ISMS-P 인증 기준 2.6.6.원격접근 통제

From IT Wiki

개요

항목 2.6.6.원격접근 통제
인증기준 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
    • (가상자산사업자) 월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가?
  • 내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
  • 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립‧이행하고 있는가?
  • 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?

세부 설명

주요 시스템에 대한 원격접속 대책 수립·이행

인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 원격운영은 원칙적으로 금지하고 부득이하게 허용하는 경우 다음과 같은 대책을 수립·이행하여야 한다.

  • 원격 운영 및 접속에 대한 책임자의 승인
  • 안전한 인증수단(인증서, OTP 등) 적용
  • 안전한 접속수단(VPN 등) 적용
  • 한시적 접근권한 부여 및 권한자 현황 관리
  • 백신 설치, 보안패치 등 접속 단말 보안
  • 원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등)
  • 원격접속 기록 로깅 및 주기적 분석
  • 원격 운영 관련 보안인식 교육 등

내부 네트워크 경유 시 단말 제한

내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하여야 한다.

  • 접속 가능한 단말을 IP주소, MAC주소 등으로 제한
  • 정상적인 원격접속 경로를 우회한 접속경로 차단 등

원격업무 수행 보호대책 수립·이행

재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하여야 한다.

  • 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경
  • 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위
  • 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
  • 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화(VPN 등), 강화된 사용자 인증(OTP 등)
  • 접속 단말(PC, 모바일 기기 등) 보안 : 백신 설치, 보안패치 적용, 단말 인증, 분실·도난 시 대책(신고 절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요시 암호화 조치) 등
  • 스마트워크 업무환경 정보보호지침 수립 및 교육 등

개인정보처리시스템 관리용 단말기 보호

개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기(관리용 단말기)에 대하여 다음과 같은 보호조치를 적용하여야 한다.

  • 관리용 단말기 지정 및 목록관리
  • 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
  • 등록된 관리용 단말기 이외에는 접근하지 못하도록 조치
  • 본래 목적 외로 사용되지 않도록 조치
  • 관리용 단말기에 악성프로그램 감염 방지 등을 위한 보호조치 적용

증거 자료

  • VPN 등 사외접속 신청서
  • VPN 계정 목록
  • VPN 접근제어 정책 설정 현황
  • IP 관리대장
  • 원격 접근제어 설정(서버 설정, 보안시스템 설정 등)
  • 관리용 단말기 지정 및 관리 현황
  • 네트워크 구성도

결함 사례

  • 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나, 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
  • 원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나, VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우
  • 외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나, 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)