[K-ISMS 인증기준] 정보보호대책 10. 접근통제 #3

K-ISMS 인증기준 - 10. 접근통제 #3

---

10.4 접근통제 영역

10.4.1 네트워크 접근

네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제리스트, 네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내 ∙ 외부 네트워크를 분리하여야 한다.

10.4.1.1 접근통제 정책에 따라 인가된 사용자만이 네트워크에 접근할 수 있도록 네트워크 식별자(IP) 할당 등을 통제하고 있는가?  

ㅇ 정보시스템, PC 등에 IP를 부여하는 경우 승인 절차에 따라 부여하고 허가되지 않은 IP의 사용은 통제하여야 하며 인가된 사용자/단말만이 네트워크에 접근할 수 있도록 하여야 한다. ㅇ 특별히 업무를 위하여 필요하지 않은 경우 네트워크 장비에 설치된 포트, 서비스를 제거 또는 차단하여야 한다.

10.4.1.2 네트워크 구성 변경 시에는 공식적인 변경 관리 절차를 준수하고 자체적인 보안성 검토를 수행하고 있는가?

ㅇ 네트워크 신규 생성 및 변경은 조직의 정보보호 환경에 많은 영향을 미치기 때문에 주요 변경에 대해서는 보안성을 검토하고 책임자의 승인을 받아야 한다. (인증기준 11.1.2 변경관리 참고)

10.4.1.3 네트워크를 구성하는 주요자산 목록, 구성도, IP 현황을 최신으로 유지하고 안전하게 관리하고 있는가?  

ㅇ 네트워크를 구성하는 주요자산목록, 구성도, IP 현황 등을 최신으로 유지하고 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리하여야 한다. - 최소한의 인력만 접근, 전자 문서 형태로 관리할 경우 암호 설정 등

10.4.1.4 내부 네트워크 IP 주소는 사설 IP로 할당하고 국제권고표준을 따르고 있는가?  

ㅇ 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 내부 주소체계를 외부에 유출되지 않도록 하여야 하며 외부 네트워크와의 연결지점에 NAT(Network Address Translation) 기능을 적용하여야 한다.  ㅇ 사설 IP 주소를 할당하는 경우 국제표준에 따른 사설IP 주소대역을 사용하여야 한다. ※ 사설 IP 주소대역 ※ - 10.0.0.0 ~ 10.255.255.255 - 172.16.0.0 ~ 172.31.255.255 - 192.168.0.0 ~ 192.168.255.255)

10.4.1.5 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 있는가?  

ㅇ 핵심 업무영역의 네트워크는 위험평가를 통해 물리적 또는 논리적으로 영역을 분리하고 영역간 접근통제를 하여야 한다. - (DMZ) 외부로부터의 접근이 불가피한 웹서버, 메일서버 등의 공개용 서버는 DMZ 영역에 위치시키고 공개서버를 경유하여 내부 업무망으로의 접근이 이루어지지 않도록 접근통제를 수행하여야 한다. - (서버팜) 서버들이 위치하는 영역(서버팜)은 다른 네트워크 영역과 구분되고 인가받은 내부사용자의 접근만을 허용하도록 접근통제 정책을 적용하여야 한다. - (DB팜) 조직의 중요정보가 저장된 DB가 위치한 네트워크 영역은 다른 네트워크 영역과 분리하여야 한다. - (운영환경) 서버, 보안장비, 네트워크장비 등을 운영하는 인력이 사용하는 네트워크 영역은 별도로 분리하여야 한다.  - (개발환경) 개발업무(개발자PC, 개발서버, 테스트서버 등)에 사용되는 네트워크는 별도망으로 구성하여 운영에 사용되는 네트워크와 분리하여야 한다.  - (외부자) 외부 사용자에게 서비스를 제공하는 네트워크(외주용역, 민원실, 교육장 등)는 내부 업무용 네트워크와 분리하여야 한다. - (기타) 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영하여야 한다. ※ 다만 기업의 규모 등을 고려하여 서버팜/DB팜을 세부적으로 분리하기 어려운 경우 추가적인 보완대책을 마련하여야 한다. (호스트 기반 접근통제 등)

10.4.1.6 접근통제 정책에 따라 분리된 네트워크 영역간에 침입차단시스템 등을 통한 접근통제를 하고 있는가?  

ㅇ 칩임차단시스템, ACL(Access Control List) 설정이 가능한 네트워크 장비 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제하여야 한다. - 특히 외부(인터넷)로부터의 불법적인 접근 및 침해시도를 방지하기 위해 침입차단 시스템 등을 통하여 내부 네트워크 접근은 더욱 엄격하게 통제하여야 한다.

10.4.1.7 물리적으로 떨어진 IDC 센터, 지사, 대리점 등과의 네트워크 연결 시 전용회선을 구축하고 전용선 구축이 불가능한 경우 VPN(가상사설망) 등의 대책을 마련하고 있는가?

ㅇ 물리적으로 떨어진 장소와 네트워크 연결이 필요한 경우 전용회선 또는 VPN을 활용하여 보안성을 강화하여야 한다.

10.4.2 서버 접근

서버별로 접근이 허용되는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 적용하여야 한다.

10.4.2.1 서버별로 접근이 허용된 사용자를 명확하게 식별 ∙ 인증하고 안전한 접근수단을 적용하고 있는가?

ㅇ 서버별로 접근이 허용된 사용자를 명확하게 식별하여 접속 시 인증하고 원격 접근 시 암호화된 통신 수단(ssh 등)을 사용하여야 한다.

10.4.2.2 중요 서버의 연결시간을 제한하고 있는가?

ㅇ 서버 사용자 접속 후 일정시간 사용이 없으면 연결을 종료(세션 타임아웃 시간 설정)하여야 한다.

10.4.2.3 서버의 사용목적과 관계없는 서비스를 제거하고 있는가?  

ㅇ 서버의 사용목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다. ㅇ 시스템관리를 위한 프로그램의 설치 및 사용에 대해서는 인가 및 통제 절차를 수립하여야 한다.

10.4.2.4 자체 DNS를 사용하는 경우 DNS 서버의 과부하 및 침해사고를 예방하기 위한 보호대책을 수립 ∙ 이행하고 있는가?  

ㅇ DNS 서버의 부하분산 방안(DNS서버 이중화 또는 공개된 외부 DNS 서버)을 수립하여 적용하여야 한다. ㅇ DNS 서버의 환경변수 설정 및 설정 파일 정보에 대한 기록을 정기적으로 백업하고 DNS 스푸핑, DDoS 공격 등을 예방하기 위한 보호대책을 수립하여야 한다.

10.4.2.5 주요서비스를 제공하는 서버는 독립된 서버로 운영하고 있는가?

ㅇ 외부에 서비스를 제공하는 웹, 민감한 정보를 보관 ∙ 처리하고 있는 DB와 응용프로그램 등은 공용 장비로 사용하지 않고 독립된 서버를 사용하여야 한다.

10.4.3 응용 프로그램 접근

사용자의 업무 또는 직무에 따라 응용프로그램 접근권한을 제한하고 불필요한 중요정보 노출을 최소화해야 한다.

10.4.3.1 응용프로그램 및 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 접근권한을 차등 부여하고 있는가?

ㅇ 사용자의 업무(직무)에 따라 응용프로그램 접근권한을 분류하여 업무(직무)별 권한의 차등 부여가 가능하여야 하며 업무 목적에 맞게 접근권한 부여를 최소화하여야 한다.

10.4.3.2 중요정보의 노출(조회, 출력, 다운로드 등)을 최소화 하도록 응용 프로그램을 구현하고 있는가?  

ㅇ 사용자 권한과 법적 요구사항에 따라 중요정보의 필요한 부분만 표시되도록 하는 기능을 구현하여 중요정보의 노출을 통제하여야 한다. ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제8조(출력 ∙ 복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치)

10.4.3.3 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?  

ㅇ 일정시간 동안 입력이 없는 세션은 타임아웃 설정을 통해 연결을 차단하여야 한다. 단, 세션 타임아웃의 예외가 있는 경우 충분히 타당성을 검토하고 관련 책임자의 승인을 받아야 한다. ㅇ 주요 응용프로그램은 동일 사용자가 동시 접속할 수 없도록 하여야 한다.

10.4.3.4 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)을 외부에 오픈되지 않도록 접근통제하고 있는가?

ㅇ 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 외부 오픈을 차단하고 특정 위치의 단말에서만 접근 가능하도록 접근을 통제하고 로깅하여야 한다.

10.4.4 데이터 베이스 접근

데이터베이스 접근을 허용하는 응용프로그램 및 사용자 직무를 명확하게 정의하고 응용프로그램 및 직무별 접근통제 정책을 수립하여야 한다. 또한 중요정보를 저장하고 있는 데이터베이스의 경우 사용자 접근내역을 기록하고 접근의 타당성을 정기적으로 검토하여야 한다.

10.4.4.1 데이터베이스 관리자 및 사용자의 직무별 접근 통제 정책을 수립하고 이에 따라 운영하고 있는가?  

ㅇ DB서버 및 DBMS 접속에 대한 권한은 데이터베이스 관리자(DBA : Database Administrator), 사용자 등으로 구분하고 직무별 접근 통제 정책을 수립하여 이행하여야 한다. ㅇ 데이터베이스 관리자(DBA) 및 사용자의 활동을 감사추적할 수 있도록 유일한 식별자를 할당하여야 한다. (인증기준 10.3.2 사용자 식별 참고)

10.4.4.2 중요정보를 저장하고 있는 데이터베이스는 별도의 네트워크 영역으로 구분하고 있는가?

ㅇ 중요정보(개인정보, 기밀정보 등)를 저장하고 있는 데이터베이스 및 WAS(WebApplication Server)는 외부에 서비스를 제공하는 공개 네트워크 영역(DMZ)에 위치하여서는 안된다. (웹서버와 분리) - 단 WAS가 웹서버와 일체형으로 구성되어 분리가 어려운 경우에는 예외로 할 수 있다.

10.4.4.3 데이터베이스 접근을 허용하는 IP, 포트, 응용프로그램을 통제하고 있는가?  

ㅇ 일반 사용자는 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 하여야 하며 DBMS에 직접 접속하는 경우 DB 관리용 프로그램(DB 툴 등) 및 사용자(데이터베이스 관리자(DBA) 등)를 통제하여야 한다. ㅇ DMZ 구간에 위치한 웹서버에서 내부 네트워크 DB로 접근할 경우 관련 포트 이외의 서비스포트(ftp, telnet, 터미널 등)는 차단하여야 한다.

10.4.4.4 중요정보를 포함하고 있는 데이터베이스의 경우 데이터베이스 계정 또는 오브젝트(테이블, 뷰 또는 컬럼 등)수준에서 사용자 접근을 통제하고 있는가?  

ㅇ 중요정보(개인정보, 인사정보, 급여정도 등)가 포함된 테이블 또는 컬럼에 대해서는 업무상 취급 권한이 있는 자(개인정보취급자 등)만이 사용할 수 있도록 제한하여야 한다. ㅇ DBMS 관리를 위한 계정은 데이터베이스 관리자(DBA)만이 사용할 수 있도록 하여야 한다. ㅇ 사용하지 않는 계정, 테스트 계정, 기본 계정 등은 삭제 또는 접근이 불가능하도록 조치하여야 한다.  ㅇ 응용프로그램(웹 등)용으로 부여된 데이터베이스 계정의 경우 데이터베이스 관리자(DBA), 사용자 등이 공용으로 사용하지 않아야 한다.

10.4.4.5 중요정보를 저장하고 있는 데이터베이스의 경우 사용자 접속내역을 기록하고 접근의 타당성을 정기적으로 검토하고 있는가?

- 최소 월 1회 이상 검토

- 검토 후 이상여부에 대한 적절한 조치 여부

- 법적 요구사항 준수 여부

- 개인정보 등 중요정보를 대량으로 조회, 변경, 삭제와 관련된 이상징후

ㅇ DB 접근의 타당성을 최소 월 1회 이상 주기적으로 검토하는 것이 바람직하다. 개인정보처리시스템(DB)의 경우 개인정보취급자가 접속한 기록을 월 1회 정기적으로 확인감독하도록 하고 있다. (인증기준 11.6.3 접근 및 사용 모니터링 참고)

10.4.5 모바일 기기 접근

모바일기기를 업무 목적으로 내 ∙ 외부 네트워크에 연결하여 활용하는 경우 중요정보 유출 및 침해사고 예방을 위해 기기 인증 및 승인, 접근 범위, 기기 보안설정, 오남용 모니터링 등의 접근통제 대책을 수립하여야 한다.

10.4.5.1 모바일기기에 대한 보안 통제 정책을 마련하고 이에 따라 이행하고 있는가 ?

- 모바일 기기 허용기준

- 모바일 기기를 통한 업무 사용범위

- 모바일 기기 사용시 승인 절차 및 방법

- 모바일 기기 인증(MAC 인증 등)

- 모바일 기기 이용에 따른 보안 설정 정책 및 오남용 모니터링 대책  

ㅇ 모바일 기기를 업무 목적으로 사용하는 경우 다음을 고려하여 모바일기기 허용기준을 마련하고 모바일기기정보(MAC, 시리얼 번호, 사용자 등)을 목록화하여 관리하여야 한다. - 내 ∙ 외부 자산 (법인스마트폰, 개인스마트폰 등) - 기기종류 (노트북, 스마트패드, 스마트폰 등)  ㅇ 모바일기기를 통한 업무를 허용할 경우 범위를 명확히 하고 접근을 통제하여야 한다. ㅇ 모바일기기를 통한 업무를 허용할 경우 기기이용에 대한 승인절차를 거쳐야 하며 접속시 기기인증을 수행하는 방안을 마련하고 이행하여야 한다. ※ 기기인증 : 네트워크 장비를 통한 인증, 전용장비(NAC 등)을 통한 인증, AP 인증 등 ㅇ 모바일 기기 이용에 따른 보안정책 및 모니터링 대책을 마련하여야 한다. - 모바일 기기에 대한 이용자 보안 설정 정책 (백신설치, 보안패치, 공공장소에서의 사용주의, 분실시 데이터초기화 등) - 내부자료 유출 방지를 위한 정책, 교육, 책임부여, 처벌기준 - 모바일 기기의 오남용 여부를 파악할 수 있는 모니터링 대책 - 모바일 장비에 설치되는 소프트웨어의 안전성을 점검대책

10.4.6 인터넷 접속

인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급․운영하는 주요직무자의 경우 인터넷 접속 또는 서비스(P2P, 웹메일, 웹하드, 메신저 등)를 제한하고 인터넷 접속은 침입차단시스템을 통해 통제하여야 한다. 필요시 침입탐지시스템 등을 통해 인터넷 접속내역을 모니터링하여야 한다.

10.4.6.1 다음과 같은 인터넷 접속에 대한 정책을 수립하고 있는가?

- 인터넷 연결시 네트워크 구성 정책

- 이메일, 인터넷 사이트의 접속, 소프트웨어 다운로드 및 전송 등의 사용자 접속정책

ㅇ 인터넷 접속에 대한 보안정책을 수립하여야 한다. 보안정책에는 인터넷 연결 시의 네트워크 구성 정책, 사용자 접속정책을 포함하여야 한다.

10.4.6.2 중요정보를 취급 ∙ 운영하는 주요 직무자를 식별하여 인터넷 접속을 제한하고 있는가?  

ㅇ 중요정보를 취급∙운영하는 주요 직무자(개인정보취급자, 시스템관리자 등)의 경우 인터넷 접속 또는 서비스(P2P, 웹하드, 웹메일, 메신저 등)를 제한하는 등의 보호대책을 수립하고 이에 따라 이행하여야 한다. (인증기준 6.1.1 주요 직무자 지정 및 감독 참조) - 다만 일정규모 이상의 정보통신서비스제공자는 개인정보를 처리(다운로드, 파기, 접근권한 설정)하는 개인정보취급자 컴퓨터의 외부 인터넷 접속을 차단하여야 한다.   ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호호조치) - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제4조(접근통제)

10.4.6.3 내부 직원의 업무용 PC에서 유해사이트 등의 접속을 차단하고 있는가?

ㅇ 외부로부터의 악성코드 유입을 방지하기 위하여 내부 업무용 PC의 유해사이트(P2P,  웹하드 등) 접속에 대한 차단조치를 수행하여야 한다.

10.4.6.4 내부 서버에서 외부 인터넷접속을 제한하고 있는가?

ㅇ 악성코드 유입, 리버스커넥션이 차단되도록 내부 서버(DB서버, 파일서버, 패치서버 등)에서 외부 인터넷 접속을 제한하여야 한다. 부득이하게 허용할 필요가 있는 경우 관련 위험 분석을 통해 보호대책을 마련하고 정보보호책임자의 승인을 얻어야 한다.

10.4.6.5 인터넷 PC와 내부 업무용 PC를 분리하고 있는 경우 PC간의 자료전송을 통제하고 있는가?

ㅇ 원칙적으로 인터넷망과 내부망 PC 간의 자료전송은 차단하여야 하며 필요한 경우 별도의 통제절차를 거쳐 전송하고 해당 로그를 주기적으로 검토하여야 한다.