NAVER CLOUD PLATFORM

모의침투 테스트

클라우드 환경의 보안취약점 점검 및 조치, 규제 준수 목적으로 사전 협의 하에 모의침투 테스트를 수행하실 수 있습니다.

모의침투 테스트 안내

네이버 클라우드 플랫폼은 ISMS/ISMS-P(정보보호 및 개인정보보호 관리체계 인증제도) 인증기준 “취약점 점검 및 조치“, 공공 클라우드 보안인증제도(CSAP) 인증기준 “침해사고 대응 훈련 및 점검“등 각종 규제 준수 목적으로 모의침투 테스트 수행이 필요한 고객에 대하여 보안관리 활동을 보다 편리하게 수행할 수 있도록 고객의 모의침투 테스트를 지원해 드리고 있습니다.
고객은 사전 협의 없이 네이버 클라우드 플랫폼 인프라 및 서비스 또는 다른 고객 서비스에 대한 모의침투 테스트를 수행할 수 없습니다.
고객의 서비스를 대상으로한 모의침투 테스트 진행을 원하시는 경우, 다음과 같은 모의침투테스트 정책을 참고하시어 신청시 네이버 클라우드 플랫폼은 모의침투테스트가 원활히 진행될 수 있도록 고객 IP 차단 일시적 예외 방법으로 지원해드리고 있습니다.

이용 방법 안내

usageGuide
서비스 이용 약관
네이버 클라우드 플랫폼
모의 침투 테스트(Penetration Testing) 지원 정책(약관)
◼︎ 제 1 조 (개요 및 목적)
본 정책은 네이버클라우드 주식회사(이하 ‘회사’)가 제공하는 네이버 클라우드 플랫폼 서비스에 대한 모의 침투 테스트를 수행함에 있어 회사와 이용고객(이하 ‘고객’)간의 권리와 의무 및 기타 필요한 사항을 규정하는데 그 목적이 있습니다. 모든 모의 침투 테스트는 아래에서 설명하는 네이버 클라우드 플랫폼 모의 침투 테스트 지원 정책을 따라야 합니다.
◼︎ 제 2 조 (기본 조건)
네이버 클라우드 플랫폼 구성 요소에 대한 모의 침투 테스트는 반드시 회사와 사전 협의가 필요합니다. 협의되지 않은 모의 침투 테스트의 경우, 통보없이 차단 또는 고객 계정이 일시 중단될 수 있습니다.
모든 모의 침투 테스트는 고객의 리소스(자산)로 제한되며 다른 고객에게 의도하지 않은 결과가 발생하지 않도록 주의해야 합니다.
고객은 모의 침투 테스트 수행을 위해 사용한 도구와 서비스가 본 정책에서 제시하고 있는 범위 내에 올바르게 구성되고 의도한대로 작동하는지 사전에 확인 및 입증하여야 합니다.
모의 침투 테스트 과정에서 네이버 클라우드 플랫폼 서비스와 관련된 잠재적인 보안 문제(취약점)를 발견하면 즉시 보안팀(dl_ncp_ms@navercorp.com)에 문의해야 합니다. 또한 문의 내용에 대해 회사로부터 회사 명의의 공식 회신을 받을 때까지 보안 문제(취약점)를 제3자 또는 일반대중에 공개하여서는 아니 됩니다.
본 정책을 위반할 경우 고객의 모든 계정이 일시 중단되거나 종료되고 법적 조치를 받을 수 있습니다.
고객이 본 정책을 위반하여 회사 및 다른 고객의 데이터에 대한 손상이나 손해를 발생시킨 경우 이에 대한 책임은 고객에게 있습니다.
회사는 고객 및 고객의 리소스(자산)를 보호하고 서비스 품질을 보장합니다.
◼︎ 제 3 조 (제한 사항)
다른 고객에게 속한 리소스 검사 또는 테스트
다른 고객의 데이터에 대한 접근
다량의 트래픽을 생성하는 자동화된 서비스 테스트 수행
네이버 클라우드 플랫폼 이용 약관을 위반하는 방식의 서비스 사용
회사 및 회사 임직원에 대한 피싱 또는 기타 Social Engineering 공격 시도
모든 종류의 서비스 거부(DoS) 테스트 수행
1. 예외 사항 : Security Monitoring 서비스 이용 고객에 한하여 한국인터넷진흥원(KISA), 금융보안원(FSI) 등 국가 지정 침해사고 대응 기관을 통한 모의 훈련은 협의 하에 가능합니다.
2. 서비스 거부(DoS) 테스트는 아래의 범위로 제한 됩니다.
- 대역폭 : 사전 계약된 약정 용량 범위 내
- 빈도 : 최대 연 2회
◼︎ 제 4 조 (회사의 지원 범위)
모의 침투 테스트 시 사용되는 IP에 대한 예외처리 적용
Security Monitoring 서비스 이용 고객에 한하여 계약 범위 내 탐지 보고서 제공
(단, Basic Security 서비스 이용 고객의 경우, 탐지 보고서는 제공하지 않습니다.)
◼︎ 제 5 조 (사전 협의 요청 방법)
모의 침투 테스트 관련 일정 정보, 계정, 자산, 연락처 및 계획된 이벤트에 대한 상세 설명(source IP 등)을 포함한 ‘모의 침투 테스트 신청서(온라인)’를 작성하여 사전 협의를 신청해 주시기 바랍니다.
회사는 적정성 평가를 위하여 추가 정보를 고객에게 요청할 수 있습니다.
회사는 고객의 요청 내용을 바탕으로 테스트 적정성 여부를 검토 후 5영업일 이내에 결과를 회신 드립니다. 다만, 회사는 추가 정보 요청 또는 요청 사항에 대한 확인 등을 위해 필요한 경우 회신 기한을 7일 이내 범위에서 연장할 수 있으며 연장 시에는 메일로 통보합니다.