securityse lab

ㅇ 정보시스템, PC 등에 IP를 부여하는 경우 승인 절차에 따라 부여하고 허가되지 않은 IP의 사용은 통제하여야 하며 인가된 사용자/단말만이 네트워크에 접근할 수 있도록 하여야 한다.

ㅇ 특별히 업무를 위하여 필요하지 않은 경우 네트워크 장비에 설치된 포트, 서비스를 제거 또는 차단하여야 한다. 

 ㅇ 네트워크 신규 생성 및 변경은 조직의 정보보호 환경에 많은 영향을 미치기 때문에 주요 변경에 대해서는 보안성을 검토하고 책임자의 승인을 받아야 한다. (인증기준 11.1.2 변경관리 참고)

 ㅇ 네트워크를 구성하는 주요자산목록, 구성도, IP 현황 등을 최신으로 유지하고 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리하여야 한다.

- 최소한의 인력만 접근, 전자 문서 형태로 관리할 경우 암호 설정 등 

 ㅇ 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 내부 주소체계를 외부에 유출되지 않도록 하여야 하며 외부 네트워크와의 연결지점에 NAT(Network Address Translation) 기능을 적용하여야 한다. 

ㅇ 사설 IP 주소를 할당하는 경우 국제표준에 따른 사설IP 주소대역을 사용하여야 한다.

※ 사설 IP 주소대역 ※

- 10.0.0.0 ~ 10.255.255.255

- 172.16.0.0 ~ 172.31.255.255

- 192.168.0.0 ~ 192.168.255.255) 

 ㅇ 핵심 업무영역의 네트워크는 위험평가를 통해 물리적 또는 논리적으로 영역을 분리하고 영역간 접근통제를 하여야 한다.

- (DMZ) 외부로부터의 접근이 불가피한 웹서버, 메일서버 등의 공개용 서버는 DMZ 영역에 위치시키고 공개서버를 경유하여 내부 업무망으로의 접근이 이루어지지 않도록 접근통제를 수행하여야 한다.

- (서버팜) 서버들이 위치하는 영역(서버팜)은 다른 네트워크 영역과 구분되고 인가받은 내부사용자의 접근만을 허용하도록 접근통제 정책을 적용하여야 한다.

- (DB팜) 조직의 중요정보가 저장된 DB가 위치한 네트워크 영역은 다른 네트워크 영역과 분리하여야 한다.

- (운영환경) 서버, 보안장비, 네트워크장비 등을 운영하는 인력이 사용하는 네트워크 영역은 별도로 분리하여야 한다. 

- (개발환경) 개발업무(개발자PC, 개발서버, 테스트서버 등)에 사용되는 네트워크는 별도망으로 구성하여 운영에 사용되는 네트워크와 분리하여야 한다. 

- (외부자) 외부 사용자에게 서비스를 제공하는 네트워크(외주용역, 민원실, 교육장 등)는 내부 업무용 네트워크와 분리하여야 한다.

- (기타) 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영하여야 한다.

※ 다만 기업의 규모 등을 고려하여 서버팜/DB팜을 세부적으로 분리하기 어려운 경우 추가적인 보완대책을 마련하여야 한다. (호스트 기반 접근통제 등) 

 ㅇ 칩임차단시스템, ACL(Access Control List) 설정이 가능한 네트워크 장비 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제하여야 한다.

- 특히 외부(인터넷)로부터의 불법적인 접근 및 침해시도를 방지하기 위해 침입차단 시스템 등을 통하여 내부 네트워크 접근은 더욱 엄격하게 통제하여야 한다.   

 ㅇ 물리적으로 떨어진 장소와 네트워크 연결이 필요한 경우 전용회선 또는 VPN을 활용하여 보안성을 강화하여야 한다.

 ㅇ 서버별로 접근이 허용된 사용자를 명확하게 식별하여 접속 시 인증하고 원격 접근 시 암호화된 통신 수단(ssh 등)을 사용하여야 한다.

 ㅇ 서버 사용자 접속 후 일정시간 사용이 없으면 연결을 종료(세션 타임아웃 시간 설정)하여야 한다.

 ㅇ 서버의 사용목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다.

ㅇ 시스템관리를 위한 프로그램의 설치 및 사용에 대해서는 인가 및 통제 절차를 수립하여야 한다.  

 ㅇ DNS 서버의 부하분산 방안(DNS서버 이중화 또는 공개된 외부 DNS 서버)을 수립하여 적용하여야 한다.

ㅇ DNS 서버의 환경변수 설정 및 설정 파일 정보에 대한 기록을 정기적으로 백업하고 DNS 스푸핑, DDoS 공격 등을 예방하기 위한 보호대책을 수립하여야 한다. 

ㅇ 외부에 서비스를 제공하는 웹, 민감한 정보를 보관 ∙ 처리하고 있는 DB와 응용프로그램 등은 공용 장비로 사용하지 않고 독립된 서버를 사용하여야 한다.

 ㅇ 사용자의 업무(직무)에 따라 응용프로그램 접근권한을 분류하여 업무(직무)별 권한의 차등 부여가 가능하여야 하며 업무 목적에 맞게 접근권한 부여를 최소화하여야 한다.

ㅇ 사용자 권한과 법적 요구사항에 따라 중요정보의 필요한 부분만 표시되도록 하는 기능을 구현하여 중요정보의 노출을 통제하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제8조(출력 ∙ 복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치) 

 ㅇ 일정시간 동안 입력이 없는 세션은 타임아웃 설정을 통해 연결을 차단하여야 한다. 단, 세션 타임아웃의 예외가 있는 경우 충분히 타당성을 검토하고 관련 책임자의 승인을 받아야 한다.

ㅇ 주요 응용프로그램은 동일 사용자가 동시 접속할 수 없도록 하여야 한다.  

ㅇ 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 외부 오픈을 차단하고 특정 위치의 단말에서만 접근 가능하도록 접근을 통제하고 로깅하여야 한다.

ㅇ DB서버 및 DBMS 접속에 대한 권한은 데이터베이스 관리자(DBA : Database Administrator), 사용자 등으로 구분하고 직무별 접근 통제 정책을 수립하여 이행하여야 한다.

ㅇ 데이터베이스 관리자(DBA) 및 사용자의 활동을 감사추적할 수 있도록 유일한 식별자를 할당하여야 한다. (인증기준 10.3.2 사용자 식별 참고) 

 ㅇ 중요정보(개인정보, 기밀정보 등)를 저장하고 있는 데이터베이스 및 WAS(WebApplication Server)는 외부에 서비스를 제공하는 공개 네트워크 영역(DMZ)에 위치하여서는 안된다. (웹서버와 분리)

- 단 WAS가 웹서버와 일체형으로 구성되어 분리가 어려운 경우에는 예외로 할 수 있다. 

ㅇ 일반 사용자는 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 하여야 하며 DBMS에 직접 접속하는 경우 DB 관리용 프로그램(DB 툴 등) 및 사용자(데이터베이스 관리자(DBA) 등)를 통제하여야 한다.

ㅇ DMZ 구간에 위치한 웹서버에서 내부 네트워크 DB로 접근할 경우 관련 포트 이외의 서비스포트(ftp, telnet, 터미널 등)는 차단하여야 한다. 

 ㅇ 중요정보(개인정보, 인사정보, 급여정도 등)가 포함된 테이블 또는 컬럼에 대해서는 업무상 취급 권한이 있는 자(개인정보취급자 등)만이 사용할 수 있도록 제한하여야 한다.

ㅇ DBMS 관리를 위한 계정은 데이터베이스 관리자(DBA)만이 사용할 수 있도록 하여야 한다.

ㅇ 사용하지 않는 계정, 테스트 계정, 기본 계정 등은 삭제 또는 접근이 불가능하도록 조치하여야 한다. 

ㅇ 응용프로그램(웹 등)용으로 부여된 데이터베이스 계정의 경우 데이터베이스 관리자(DBA), 사용자 등이 공용으로 사용하지 않아야 한다. 

ㅇ DB 접근의 타당성을 최소 월 1회 이상 주기적으로 검토하는 것이 바람직하다. 개인정보처리시스템(DB)의 경우 개인정보취급자가 접속한 기록을 월 1회 정기적으로 확인감독하도록 하고 있다. (인증기준 11.6.3 접근 및 사용 모니터링 참고) 

ㅇ 모바일 기기를 업무 목적으로 사용하는 경우 다음을 고려하여 모바일기기 허용기준을 마련하고 모바일기기정보(MAC, 시리얼 번호, 사용자 등)을 목록화하여 관리하여야 한다.

- 내 ∙ 외부 자산 (법인스마트폰, 개인스마트폰 등)

- 기기종류 (노트북, 스마트패드, 스마트폰 등) 

ㅇ 모바일기기를 통한 업무를 허용할 경우 범위를 명확히 하고 접근을 통제하여야 한다.

ㅇ 모바일기기를 통한 업무를 허용할 경우 기기이용에 대한 승인절차를 거쳐야 하며 접속시 기기인증을 수행하는 방안을 마련하고 이행하여야 한다.

※ 기기인증 : 네트워크 장비를 통한 인증, 전용장비(NAC 등)을 통한 인증, AP 인증 등

ㅇ 모바일 기기 이용에 따른 보안정책 및 모니터링 대책을 마련하여야 한다.

- 모바일 기기에 대한 이용자 보안 설정 정책 (백신설치, 보안패치, 공공장소에서의 사용주의, 분실시 데이터초기화 등)

- 내부자료 유출 방지를 위한 정책, 교육, 책임부여, 처벌기준

- 모바일 기기의 오남용 여부를 파악할 수 있는 모니터링 대책

- 모바일 장비에 설치되는 소프트웨어의 안전성을 점검대책 

 ㅇ 인터넷 접속에 대한 보안정책을 수립하여야 한다. 보안정책에는 인터넷 연결 시의 네트워크 구성 정책, 사용자 접속정책을 포함하여야 한다.

 ㅇ 중요정보를 취급∙운영하는 주요 직무자(개인정보취급자, 시스템관리자 등)의 경우 인터넷 접속 또는 서비스(P2P, 웹하드, 웹메일, 메신저 등)를 제한하는 등의 보호대책을 수립하고 이에 따라 이행하여야 한다. (인증기준 6.1.1 주요 직무자 지정 및 감독 참조)

- 다만 일정규모 이상의 정보통신서비스제공자는 개인정보를 처리(다운로드, 파기, 접근권한 설정)하는 개인정보취급자 컴퓨터의 외부 인터넷 접속을 차단하여야 한다.  

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호호조치)

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제4조(접근통제) 

 ㅇ 외부로부터의 악성코드 유입을 방지하기 위하여 내부 업무용 PC의 유해사이트(P2P,  웹하드 등) 접속에 대한 차단조치를 수행하여야 한다.

 ㅇ 악성코드 유입, 리버스커넥션이 차단되도록 내부 서버(DB서버, 파일서버, 패치서버 등)에서 외부 인터넷 접속을 제한하여야 한다. 부득이하게 허용할 필요가 있는 경우 관련 위험 분석을 통해 보호대책을 마련하고 정보보호책임자의 승인을 얻어야 한다. 

ㅇ 원칙적으로 인터넷망과 내부망 PC 간의 자료전송은 차단하여야 하며 필요한 경우 별도의 통제절차를 거쳐 전송하고 해당 로그를 주기적으로 검토하여야 한다.

 ㅇ 정보시스템(네트워크 장비, 서버, 응용프로그램, DB 등) 및 정보보호시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하여야 한다.

ㅇ 공개 인터넷망을 통하여 접속을 허용하는 주요 정보시스템의 경우 아이디, 패스워드 기반의 사용자 인증 이외의 강화된 인증수단(OTP, 공인인증서 등)적용을 고려하여야 한다.  

ㅇ 특히 법적 요구사항에 따른 강화된 인증방식 사용이 필요한 경우 해당 정보시스템 접근 시 강화된 인증방식을 적용하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준 (고시)' 제4조(접근통제)  

 ㅇ 싱글사인온 등 다양한 정보시스템에 대한 사용자 인증을 용이하게 하는 시스템을 운영하는 경우 병목 및 침투(인증 도용 등) 시 피해 확대 가능성이 있으므로 별도의 보안대책(주요 정보시스템 재인증 등)을 마련하여야 한다.

※ 싱글사인온(SSO : Single Sign-On) : 하나의 아이디로(단 한번의 로그인) 조직의 각종 정보시스템에 접속할 수 있는 응용프로그램을 의미 

 ㅇ 정보시스템에서 사용자를 유일하게 구분할 수 있는 식별자(아이디)를 할당하여 모든 사용자의 책임추적성을 보장하여야 한다.

ㅇ 관리자 및 특수권한 계정의 경우 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한하여야 한다. 

- 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정 등은 제거 또는 추측이 어려운 계정으로 변경하여야 한다

ㅇ 정보시스템 환경 상 혹은 업무상 불가피하게 사용자 계정을 공유하여 사용할 경우, 사유와 타당성을 검토하여 책임자의 승인을 받아야 하며 책임추적성을 보장할 추가적인 통제 방안을 적용하여야 한다.

 ㅇ  조직 내부 주요 정보시스템 및 정보보호시스템에 대한 사용자의 안전한 패스워드 사용 및 관리절차(작성규칙 등)를 다음과 같이 수립하고 이행하여야 한다.

- 사전공격(Dictionary attack)에 취약하지 않도록 문자(영문 대소문자), 숫자, 특수문자 등을 일정 자리수 이상으로 조합하도록 패스워드 작성규칙을 수립하고 주기적으로 변경 (분기 1회 이상 권고)

- 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한

- 정보시스템 도입 시 초기/임시 패스워드 로그인 시 지체 없이 변경

- 패스워드 처리(입력, 변경) 시 마스킹 처리

- 종이, 파일, 포켓용 소형기기 등에 패스워드 기록∙저장을 제한하고 부득이하게 기록 ∙ 저장해야 하는 경우 암호화 등의 보호대책 적용  

- 정보시스템 침해사고가 발생 또는 패스워드의 노출 징후가 의심될 경우 지체없이 패스워드 변경

- 패스워드 자동 저장 금지

- 개인정보취급자의 경우,  패스워드 작성 규칙에 대해 법적 요구사항 반영 등

ㅇ 응용프로그램인 경우 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다. 

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 · 관리적 보호조치 기준(고시)' 제4조(접근통제)

: 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

- 개인정보보호법 '개인정보 안전성 확보조치 기준 제5조(비밀번호관리)'에 대한 해설서

: 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 

 ㅇ 정보시스템의 관리자 패스워드는 일반 사용자 패스워드와 별도로 관리하여야 하며 관리자 패스워드를 기록한 문서 또는 저장장치(보안USB 등)는 비밀등급에 준하여 취급하고 내화 금고 등 잠금장치로 비인가자의 접근을 통제할 수 있는 안전한 곳에 보관하여야 한다.

ㅇ 교육, 홍보, 안내 등을 통해 사용자 계정 및 패스워드의 안전한 관리 절차에 대해 충분하게 공지하고 그에 따른 책임이 사용자에게 있음을 주지시켜야 한다.

 ㅇ 서비스 이용자 계정 및 패스워드의 도용을 방지하기 위하여 다음과 같은 항목이 포함된 관리절차를 수립하고 이행하여야 한다.

- 안전한 패스워드 작성규칙 수립 (패스워드 복잡도 등)

- 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드사용 제한

- 초기/임시 패스워드를 발급할 경우 최초 로그인 시 변경

- 주기적인 패스워드 변경 유도

- 패스워드 처리(입력, 변경) 시 마스킹 처리

- 이용자 패스워드 분실 ∙ 도난 시 안전한 재발급 절차(본인인증 등)를 수립하여 재발급을 통한 도용 방지 등 (임시 패스워드 발급 시 안전한 전송 및 로그인 후 변경) 

ㅇ 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용 제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적 변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다.  

ㅇ 고객, 회원 등 서비스 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드의 관리절차를 마련하고 관련 내용을 홈페이지 또는 메일 등을 통하여 사용자가 쉽게 확인하고 이해할 수 있도록 공지하여야 한다.

ㅇ 접근통제 정책은 네트워크, 서버, 응용프로그램, DB, 모바일기기 등 영역별 접근통제 규칙, 방법, 절차 등을 포함하여야 한다. 

ㅇ 업무상 불가피하게 접근통제 정책 예외사항이 발생할 경우 이를 보완할 수 있는 통제방안(허가기간, 단말기, 접근위치 등)을 마련한 후 한시적으로 허용하여야 한다. 

ㅇ 정보시스템 영역별(네트워크장비, 서버, 응용프로그램, DB 등)로 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제에 관한 공식적인 검토 ∙ 승인절차를 수립하여 이행하여야 한다. 

ㅇ 정보시스템의 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제를 담당자가 임의대로 수행하여서는 안되며 수립된 절차에 따라 책임자의 승인이 완료된 후 이루어져야 한다.

ㅇ 사용자 계정 발급 및 접근권한 부여의 적정성 검토를 위하여 정보시스템에 등록된 사용자 계정 및 접근권한 부여 현황을 문서 또는 시스템으로 기록 ∙ 관리하여야 한다. (인증기준 10.2.3 접근권한 검토 참고) 

 ㅇ 직무별 또는 역할별 정보시스템 접근권한을 정의한 접근권한 분류 체계를 관리하여야 한다.

ㅇ 정보시스템에 대한 접근권한은 업무 수행에 필요한 최소한으로 할당하여야 하며, 업무 담당자 직무에 따라 차등 부여하여야 한다. 

 ㅇ 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제 권한을 한 사람에게 집중 부여하여서는 안되며 사용자 접근권한 변경이력에 대한 감사추적이 될 수 있도록 이력을 기록하여야 한다.

- 다만 불가피하게 계정관리 및 권한부여 권한이 한 사람에게 집중될 경우 권한 부여 활동의 적정성을 주기적으로 검토하여야 한다.

ㅇ 또한 아웃소싱 업체에게 접근권한 설정 권한을 주는 경우 중요 권한부여 시에는 내부 조직 책임자의 승인을 득하도록 하여야 한다. 

 ㅇ 관리자(root, administrator, admin 등 최종권한) 및 특수 권한(배치나 모니터링을 위하여 부여받은 권한, 계정 및 접근 설정 권한 등) 할당 및 사용 시에는 책임자의 승인을 포함한 인가 절차를 따라야 한다. 

ㅇ 관리자 권한을 식별하여 사용자를 최소한으로 제한하고 관리자 권한의 계정은 별도의 목록으로 관리하는 등 통제절차를 수립하여야 한다.

ㅇ 특수 권한은 반드시 필요한 경우에만  할당하도록 하며 특수 권한을 부여 받은 계정은 식별이 가능하도록 관리하여야 한다.

ㅇ 정보보호시스템(침입차단시스템 등), 응용프로그램 등의 관리자 계정 또한 특수 목적을 위한 계정으로 인식하고 관리하여야 한다. 

ㅇ 정보시스템 유지보수를 위하여 방문하는 외부자에게 부여하는 계정은 필요시에만 생성하고 유지보수 완료 후 즉시 삭제 또는 정지하는 절차를 적용하여야 한다. (3.2.2 외부자 계약 만료 시 보안 참고)

ㅇ 접근권한 분류체계(권한분류표 등)를 마련하여 분류체계를 기반으로 권한부여에 대한 적정성 여부를 검토할 수 있도록 하여야 한다.

- 접근권한 분류체계는 직무별 또는 역할별로 구분하여 수립할 수 있다.

- 예를 들어 개인정보처리시스템의 경우에는 개인정보처리(조회, 변경, 삭제, 다운로드 등) 권한 구분이 가능하도록 권한관리를 하여야 한다. 

ㅇ 다음과 같은 항목을 기준으로 접근권한 부여의 적정성을 검토하여야 한다. 

- 공식적인 절차에 따른 접근권한 부여 여부

- 접근권한 분류체계의 업무목적(직무) 및 보안정책 부합 여부

- 접근권한 부여 승인자에 대한 적절성

- 직무변경 시 기존 권한 회수 후 신규업무에 적합한 권한부여 여부

- 업무 목적 이외의 과도한 전급권한 부여

ㅇ 또한 장기 미사용, 직무변경, 휴직, 퇴직, 업무시간 외 사용 등의 경우에도 접근권한 사용 현황을 검토하여 다음과 같은 조치를 취해야 한다.

- 장기 미사용(3개월 권고) 계정 및 접근권한 삭제

- 직무변경 시 기존 권한을 회수하고 신규 업무에 적합한 권한을 부여

- 휴직(병가, 출산 등) 시 계정 및 권한 회수

- 퇴직 시 지체없이 계정을 삭제 (단, 계정삭제가 어려운 경우 권한 회수 한 후 계정을 정지)

※ 계정 정지 또는 비활성화를 하는 경우에는 계정 활성화가 불가능하도록 조치 필요

ㅇ 접근권한 검토 기준별로 검토주체, 검토방법, 주기(최소 분기 1회 이상 권고) 등을 구체적으로 정의하여 이행하여야 한다. 

ㅇ 접근권한 검토 대상은 개인정보처리시스템 등 서비스 및 업무에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템으로 정할 수 있다. (인증기준 4.2.1 보안등급과 취급 참고) 

ㅇ 접근권한 검토 결과 권한의 과다 부여, 오남용 등 의심스러운 상황이 발견된 경우, 원인 분석, 보완대책 마련, 보고체계 등이 포함된 절차를 수립하고 이행하여야 한다. 

ㅇ 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지하여야 한다.