Home » ISMS 인증기준 – 정보보호대책 (접근통제)

ISMS 인증기준 – 정보보호대책 (접근통제)

접근통제 정책

10.1.1 접근통제 정책 수립

비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야 한다.

  • 접근 통제영역을 정의하고 접근 통제영역별로 접근통제 정책을 수립하고 있는가?
    • 접근통제 영역별 통제 규칙, 방법, 절차 등
    • 예외사항에 대한 안전한 관리절차
ㅇ 접근통제 정책은 네트워크, 서버, 응용프로그램, DB, 모바일기기 등 영역별 접근통제 규칙, 방법, 절차 등을 포함하여야 한다.

ㅇ 업무상 불가피하게 접근통제 정책 예외사항이 발생할 경우 이를 보완할 수 있는 통제방안(허가기간, 단말기, 접근위치 등)을 마련한 후 한시적으로 허용하여야 한다.

접근권한 관리

10.2.1 사용자 등록 및 권한부여

정보시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다.

  • 정보시스템의 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제에 관한 공식적인 절차를 수립 ∙ 이행하고 있는가?
ㅇ 정보시스템 영역별(네트워크장비, 서버, 응용프로그램, DB 등)로 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제에 관한 공식적인 검토 ∙ 승인절차를 수립하여 이행하여야 한다.

ㅇ 정보시스템의 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제를 담당자가 임의대로 수행하여서는 안되며 수립된 절차에 따라 책임자의 승인이 완료된 후 이루어져야 한다.

ㅇ 사용자 계정 발급 및 접근권한 부여의 적정성 검토를 위하여 정보시스템에 등록된 사용자 계정 및 접근권한 부여 현황을 문서 또는 시스템으로 기록 ∙ 관리하여야 한다. (인증기준 10.2.3 접근권한 검토 참고)

  • 정보시스템의 사용자 계정 생성 및 변경 시 직무별 접근권한 분류 체계 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가?
ㅇ 직무별 또는 역할별 정보시스템 접근권한을 정의한 접근권한 분류 체계를 관리하여야 한다.

ㅇ 정보시스템에 대한 접근권한은 업무 수행에 필요한 최소한으로 할당하여야 하며, 업무 담당자 직무에 따라 차등 부여하여야 한다.

  • 사용자 계정 등록 · 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제 권한을 한 사람에게 집중되지 않도록 하고 불가피한 경우, 접근권한 활동의 적정성을 주기적으로 검토하고 있는가?
ㅇ 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제 권한을 한 사람에게 집중 부여하여서는 안되며 사용자 접근권한 변경이력에 대한 감사추적이 될 수 있도록 이력을 기록하여야 한다.

– 다만 불가피하게 계정관리 및 권한부여 권한이 한 사람에게 집중될 경우 권한 부여 활동의 적정성을 주기적으로 검토하여야 한다.

ㅇ 또한 아웃소싱 업체에게 접근권한 설정 권한을 주는 경우 중요 권한부여 시에는 내부 조직 책임자의 승인을 득하도록 하여야 한다.

10.2.2 관리자 및 특수 권한 관리 정보시스템 및 중요정보 관리 및 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도 통제하여야 한다.

  • 관리자 및 특수 권한은 최소한의 인원에게만 부여하고 권한 부여 시 책임자 승인 절차를 수립하고 있는가?
ㅇ 관리자(root, administrator, admin 등 최종권한) 및 특수 권한(배치나 모니터링을 위하여 부여받은 권한, 계정 및 접근 설정 권한 등) 할당 및 사용 시에는 책임자의 승인을 포함한 인가 절차를 따라야 한다.
  • 관리자 권한 및 특수 권한을 식별하여 별도 목록으로 관리하고 있는가 ?
ㅇ 관리자 권한을 식별하여 사용자를 최소한으로 제한하고 관리자 권한의 계정은 별도의 목록으로 관리하는 등 통제절차를 수립하여야 한다.

ㅇ 특수 권한은 반드시 필요한 경우에만 할당하도록 하며 특수 권한을 부여 받은 계정은 식별이 가능하도록 관리하여야 한다.

ㅇ 정보보호시스템(침입차단시스템 등), 응용프로그램 등의 관리자 계정 또한 특수 목적을 위한 계정으로 인식하고 관리하여야 한다.

  • 외부자에게 부여하는 계정은 한시적으로 부여하고 사용이 끝난 후에는 즉시 삭제 또는 정지하고 있는가?
ㅇ 정보시스템 유지보수를 위하여 방문하는 외부자에게 부여하는 계정은 필요시에만 생성하고 유지보수 완료 후 즉시 삭제 또는 정지하는 절차를 적용하여야 한다. (3.2.2 외부자 계약 만료 시 보안 참고)

10.2.3 접근권한 검토

정보시스템 및 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장기간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 점검하여야 한다.

  • 직무별 또는 역할별 정보시스템 접근권한을 정의한 접근권한 분류 체계를 수립하고 있는가?
ㅇ 접근권한 분류체계(권한분류표 등)를 마련하여 분류체계를 기반으로 권한부여에 대한 적정성 여부를 검토할 수 있도록 하여야 한다.

– 접근권한 분류체계는 직무별 또는 역할별로 구분하여 수립할 수 있다.

– 예를 들어 개인정보처리시스템의 경우에는 개인정보처리(조회, 변경, 삭제, 다운로드 등) 권한 구분이 가능하도록 권한관리를 하여야 한다.

  • 정보시스템 및 중요정보에 대한 접근권한 검토 기준, 검토주체, 검토방법, 주기 등을 정하여 정기적 검토를 이행하고 있는가?
ㅇ 다음과 같은 항목을 기준으로 접근권한 부여의 적정성을 검토하여야 한다.

– 공식적인 절차에 따른 접근권한 부여 여부
– 접근권한 분류체계의 업무목적(직무) 및 보안정책 부합 여부
– 접근권한 부여 승인자에 대한 적절성
– 직무변경 시 기존 권한 회수 후 신규업무에 적합한 권한부여 여부
– 업무 목적 이외의 과도한 전급권한 부여

ㅇ 또한 장기 미사용, 직무변경, 휴직, 퇴직, 업무시간 외 사용 등의 경우에도 접근권한 사용 현황을 검토하여 다음과 같은 조치를 취해야 한다.

– 장기 미사용(3개월 권고) 계정 및 접근권한 삭제
– 직무변경 시 기존 권한을 회수하고 신규 업무에 적합한 권한을 부여
– 휴직(병가, 출산 등) 시 계정 및 권한 회수
– 퇴직 시 지체없이 계정을 삭제 (단, 계정삭제가 어려운 경우 권한 회수 한 후 계정을 정지)
※ 계정 정지 또는 비활성화를 하는 경우에는 계정 활성화가 불가능하도록 조치 필요

ㅇ 접근권한 검토 기준별로 검토주체, 검토방법, 주기(최소 분기 1회 이상 권고) 등을 구체적으로 정의하여 이행하여야 한다.

ㅇ 접근권한 검토 대상은 개인정보처리시스템 등 서비스 및 업무에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템으로 정할 수 있다. (인증기준 4.2.1 보안등급과 취급 참고)

  • 접근권한의 검토 결과 접근권한 오남용 등의 이상징후가 발견된 경우 그에 따른 조치절차를 수립 ∙ 이행하고 있는가?
ㅇ 접근권한 검토 결과 권한의 과다 부여, 오남용 등 의심스러운 상황이 발견된 경우, 원인 분석, 보완대책 마련, 보고체계 등이 포함된 절차를 수립하고 이행하여야 한다.

ㅇ 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지하여야 한다.

사용자 인증 및 식별

10.3.1 사용자 인증

정보시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제되어야 하고. 필요한 경우 법적요구사항 등을 고려하여 중요 정보시스템 접근 시 강화된 인증방식을 적용하여야 한다.

  • 정보시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
ㅇ 정보시스템(네트워크 장비, 서버, 응용프로그램, DB 등) 및 정보보호시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하여야 한다.

ㅇ 공개 인터넷망을 통하여 접속을 허용하는 주요 정보시스템의 경우 아이디, 패스워드 기반의 사용자 인증 이외의 강화된 인증수단(OTP, 공인인증서 등)적용을 고려하여야 한다.

ㅇ 특히 법적 요구사항에 따른 강화된 인증방식 사용이 필요한 경우 해당 정보시스템 접근 시 강화된 인증방식을 적용하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 · 관리적 보호조치 기준 (고시)’ 제4조(접근통제)

  • 싱글사인온 등의 인증 방법을 사용하는 경우 이에 대한 별도의 보호대책을 수립하고 있는가?
ㅇ 싱글사인온 등 다양한 정보시스템에 대한 사용자 인증을 용이하게 하는 시스템을 운영하는 경우 병목 및 침투(인증 도용 등) 시 피해 확대 가능성이 있으므로 별도의 보안대책(주요 정보시스템 재인증 등)을 마련하여야 한다.

※ 싱글사인온(SSO : Single Sign-On) : 하나의 아이디로(단 한번의 로그인) 조직의 각종 정보시스템에 접속할 수 있는 응용프로그램을 의미

10.3.2 사용자 식별

정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다. 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.

  • 정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가 ?
ㅇ 정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자(아이디)를 할당하여 모든 사용자의 책임추적성을 보장하여야 한다.

ㅇ 관리자 및 특수권한 계정의 경우 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한하여야 한다.

– 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정 등은 제거 또는 추측이 어려운 계정으로 변경하여야 한다.

  • 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받고 있는가 ?
ㅇ 정보시스템 환경 상 혹은 업무상 불가피하게 사용자 계정을 공유하여 사용할 경우, 사유와 타당성을 검토하여 책임자의 승인을 받아야 하며 책임추적성을 보장할 추가적인 통제 방안을 적용하여야 한다.

10.3.3 사용자 패스워드 관리

법적요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 사용자 패스워드 관리절차를 수립 ∙ 이행하고 패스워드 관리 책임이 사용자에게 있음을 주지시켜야 한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리하여야 한다.

  • 정보시스템 및 정보보호시스템에 대한 안전한 사용자 패스워드 관리절차를 수립 ∙ 이행하고 있는가?
ㅇ 조직 내부 주요 정보시스템 및 정보보호시스템에 대한 사용자의 안전한 패스워드 사용 및 관리절차(작성규칙 등)를 다음과 같이 수립하고 이행하여야 한다.

– 사전공격(Dictionary attack)에 취약하지 않도록 문자(영문 대소문자), 숫자, 특수문자 등을 일정 자리수 이상으로 조합하도록 패스워드 작성규칙을 수립하고 주기적으로 변경 (분기 1회 이상 권고)
– 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한
– 정보시스템 도입 시 초기/임시 패스워드 로그인 시 지체 없이 변경
– 패스워드 처리(입력, 변경) 시 마스킹 처리
– 종이, 파일, 포켓용 소형기기 등에 패스워드 기록∙저장을 제한하고 부득이하게 기록 ∙ 저장해야 하는 경우 암호화 등의 보호대책 적용
– 정보시스템 침해사고가 발생 또는 패스워드의 노출 징후가 의심될 경우 지체없이 패스워드 변경
– 패스워드 자동 저장 금지
– 개인정보취급자의 경우, 패스워드 작성 규칙에 대해 법적 요구사항 반영 등

ㅇ 응용프로그램인 경우 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 · 관리적 보호조치 기준(고시)’ 제4조(접근통제)
: 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
– 개인정보보호법 ‘개인정보 안전성 확보조치 기준 제5조(비밀번호관리)’에 대한 해설서
: 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

  • 정보시스템 관리자 패스워드는 별도 목록(문서 또는 파일)으로 유지 ∙ 관리하고 비밀등급에 준하는 보호대책을 적용하고 있는가?
ㅇ 정보시스템의 관리자 패스워드는 일반 사용자 패스워드와 별도로 관리하여야 하며 관리자 패스워드를 기록한 문서 또는 저장장치(보안USB 등)는 비밀등급에 준하여 취급하고 내화 금고 등 잠금장치로 비인가자의 접근을 통제할 수 있는 안전한 곳에 보관하여야 한다.
  • 패스워드 관리 책임이 사용자에게 있음을 주지시키고 있는가?
ㅇ 교육, 홍보, 안내 등을 통해 사용자 계정 및 패스워드의 안전한 관리 절차에 대해 충분하게 공지하고 그에 따른 책임이 사용자에게 있음을 주지시켜야 한다.

10.3.4 이용자 패스워드 관리

고객, 회원 등 외부 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리절차를 마련하고 관련 내용을 공지하여야 한다.

  • 고객, 회원 등 서비스 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 관리절차를 수립 ∙ 이행하고 있는가?
ㅇ 서비스 이용자 계정 및 패스워드의 도용을 방지하기 위하여 다음과 같은 항목이 포함된 관리절차를 수립하고 이행하여야 한다.

– 안전한 패스워드 작성규칙 수립 (패스워드 복잡도 등)
– 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한
– 초기/임시 패스워드를 발급할 경우 최초 로그인 시 변경
– 주기적인 패스워드 변경 유도
– 패스워드 처리(입력, 변경) 시 마스킹 처리
– 이용자 패스워드 분실 ∙ 도난 시 안전한 재발급 절차(본인인증 등)를 수립하여 재발급을 통한 도용 방지 등 (임시 패스워드 발급 시 안전한 전송 및 로그인 후 변경)

ㅇ 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다.

  • 이용자 계정 및 패스워드 관리절차 관련 내용을 홈페이지 또는 메일 등을 통하여 사용자가 쉽게 확인하고 이해할 수 있도록 공지하고 있는가?
ㅇ 고객, 회원 등 서비스 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드의 관리절차를 마련하고 관련 내용을 홈페이지 또는 메일 등을 통하여 사용자가 쉽게 확인하고 이해할 수 있도록 공지하여야 한다.

접근통제 영역

10.4.1 네트워크 접근

네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제리스트, 네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내 ∙ 외부 네트워크를 분리하여야 한다.

  • 접근통제 정책에 따라 인가된 사용자만이 네트워크에 접근할 수 있도록 네트워크 식별자(IP) 할당 등을 통제하고 있는가?
ㅇ 정보시스템, PC 등에 IP를 부여하는 경우 승인 절차에 따라 부여하고 허가되지 않은 IP의 사용은 통제하여야 하며 인가된 사용자/단말만이 네트워크에 접근할 수 있도록 하여야 한다.

ㅇ 특별히 업무를 위하여 필요하지 않은 경우 네트워크 장비에 설치된 포트, 서비스를 제거 또는 차단하여야 한다.

  • 네트워크 구성 변경 시에는 공식적인 변경 관리 절차를 준수하고 자체적인 보안성 검토를 수행하고 있는가?
ㅇ 네트워크 신규 생성 및 변경은 조직의 정보보호 환경에 많은 영향을 미치기 때문에 주요 변경에 대해서는 보안성을 검토하고 책임자의 승인을 받아야 한다. (인증기준 11.1.2 변경관리 참고)
  • 네트워크를 구성하는 주요자산 목록, 구성도, IP 현황을 최신으로 유지하고 안전하게 관리하고 있는가?
ㅇ 네트워크를 구성하는 주요자산목록, 구성도, IP 현황 등을 최신으로 유지하고 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리하여야 한다.

– 최소한의 인력만 접근, 전자 문서 형태로 관리할 경우 암호 설정 등

  • 내부 네트워크 IP 주소는 사설 IP로 할당하고 국제권고표준을 따르고 있는가?
ㅇ 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 내부 주소체계를 외부에 유출되지 않도록 하여야 하며 외부 네트워크와의 연결지점에 NAT(Network Address Translation) 기능을 적용하여야 한다.

ㅇ 사설 IP 주소를 할당하는 경우 국제표준에 따른 사설IP 주소대역을 사용하여야 한다.

※ 사설 IP 주소대역 ※
– 10.0.0.0 ~ 10.255.255.255
– 172.16.0.0 ~ 172.31.255.255
– 192.168.0.0 ~ 192.168.255.255)

  • 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 있는가?
ㅇ 핵심 업무영역의 네트워크는 위험평가를 통해 물리적 또는 논리적으로 영역을 분리하고 영역간 접근통제를 하여야 한다.

– (DMZ) 외부로부터의 접근이 불가피한 웹서버, 메일서버 등의 공개용 서버는 DMZ 영역에 위치시키고 공개서버를 경유하여 내부 업무망으로의 접근이 이루어지지 않도록 접근통제를 수행하여야 한다.
– (서버팜) 서버들이 위치하는 영역(서버팜)은 다른 네트워크 영역과 구분되고 인가받은 내부사용자의 접근만을 허용하도록 접근통제 정책을 적용하여야 한다.
– (DB팜) 조직의 중요정보가 저장된 DB가 위치한 네트워크 영역은 다른 네트워크 영역과 분리하여야 한다.
– (운영환경) 서버, 보안장비, 네트워크장비 등을 운영하는 인력이 사용하는 네트워크 영역은 별도로 분리하여야 한다.
– (개발환경) 개발업무(개발자PC, 개발서버, 테스트서버 등)에 사용되는 네트워크는 별도망으로 구성하여 운영에 사용되는 네트워크와 분리하여야 한다.
– (외부자) 외부 사용자에게 서비스를 제공하는 네트워크(외주용역, 민원실, 교육장 등)는 내부 업무용 네트워크와 분리하여야 한다.
– (기타) 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영하여야 한다.

※ 다만 기업의 규모 등을 고려하여 서버팜/DB팜을 세부적으로 분리하기 어려운 경우 추가적인 보완대책을 마련하여야 한다. (호스트 기반 접근통제 등)

  • 접근통제 정책에 따라 분리된 네트워크 영역간에 침입차단시스템 등을 통한 접근통제를 하고 있는가?
ㅇ 칩임차단시스템, ACL(Access Control List) 설정이 가능한 네트워크 장비 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제하여야 한다.

– 특히 외부(인터넷)로부터의 불법적인 접근 및 침해시도를 방지하기 위해 침입차단 시스템 등을 통하여 내부 네트워크 접근은 더욱 엄격하게 통제하여야 한다.

  • 물리적으로 떨어진 IDC 센터, 지사, 대리점 등과의 네트워크 연결 시 전용회선을 구축하고 전용선 구축이 불가능한 경우 VPN(가상사설망) 등의 대책을 마련하고 있는가?
ㅇ 물리적으로 떨어진 장소와 네트워크 연결이 필요한 경우 전용회선 또는 VPN을 활용하여 보안성을 강화하여야 한다.

10.4.2 서버 접근

서버별로 접근이 허용되는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 적용하여야 한다.

  • 서버별로 접근이 허용된 사용자를 명확하게 식별 ∙ 인증하고 안전한 접근수단을 적용하고 있는가?
ㅇ 서버별로 접근이 허용된 사용자를 명확하게 식별하여 접속 시 인증하고 원격 접근 시 암호화된 통신 수단(ssh 등)을 사용하여야 한다.
  • 중요 서버의 연결시간을 제한하고 있는가?
ㅇ 서버 사용자 접속 후 일정시간 사용이 없으면 연결을 종료(세션 타임아웃 시간 설정)하여야 한다.
  • 서버의 사용목적과 관계없는 서비스를 제거하고 있는가?
ㅇ 서버의 사용목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다.

ㅇ 시스템관리를 위한 프로그램의 설치 및 사용에 대해서는 인가 및 통제 절차를 수립하여야 한다.

  • 자체 DNS를 사용하는 경우 DNS 서버의 과부하 및 침해사고를 예방하기 위한 보호대책을 수립 ∙ 이행하고 있는가?
ㅇ DNS 서버의 부하분산 방안(DNS서버 이중화 또는 공개된 외부 DNS 서버)을 수립하여 적용하여야 한다.

ㅇ DNS 서버의 환경변수 설정 및 설정 파일 정보에 대한 기록을 정기적으로 백업하고 DNS 스푸핑, DDoS 공격 등을 예방하기 위한 보호대책을 수립하여야 한다.

  • 주요서비스를 제공하는 서버는 독립된 서버로 운영하고 있는가?
ㅇ 외부에 서비스를 제공하는 웹, 민감한 정보를 보관 ∙ 처리하고 있는 DB와 응용프로그램 등은 공용 장비로 사용하지 않고 독립된 서버를 사용하여야 한다.

10.4.3 응용 프로그램 접근

사용자의 업무 또는 직무에 따라 응용프로그램 접근권한을 제한하고 불필요한 중요정보 노출을 최소화해야 한다.

  • 응용프로그램 및 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 접근권한을 차등 부여하고 있는가?
ㅇ 사용자의 업무(직무)에 따라 응용프로그램 접근권한을 분류하여 업무(직무)별 권한의 차등 부여가 가능하여야 하며 업무 목적에 맞게 접근권한 부여를 최소화하여야 한다.
  • 중요정보의 노출(조회, 출력, 다운로드 등)을 최소화 하도록 응용 프로그램을 구현하고 있는가?
ㅇ 사용자 권한과 법적 요구사항에 따라 중요정보의 필요한 부분만 표시되도록 하는 기능을 구현하여 중요정보의 노출을 통제하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 · 관리적 보호조치 기준(고시)’ 제8조(출력 ∙ 복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치)

  • 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
ㅇ 일정시간 동안 입력이 없는 세션은 타임아웃 설정을 통해 연결을 차단하여야 한다. 단, 세션 타임아웃의 예외가 있는 경우 충분히 타당성을 검토하고 관련 책임자의 승인을 받아야 한다.

ㅇ 주요 응용프로그램은 동일 사용자가 동시 접속할 수 없도록 하여야 한다.

  • 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)을 외부에 오픈되지 않도록 접근통제하고 있는가?
ㅇ 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 외부 오픈을 차단하고 특정 위치의 단말에서만 접근 가능하도록 접근을 통제하고 로깅하여야 한다.

10.4.4 데이터 베이스 접근

데이터베이스 접근을 허용하는 응용프로그램 및 사용자 직무를 명확하게 정의하고 응용프로그램 및 직무별 접근통제 정책을 수립하여야 한다. 또한 중요정보를 저장하고 있는 데이터베이스의 경우 사용자 접근내역을 기록하고 접근의 타당성을 정기적으로 검토하여야 한다.

  • 데이터베이스 관리자 및 사용자의 직무별 접근 통제 정책을 수립하고 이에 따라 운영하고 있는가?
ㅇ DB서버 및 DBMS 접속에 대한 권한은 데이터베이스 관리자(DBA : Database Administrator), 사용자 등으로 구분하고 직무별 접근 통제 정책을 수립하여 이행하여야 한다.

ㅇ 데이터베이스 관리자(DBA) 및 사용자의 활동을 감사추적할 수 있도록 유일한 식별자를 할당하여야 한다. (인증기준 10.3.2 사용자 식별 참고)

  • 중요정보를 저장하고 있는 데이터베이스는 별도의 네트워크 영역으로 구분하고 있는가?
ㅇ 중요정보(개인정보, 기밀정보 등)를 저장하고 있는 데이터베이스 및 WAS(WebApplication Server)는 외부에 서비스를 제공하는 공개 네트워크 영역(DMZ)에 위치하여서는 안된다. (웹서버와 분리)

– 단 WAS가 웹서버와 일체형으로 구성되어 분리가 어려운 경우에는 예외로 할 수 있다.

  • 데이터베이스 접근을 허용하는 IP, 포트, 응용프로그램을 통제하고 있는가?
ㅇ 일반 사용자는 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 하여야 하며 DBMS에 직접 접속하는 경우 DB 관리용 프로그램(DB 툴 등) 및 사용자(데이터베이스 관리자(DBA) 등)를 통제하여야 한다.

ㅇ DMZ 구간에 위치한 웹서버에서 내부 네트워크 DB로 접근할 경우 관련 포트 이외의 서비스포트(ftp, telnet, 터미널 등)는 차단하여야 한다.

  • 중요정보를 포함하고 있는 데이터베이스의 경우 데이터베이스 계정 또는 오브젝트(테이블, 뷰 또는 컬럼 등)수준에서 사용자 접근을 통제하고 있는가?
ㅇ 중요정보(개인정보, 인사정보, 급여정도 등)가 포함된 테이블 또는 컬럼에 대해서는 업무상 취급 권한이 있는 자(개인정보취급자 등)만이 사용할 수 있도록 제한하여야 한다.

ㅇ DBMS 관리를 위한 계정은 데이터베이스 관리자(DBA)만이 사용할 수 있도록 하여야 한다.

ㅇ 사용하지 않는 계정, 테스트 계정, 기본 계정 등은 삭제 또는 접근이 불가능하도록 조치하여야 한다.

ㅇ 응용프로그램(웹 등)용으로 부여된 데이터베이스 계정의 경우 데이터베이스 관리자(DBA), 사용자 등이 공용으로 사용하지 않아야 한다.

  • 중요정보를 저장하고 있는 데이터베이스의 경우 사용자 접속내역을 기록하고 접근의 타당성을 정기적으로 검토하고 있는가?
    • 최소 월 1회 이상 검토
    • 검토 후 이상여부에 대한 적절한 조치 여부
    • 법적 요구사항 준수 여부
    • 개인정보 등 중요정보를 대량으로 조회, 변경, 삭제와 관련된 이상징후”
ㅇ DB 접근의 타당성을 최소 월 1회 이상 주기적으로 검토하는 것이 바람직하다. 개인정보처리시스템(DB)의 경우 개인정보취급자가 접속한 기록을 월 1회 정기적으로 확인감독하도록 하고 있다. (인증기준 11.6.3 접근 및 사용 모니터링 참고)

10.4.5 모바일 기기 접근

모바일기기를 업무 목적으로 내 ∙ 외부 네트워크에 연결하여 활용하는 경우 중요정보 유출 및 침해사고 예방을 위해 기기 인증 및 승인, 접근 범위, 기기 보안설정, 오남용 모니터링 등의 접근통제 대책을 수립하여야 한다.

  • 모바일기기에 대한 보안 통제 정책을 마련하고 이에 따라 이행하고 있는가 ?
    • 모바일 기기 허용기준
    • 모바일 기기를 통한 업무 사용범위
    • 모바일 기기 사용시 승인 절차 및 방법
    • 모바일 기기 인증(MAC 인증 등)
    • 모바일 기기 이용에 따른 보안 설정 정책 및 오남용 모니터링 대책
ㅇ 모바일 기기를 업무 목적으로 사용하는 경우 다음을 고려하여 모바일기기 허용기준을 마련하고 모바일기기정보(MAC, 시리얼 번호, 사용자 등)을 목록화하여 관리하여야 한다.

– 내 ∙ 외부 자산 (법인스마트폰, 개인스마트폰 등)
– 기기종류 (노트북, 스마트패드, 스마트폰 등)

ㅇ 모바일기기를 통한 업무를 허용할 경우 범위를 명확히 하고 접근을 통제하여야 한다.

ㅇ 모바일기기를 통한 업무를 허용할 경우 기기이용에 대한 승인절차를 거쳐야 하며 접속시 기기인증을 수행하는 방안을 마련하고 이행하여야 한다.

※ 기기인증 : 네트워크 장비를 통한 인증, 전용장비(NAC 등)을 통한 인증, AP 인증 등

ㅇ 모바일 기기 이용에 따른 보안정책 및 모니터링 대책을 마련하여야 한다.

– 모바일 기기에 대한 이용자 보안 설정 정책 (백신설치, 보안패치, 공공장소에서의 사용주의, 분실시 데이터초기화 등)
– 내부자료 유출 방지를 위한 정책, 교육, 책임부여, 처벌기준
– 모바일 기기의 오남용 여부를 파악할 수 있는 모니터링 대책
– 모바일 장비에 설치되는 소프트웨어의 안전성을 점검대책

10.4.6 인터넷 접속

인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급․운영하는 주요직무자의 경우 인터넷 접속 또는 서비스(P2P, 웹메일, 웹하드, 메신저 등)를 제한하고 인터넷 접속은 침입차단시스템을 통해 통제하여야 한다. 필요시 침입탐지시스템 등을 통해 인터넷 접속내역을 모니터링하여야 한다.

  • 다음과 같은 인터넷 접속에 대한 정책을 수립하고 있는가?
    • 인터넷 연결시 네트워크 구성 정책
    • 이메일, 인터넷 사이트의 접속, 소프트웨어 다운로드 및 전송 등의 사용자 접속정책
ㅇ 인터넷 접속에 대한 보안정책을 수립하여야 한다. 보안정책에는 인터넷 연결 시의 네트워크 구성 정책, 사용자 접속정책을 포함하여야 한다.
  • 중요정보를 취급 ∙ 운영하는 주요 직무자를 식별하여 인터넷 접속을 제한하고 있는가?
ㅇ 중요정보를 취급∙운영하는 주요 직무자(개인정보취급자, 시스템관리자 등)의 경우 인터넷 접속 또는 서비스(P2P, 웹하드, 웹메일, 메신저 등)를 제한하는 등의 보호대책을 수립하고 이에 따라 이행하여야 한다. (인증기준 6.1.1 주요 직무자 지정 및 감독 참조)

– 다만 일정규모 이상의 정보통신서비스제공자는 개인정보를 처리(다운로드, 파기, 접근권한 설정)하는 개인정보취급자 컴퓨터의 외부 인터넷 접속을 차단하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호호조치)
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 · 관리적 보호조치 기준(고시)’ 제4조(접근통제)

  • 내부 직원의 업무용 PC에서 유해사이트 등의 접속을 차단하고 있는가?
ㅇ 외부로부터의 악성코드 유입을 방지하기 위하여 내부 업무용 PC의 유해사이트(P2P, 웹하드 등) 접속에 대한 차단조치를 수행하여야 한다.
  • 내부 서버에서 외부 인터넷접속을 제한하고 있는가?
ㅇ 악성코드 유입, 리버스커넥션이 차단되도록 내부 서버(DB서버, 파일서버, 패치서버 등)에서 외부 인터넷 접속을 제한하여야 한다. 부득이하게 허용할 필요가 있는 경우 관련 위험 분석을 통해 보호대책을 마련하고 정보보호책임자의 승인을 얻어야 한다.
  • 인터넷 PC와 내부 업무용 PC를 분리하고 있는 경우 PC간의 자료전송을 통제하고 있는가?
ㅇ 원칙적으로 인터넷망과 내부망 PC 간의 자료전송은 차단하여야 하며 필요한 경우 별도의 통제절차를 거쳐 전송하고 해당 로그를 주기적으로 검토하여야 한다.