8) 접근통제
조직 내의 중요 자산 및 중요 정보를 보호하기 위하여 비인가자의 접근을 통제할 수 있는 접근통제 정책을 수립하고 접근통제 정책에 따라 직무 별·역할별 권한을 부여하여야 한다. 사용자 인증은 안전한 사용자 인증 절차에 의하여 통제하고 사용자의 고유 식별자를 할당 및 패스워드 보호 대책에 의거한 패스워드를 관리하여야 한다. 또한 중요자산에 대하여는 별도의 접근 통제를 실시하여 관리하여야 한다.
① 직무 별·역할별 권한 관리
조직 내의 중요 자산 및 중요 정보를 보호하기 위하여 “직무별”, “역할별” 접근권한을 관리하여야 하며, “정보시스템 영역별”로 사용자 계정을 관리하여야 한다. 접근권한의 “등록”, “변경”, “삭제” 시에 “적절한 승인 절차”에 따라 이행되어야 하며, “사용자 계정” 및 “접근권한 활동”에 대한 “적절성”을 “주기적으로 검토”하여야 한다. 또한 “정보시스템의 관리자” 및 “특수 목적을 부여한 계정”은 별도로 최소한의 인원에게 부여하고 사용 시에 승인 및 통제되어야 한다. 특히 “외부자”에게 부여된 관리자 및 특수권한은 사용 후 즉시 “삭제” 또는 “정지”되어야 한다.
관련표준 및 지침
| K-ISMS | 10.2.1 사용자 등록 및 권한부여 10.2.2 관리자 및 특수 권한 관리 |
| ISO/IEC 27002:2013 | A.9.2.1 User registration and de-registration A.9.2.2 User access provisioning A.9.2.3 Management of privileged access rights A.9.2.6 Removal or adjustment of access rights |
| NIST SP 800-53 | AC-2, IA-4, IA-5 AC-2, AC-3, AC-6 AC-2, PE-2, PS-4, PS-5 |
② 사용자 인증 및 식별
정보시스템의 접근은 “안전한 사용자 인증 절차”에 의하여 통제되어야 하며, 사용자의 “고유 식별자”를 할당하고 추측할 수 있는 “식별자” 사용을 제한하여야 한다. “안전한 사용자 인증 절차”는 “사용자 인증”, “로그인 횟수 제한”, “불법 로그인 시도 차단” 등을 의미하며 “법적 요구사항”에 따른 “강화된 인증방식”을 적용하여야 한다. 특히 “동일한 식별자 사용”은 원칙적으로 금지하나 부득이한 경우 “승인 절차”에 따라 승인 후 사용하여야 한다.
관련표준 및 지침
| K-ISMS | 10.3.1 사용자 인증 10.3.2 사용자 식별 |
| ISO/IEC 27002:2013 | A.9.2.4 Management of secret authentication information of users |
| NIST SP 800-53 | IA-5 |
③ 패스워드 관리
“안전한 패스워드 관리 절차”를 수립 및 이행하여야 하며 “패스워드 관리 책임”이 “사용자”에게 있음을 주지시켜야 한다. 안전한 패스워드 관리 절차는 “법적 요구사항”을 만족하는 “패스워드 복잡도”와 “변경 주기”를 반영하여야 하며, “암호화” 등의 보호 대책을 적용하여야 한다. 또한 “정보시스템 관리자 패스워드”는 별도 “문서”나 “파일”로 관리하고 “비밀등급”에 준하는 보호 대책을 적용하여야 한다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률의 “개인정보의 기술적·관리적 보호조치 기준” “제4조(접근통제)” 조항에 다음과 같이 비밀번호 작성 규칙을 규정하고 있다.
『제4조(접근통제) ⑦ 정보통신 서비스 제공자 등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립하고, 이행한다.
⑧ 정보통신 서비스 제공자 등은 개인정보 취급자를 대상으로 다음 각호의 사항을 포함하는 비밀번호 작성 규칙을 수립하고, 이를 적용·운용하여야 한다.
1. 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
가. 영문 대문자(26개)
나. 영문 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기 별 1회 이상 변경』
또한 개인정보 보호법의 “개인정보 보호 법령 및 지침‧고시 해설서”에 다음과 같이 비밀번호 작성 규칙을 규정하고 있다.
『개인정보처리자는 개인 정보취급자 또는 정보 주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성 규칙을 수립하여 적용하여야 한다. 안전하지 못한 비밀번호를 사용할 경우 정보가 노출될 위험성이 있기 때문이다. 안전한 비밀번호란 제3자가 쉽게 추측할 수 없으며 비밀번호 해킹 등을 통해서도 비밀번호를 얻어낼 수 없거나 얻어내는데 많은 시간이 요구되는 것을 의미한다. 따라서 개인정보취급자나 정보주체가 생일, 전화번호 등 추측하기 쉬운 숫자나 문자 등을 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 개인정보 처리시스템에 적용함으로써, 개인정보에 대한 안전한 접근통제를 달성할 수 있다.
일반적으로 비밀번호의 최소 길이는 그 비밀번호를 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 한다.
- 최소 10자리 이상: 영대 문자(A~Z, 26개), 영 소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 2종류 이상으로 구성한 경우
- 최소 8자리 이상: 영대 문자(A~Z, 26개), 영 소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 3종류 이상으로 구성한 경우 그리고 추측하기 어려운 비밀번호를 생성해야 하며, 비밀번호에 유효기간을 설정하고 주기적으로 변경할 필요가 있다.
- 생성한 비밀번호에 12345678등과 같은 일련번호, 전화번호 등과 같은 쉬운 문자열이 포함되지 않아야 함
- love, happy 등과 같은 잘 알려진 단어 또는 키보드 위에서 나란히 있는 문자열도 포함되지 않아야 함』
관련표준 및 지침
| K-ISMS | 10.3.3 사용자 패스워드 관리 10.3.4 이용자 패스워드 관리 |
| ISO/IEC 27002:2013 | A.9.4.3 Password management system A.9.3.1 Use of secret authentication information |
| NIST SP 800-53 | IA-5, IA-6 IA-5 |
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 예방(9) (0) | 2022.07.24 |
|---|---|
| 단계별 내부통제항목 - 예방(8) (0) | 2022.07.23 |
| 단계별 내부통제항목 - 예방(6) (0) | 2022.07.21 |
| 단계별 내부통제항목 - 예방(5) (0) | 2022.07.20 |
| 단계별 내부통제항목 - 예방(4) (0) | 2022.07.19 |
댓글