[K-ISMS 인증기준] 정보보호대책 10. 접근통제 #2

K-ISMS 인증기준 - 10. 접근통제 #2

---

10.3 접근통제 정책

10.3.1 사용자 인증

정보시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제되어야 하고. 필요한 경우 법적요구사항 등을 고려하여 중요 정보시스템 접근 시 강화된 인증방식을 적용하여야 한다.

10.3.1.1 정보시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?

ㅇ 정보시스템(네트워크 장비, 서버, 응용프로그램, DB 등) 및 정보보호시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하여야 한다. ㅇ 공개 인터넷망을 통하여 접속을 허용하는 주요 정보시스템의 경우 아이디, 패스워드 기반의 사용자 인증 이외의 강화된 인증수단(OTP, 공인인증서 등)적용을 고려하여야 한다.   ㅇ 특히 법적 요구사항에 따른 강화된 인증방식 사용이 필요한 경우 해당 정보시스템 접근 시 강화된 인증방식을 적용하여야 한다. ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준 (고시)' 제4조(접근통제)

10.3.1.2 싱글사인온 등의 인증 방법을 사용하는 경우 이에 대한 별도의 보호대책을 수립하고 있는가?  

ㅇ 싱글사인온 등 다양한 정보시스템에 대한 사용자 인증을 용이하게 하는 시스템을 운영하는 경우 병목 및 침투(인증 도용 등) 시 피해 확대 가능성이 있으므로 별도의 보안대책(주요 정보시스템 재인증 등)을 마련하여야 한다. ※ 싱글사인온(SSO : Single Sign-On) : 하나의 아이디로(단 한번의 로그인) 조직의 각종 정보시스템에 접속할 수 있는 응용프로그램을 의미

10.3.2 사용자 식별

정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다. 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.

10.3.2.1 정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가 ?  

ㅇ 정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자(아이디)를 할당하여 모든 사용자의 책임추적성을 보장하여야 한다. ㅇ 관리자 및 특수권한 계정의 경우 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한하여야 한다.  - 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정 등은 제거 또는 추측이 어려운 계정으로 변경하여야 한다

10.3.2.2 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받고 있는가 ?

ㅇ 정보시스템 환경 상 혹은 업무상 불가피하게 사용자 계정을 공유하여 사용할 경우, 사유와 타당성을 검토하여 책임자의 승인을 받아야 하며 책임추적성을 보장할 추가적인 통제 방안을 적용하여야 한다.

10.3.3 사용자 패스워드 관리

법적요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 사용자 패스워드 관리절차를 수립 ∙ 이행하고 패스워드 관리 책임이 사용자에게 있음을 주지시켜야 한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리하여야 한다.  

10.3.3.1 정보시스템 및 정보보호시스템에 대한 안전한 사용자 패스워드 관리절차를 수립 ∙ 이행하고 있는가?

ㅇ  조직 내부 주요 정보시스템 및 정보보호시스템에 대한 사용자의 안전한 패스워드 사용 및 관리절차(작성규칙 등)를 다음과 같이 수립하고 이행하여야 한다. - 사전공격(Dictionary attack)에 취약하지 않도록 문자(영문 대소문자), 숫자, 특수문자 등을 일정 자리수 이상으로 조합하도록 패스워드 작성규칙을 수립하고 주기적으로 변경 (분기 1회 이상 권고) - 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한 - 정보시스템 도입 시 초기/임시 패스워드 로그인 시 지체 없이 변경 - 패스워드 처리(입력, 변경) 시 마스킹 처리 - 종이, 파일, 포켓용 소형기기 등에 패스워드 기록∙저장을 제한하고 부득이하게 기록 ∙ 저장해야 하는 경우 암호화 등의 보호대책 적용   - 정보시스템 침해사고가 발생 또는 패스워드의 노출 징후가 의심될 경우 지체없이 패스워드 변경 - 패스워드 자동 저장 금지 - 개인정보취급자의 경우,  패스워드 작성 규칙에 대해 법적 요구사항 반영 등 ㅇ 응용프로그램인 경우 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다.  ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제4조(접근통제) : 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 - 개인정보보호법 '개인정보 안전성 확보조치 기준 제5조(비밀번호관리)'에 대한 해설서 : 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

10.3.3.2 정보시스템 관리자 패스워드는 별도 목록(문서 또는 파일)으로 유지 ∙ 관리하고 비밀등급에 준하는 보호대책을 적용하고 있는가?

ㅇ 정보시스템의 관리자 패스워드는 일반 사용자 패스워드와 별도로 관리하여야 하며 관리자 패스워드를 기록한 문서 또는 저장장치(보안USB 등)는 비밀등급에 준하여 취급하고 내화 금고 등 잠금장치로 비인가자의 접근을 통제할 수 있는 안전한 곳에 보관하여야 한다.

10.3.3.3 패스워드 관리 책임이 사용자에게 있음을 주지시키고 있는가?

ㅇ 교육, 홍보, 안내 등을 통해 사용자 계정 및 패스워드의 안전한 관리 절차에 대해 충분하게 공지하고 그에 따른 책임이 사용자에게 있음을 주지시켜야 한다.

10.3.4 이용자 패스워드 관리

고객, 회원 등 외부 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리절차를 마련하고 관련 내용을 공지하여야 한다.

10.3.4.1 고객, 회원 등 서비스 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 관리절차를 수립 ∙ 이행하고 있는가?  

ㅇ 서비스 이용자 계정 및 패스워드의 도용을 방지하기 위하여 다음과 같은 항목이 포함된 관리절차를 수립하고 이행하여야 한다. - 안전한 패스워드 작성규칙 수립 (패스워드 복잡도 등) - 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한 - 초기/임시 패스워드를 발급할 경우 최초 로그인 시 변경 - 주기적인 패스워드 변경 유도 - 패스워드 처리(입력, 변경) 시 마스킹 처리 - 이용자 패스워드 분실 ∙ 도난 시 안전한 재발급 절차(본인인증 등)를 수립하여 재발급을 통한 도용 방지 등 (임시 패스워드 발급 시 안전한 전송 및 로그인 후 변경)  ㅇ 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다.

10.3.4.2 이용자 계정 및 패스워드 관리절차 관련 내용을 홈페이지 또는 메일 등을 통하여 사용자가 쉽게 확인하고 이해할 수 있도록 공지하고 있는가?

ㅇ 고객, 회원 등 서비스 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드의 관리절차를 마련하고 관련 내용을 홈페이지 또는 메일 등을 통하여 사용자가 쉽게 확인하고 이해할 수 있도록 공지하여야 한다.