[2026] 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

2025년 12월 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드가 공개되었다.  (https://www.kisa.or.kr/2060204/form?postSeq=22)

 

 

주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드는 「정보통신기반 보호법」에 근간하여 개정된「 주요정보통신기반시설 취약점 분석·평가 기준 」의 기술적 평가 항목에 대한 구체적인 수행 방법을 제시한 실무 가이드이다.

구분	시행일	비고
「정보통신기반 보호법」	2025. 1. 24.	법률 제20068호
「정보통신기반 보호법 시행령」	2026. 1. 2.	대통령령 제35947호
「 주요정보통신기반시설 취약점 분석·평가 기준 」	2025. 12. 24.	과학기술정보통신부고시 제2025-62호

 

 

2019년에 평가 항목과 비교하여 신규로 추가되거나 합쳐진 항목을 나름대로 정리해보았다.

2026	2021	비고(신규 추가)
CI. 코드 인젝션 (Code Injection)	LI. LDAP 인젝션
	OC. 운영체제 명령 실행
	SS. SSI 인젝션
	XI. XPath 인젝션
		XXE 인젝션 추가
		SSTI 인젝션 추가
SI. SQL 인젝션 (SQL Injection)	SI. SQL 인젝션
DI. 디렉터리 인덱싱	DI. 디렉터리 인덱싱
EP. 에러 페이지 적용 미흡	신규
IL. 정보 누출	IL. 정보 누출
	PL. 위치 공개
XS. 크로스사이트 스크립트	XS. 크로스사이트 스크립팅
CF. 크로스사이트 요청 위조(CSRF)	CF. 크로스사이트 리퀘스트 변조(CSRF)
SF. 서버사이드 요청 위조(SSRF)	신규
BF. 약한 비밀번호 정책	BF. 약한 문자열 강도
IA. 불충분한 인증 절차	IA. 불충분한 인증
IN. 불충분한 권한 검증	IN. 불충분한 인가
PR. 취약한 비밀번호 복구 절차	PR. 취약한 패스워드 복구
PV. 프로세스 검증 누락	PV. 프로세스 검증 누락
FU. 악성 파일 업로드	FU. 파일 업로드
	CS. 악성 콘텐츠
FD. 파일 다운로드	FD. 파일 다운로드
	PT. 경로 추적
IS. 불충분한 세션 관리	SC. 불충분한 세션 만료
	SF. 세션 고정
	SE. 세션 예측
SN. 데이터 평문 전송	SN. 데이터 평문 전송
CC. 쿠키 변조	CC. 쿠키 변조
AE. 관리자 페이지 노출	AE. 관리자 페이지 노출
AU. 자동화 공격	AU. 자동화 공격
WM. 불필요한 Method 악용	신규
	BO. 버퍼 오버플로우
	FS. 포맷스트링

 

 

 

 

2025년 12월 KISA 홈페이지에 공개된 가이드

주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드.pdf

8.03MB

 

 

가이드 미리보기   새 창에서 열기