[ISMS-P] 보호대책 요구사항 (2.6 접근통제)

#보호대책 요구사항 기준

2.6 접근통제

2.6.1 네트워크 접근

인증기준 : 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립/이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ), 서버팜, 데이터베이스좀, 개발존 등와 접근통제를 적용하여야 한다.

 

확인사항

- 조직의 네트워크 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?

- 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하고 있는가?

- 네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?

- 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제6조(접근통제)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 네트워크 구성도

- IP 관리대장

- 정보자산 목록

- 방화벽 룰

 

결함사례

1) 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우

2) 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있는 경우

3) 서버팜이 구성되어 있으나 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우

4) 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우

5) 내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우

---

2.6.2 정보시스템 접근

인증기준 : 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.

 

확인사항

- 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?

- 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?

- 정보시스템의 사용목적과 관계 없는 서비스를 제거하고 있는가?
- 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제6조(접근통제)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 정보시스템 운영체제 계정 목록

- 서버 보안 설정

- 서버접근제어 정책(SecureOS 관리화면 등)

- 서버 및 네트워크 구성도

- 정보자산 목록

 

결함사례

1) 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나, 터미널 서비스에 대한 세션 타임아웃 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우

2) 서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우

3) 타당한 사유 또는 보완대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우

---

2.6.3 응용프로그램 접근

인증기준 : 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.

 

확인사항

- 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?

- 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하고 운영하고 있는가?

- 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가/

- 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 응용프로그램 접근권한 분류 체계

- 응용프로그램 계정/권한 관리 화면

- 응용프로그램 사용자/관리자 화면(개인정보 조회 등)

- 응용프로그램 세션 타임 및 동시접속 허용 여부 내역

- 응용프로그램 관리자 접속로그 모니터링 내역

- 정보자산 목록

 

결함사례

1) 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인 정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우

2) 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우

3) 응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우

4) 응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우

5) 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우

---

2.6.4 데이터베이스 접근

인증기준 : 테이블 목록 등 데이터베이스 내에서 저장/관리되고 있는 정보를 식별하고 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립/이행하여야 한다.

 

확인사항

- 데이터베이스의 테이블 목록 등 저장/관리되고 있는 정보를 식별하고 있는가?

- 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제)

- 개인정보 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 데이터베이스 현황(테이블, 컬럼 등)

- 데이터베이스 접속자 계정/권한 목록

- 데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)

- 네트워크 구성도(데이터베이스존 등)

- 정보자산 목록

 

결함사례

1) 대량의 개인정보를 보관/처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우

2) 개발자 및 운영자들이 응용 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우

3) 내부 규저에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나 데이터베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우

4) 데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우

5) 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아 임시로 생성된 테이블에 불필요하 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우

---

2.6.5 무선 네트워크 접근

인증기준 : 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립/이행하여야 한다.

 

확인사항

- 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립/이행하고 있는가?

- 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립/이행하고 있는가?
- AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지, 차단 등 비인가된 무선 네트워크에 대한 보호대책을 수립/이행하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제6조(접근통제)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 네트워크 구성도

- AP 보안 설정 내역

- 비인가 무선 네트워크 점검 이력

- 무선네트워크 사용 신청/승인 이력

 

결함사례

1) 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우

2) 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나 안전하지 않은 방식으로 설정한 경우

3) 업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅 허용, 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우

---

2.6.6 원격접근 통제

인증기준 : 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고 재택근무, 장애대응, 원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말(보안, 패치 등) 등 보호대책을 수립/이행하여야 한다.

 

확이사항

- 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?

- 내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?

- 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립/이행하고 있는가?

- 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제6조(접근통제), 제10조(관리용 단말기 안전조치)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- VPN 등 사외접속 신청서

- VPN 계정 목록

- VPN 접근제어 정책 설정 현황

- IP 관리대장

- 원격 접근제어 설정(서버 설정, 보안시스템 설정 등)

- 관리용 단말기 지정 및 관리현황

- 네트워크 구성도

 

결함사례

1) 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우

2) 원격운영관리를 위하여 VPN을 구축하고 운영하고 있으나 VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우

3) 외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나 악성코드, 분실, 도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우

---

2.6.7 인터넷 접속 통제

인증기준 : 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립/이행하여야 한다.

 

확인사항

- 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제 정책을 수립/이행하고 있는가?
- 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
- 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제6조(접근통제)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

결함사례

1) 개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 기능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우

2) 망분리 의무대상으로서 망분리를 적용하였으나 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우

3) DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우

4) 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축/운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우

5) 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우