트 설정
- 백업 로그 점검 및 복구 소요시간(RTO) 기록
- 클라우드 이중 백업 / 정기 복구훈련 일정화
점검 주기 권장
구분권장 주기비고
| PC 보안점검 |
월 1회 |
기본 점검 |
| 서버 점검 |
분기 1회 |
패치·계정·포트 중심 |
| 백업 점검 및 복구훈련 |
반기 1회 |
도상훈련 또는 실전테스트 |
✍️ 마무리
보안점검의 핵심은 ‘꾸준한 관리’입니다.
보안점검은 복잡한 절차보다
“기초 항목을 얼마나 꾸준히 관리하느냐” 가 더 중요합니다.
패치, 백신, 비밀번호, 백업 —
이 네 가지가 관리되면 대부분의 사고는 예방할 수 있습니다.
“보안은 한 번의 조치가 아니라, 매일의 습관이다.”
전산 담당자 입장에서는
이번 CISO 보안점검을 계기로 내부 시스템 점검을 정례화하는 것이 가장 중요하다고 생각합니다.