보호대책 요구사항 - 2.6 접근 통제

 

안녕하세요,

ISMS 인증 심사 중 보호대책 요구사항의 접근 통제에 대하여 작성해보려 합니다.

참고하시어 보안 강화에 보탬이 되었으면 좋겠습니다.

 

 

2.6.1 네트워크 접근

✅ Details

네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.

 

「정보통신망법 제47조」 정보보호 관리체계 구축 의무

조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?

 

📌 조치 사항

• 모든 네트워크 경로(내부망, 외부망, VPN, 클라우드 연결 등) 식별 후 목록화.
• 접근통제 정책 수립: 인가된 사용자만 접근 가능하도록 ACL(Access Control List) 설정.
• 방화벽, IDS/IPS, NAC(Network Access Control) 적용.
• 접근권한 변경·삭제 시 승인 절차 운영 및 로그 기록.

---

「개인정보 보호법 제29조」 접근통제 및 권한 관리 의무

서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?

 

📌 조치 사항

• 중요도·법적 요구사항에 따라 망 분리
  • 외부망 / 업무망 / 서버팜 등 논리적 또는 물리적으로 분리되어야 함.
• VLAN, 서브넷, 방화벽 정책으로 영역 간 접근 제한.
• 망간 연계시스템은 내부망에 위치시키고 접근제어 솔루션 적용.
• 영역별 접근권한 검토 주기 설정(분기/반기).

---

「 ISMS 인증기준 2.6.1 」

네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?

 

📌 조치 사항

• 네트워크 대역별 IP 할당 정책 문서화.
• 외부 연결 불필요한 서버(DB 등)는 반드시 사설 IP 적용.
• DHCP 관리대장 유지 및 IP 변경 이력 기록.
• IP 충돌 방지 및 접근제어를 위한 IP/MAC 바인딩 적용.

---

「개인정보 보호법 제29조」 접근통제 및 권한 관리 의무

물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?

 

📌 조치 사항

• IDC, 지사, 대리점 등 원격 연결 시 VPN 또는 전용선 사용.
• VPN 연결 시 강력한 암호화(AES-256) 및 MFA 적용.
• TLS 기반 암호화 통신 채널 설정.
• 전송구간 보안 점검 및 로그 모니터링 체계 운영.

---

🔎 증적 자료 수집

• 네트워크 구성도
• IP 관리 대장부
• 정보 자산 목록 List
• 방화벽 룰/셋 List

---

2.6.2 정보시스템 접근

✅ Details

서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.

 

「정보통신망법 제47조, 개인정보 보호법 제29조」 정보보호 관리체계 구축 의무, 접근통제 및 권한 관리 의무

서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?

 

📌 조치 사항

• 서버, 네트워크, 보안시스템별 접근 허용 사용자 목록 작성 및 승인 절차 운영
• 접근 가능 위치(IP, VLAN), 접근 수단(SSH, VPN 등) 명확히 정의
• 관리자 계정은 최소화하고, 특수계정은 별도 승인 및 주기적 검토
• 접근권한 변경·삭제 시 로그 기록 및 이력 관리

---

 

「 개인정보 보호법 시행령 제30조 」 접속기록 및 안전조치

정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?

 

📌 조치 사항

• 일정 시간(예: 10~15분) 비활성 시 자동 로그아웃 설정
• OS, DB, 애플리케이션 모두 동일 정책 적용
• 세션 타임아웃 정책 문서화 및 정기 점검

---

 

「 정보통신망법 제48조 」 기술적 보호조치 의무

정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?

 

📌 조치 사항

• 보안 점검 도구로 서비스 활성화 상태 주기적 확인
• 변경 이력 관리 및 승인 절차 운영
• OS 기본 설치 서비스 중 불필요한 기능 제거(FTP, Telnet 등)

---

 

「정보통신망법 제47조, 개인정보 보호법 제29조」 정보보호 관리체계 구축 의무, 접근통제 및 권한 관리 의무

주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?

 

📌 조치 사항

• DB, 인증, 웹 서비스는 가능한 독립 서버 또는 가상화 환경에서 분리
• 자원 공유 시 보안 설정 강화 및 접근제어 적용
• 서버 간 통신은 암호화(TLS, IPSec) 적용

---

🔎 증적 자료 수집

• 정보시스템 운영체제 계정 목록
• 서버 보안 설정
• 서버접근제어 정책(SecureOS 관리화면 등)
• 서버 및 네트워크 구성도
• 정보자산 목록 등.

---

2.6.3 응용프로그램 접근

✅ Details

사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.

 

「정보통신망법 제48조, 개인정보 보호법 제29조」 기술적 보호 조치, 접근통제 및 권한 관리 의무

중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?

 

📌 조치 사항

• 사용자 그룹별 접근권한 매트릭스 작성(업무 목적 기반).
• RBAC(Role-Based Access Control) 적용.
• 권한 부여·변경·삭제 시 승인 절차 운영 및 로그 기록.
• 정기적 권한 검토(분기/반기) 및 불필요 권한 제거.

---

 

「개인정보 보호법 제29조, 시행령 30」 안전조치 및 접속기록 관리

중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?

 

📌 조치 사항

• 중요 개인 정보(예: 주민번호, 카드번호 일부 숨김)등 화면 마스킹.
• 다운로드·인쇄 제한 기능 구현.
• 중요정보 조회 시 추가 인증(MFA) 적용
• 로그 기록 및 접근 이력 모니터링

---

 

「개인정보 보호법 제29조 」 안전성 확보 조치

일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?

 

📌 조치 사항

• 일정 시간(예: 10~15분) 입력 없으면 자동 로그아웃
• 동일 사용자에 대한 동시 세션 제한 및 차단
• 세션 정책 문서화 및 정기 점검

---

 

「정보통신망법 제47조, 개인정보 보호법 제29조」 정보보호 관리체계 구축 의무, 접근통제 및 권한 관리 의무

관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?

 

📌 조치 사항

• 관리자 페이지는 별도 URL 및 강력 인증(MFA) 적용
• IP 화이트리스트 또는 VPN 기반 또는 VDI 기반 접근 제한 적용.
• 관리자 계정은 최소화하고, 특수계정은 별도 승인 및 주기적 검토
• 접근 로그 및 변경 이력 보관

---

🔎 증적 자료 수집

• 응용프로그램 접근권한 분류 체계
• 응용프로그램 계정/권한 관리 화면
• 응용프로그램 사용자/관리자 화면(개인정보 조회 등)
• 응용프로그램 세션 타임 및 동시접속 허용 여부 내역
• 응용프로그램 관리자 접속 로그 모니터링 내역

---

2.6.4 데이터베이스 접근

✅ Details

테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.

 

「정보통신망법 제28조, 개인정보 보호법 제29조」 접근권한 관리 및 변경이력 기록 의무, 접근통제 및 권한 관리 의무

데이터베이스의 테이블 목록 등 저장‧관리되고 있는 정보를 식별하고 있는가?

 

📌 조치 사항

• 테이블 목록 및 구조 식별
  • 모든 DBMS 인스턴스별 테이블, 컬럼, 인덱스, 뷰 등 메타데이터를 정기적으로 추출하여 관리
  • 정보자산 관리대장에 DBMS별 자산명, 위치, 관리자, 중요도(CIA 등급)를 기록
• 중요도 분류 및 보호등급 지정
  • 기밀성·무결성·가용성 기준으로 중요도를 평가하고, ISMS 기준에 따라 보호등급 부여
• 변경관리 절차 적용
  • 테이블 추가·삭제·구조 변경 시 영향분석 후 승인 절차를 거쳐 변경이력 관리

---

 

「정보통신망법 제28조, 개인정보 보호법 제29조」 접근기록 보관 및 위변조 방지, 접근권한 관리 및 인증 강화

데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?

 

📌 조치 사항

• 접근 주체 식별
  • DB 접근이 필요한 모든 응용프로그램, 서버, 사용자 계정을 목록화
  • 정보자산 목록에 계정·권한·접속 방식 기록
• 접근통제 정책 적용
  • 최소권한 원칙(Least Privilege) 준수, 업무 목적별 RBAC(Role기반 접근 제어) 설정
  • 불필요한 계정 및 권한 정기 점검·삭제
• 로그 및 모니터링
  • DB 접근 로그를 별도 저장소에 보관하고 이상행위 탐지 시스템 연동

---

🔎 증적 자료 수집

• 데이터베이스 현황(테이블, 컬럼 등)
• 정보자산 목록
• 네트워크 구성도(DB 또는 DMZ존)
• 데이터베이스 접속자 게정/권한 목록
• 데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)

---

2.6.5 무선 네트워크 접근

✅ Details

무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.

 

「정보통신망법 제28조, 개인정보 보호법 제29조」 인증 및 암호화 적용 의무, 안전성 확보 조치

무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위해 인증, 송수신 데이터 암호화 등 보호대책을 수립‧이행하고 있는가?

 

📌 조치 사항

• 인증 : WPA2-Enterprise 또는 WPA3 기반 인증 적용, RADIUS 서버 연동 등.
• 암호화 : AES 기반 강력한 암호화 방식 사용 등.
• MAC 주소 기반 접근제어 및 VLAN 분리 등 접속제어
• 접속 이력 및 인증 로그를 주기적으로 점검

---

 

「개인정보 보호법 제29조 」 접근권한 관리

인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립‧이행하고 있는가?

 

📌 조치 사항

• 사용 신청서 및 승인 절차 수립 (업무 목적에 따라 최소 권한 부여)
• 정기점검을 통해 사용 계정 목록과 실제 사용자 매칭
• AD / SSO 연동으로 계정 자동 관리

---

 

「정보통신망법 제28조」 비인가 접근 방지

AD Hoc 접속 및 조직내 허가 받지 않은 무선 AP 탐지‧차단 등 비인가된 무선네트워크에 대한 보호대책을 수립‧이행하고 있는가?

 

📌 조치 사항

• 무선 침입 방지 시스템(WIPS) 도입
• AD Hoc 접속 차단 (OS 정책 및 그룹 정책(GPO) 적용)
• 정기적으로 스캔을 통해 Rogue AP 탐지 및 보고 체계 운영

---

🔎 증적 자료 수집

• 무선 네트워크 구성도
• AP 보안 설정 내역
• 무선네트워크 사용 신청/승인 이력
• 비인가 무선 네트워크 점검 이력

---

2.6.6 원격접근 통제

✅ Details

보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.

 

「정보통신망법 제28조, 개인정보 보호법 제29조」 암호화 및 인증 적용 의무, 안전성 확보조치

1) 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?

2) 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립‧이행하고 있는가?

 

📌 조치 사항

• 인터넷 등 외부망을 통한 직접 운영은 원칙적으로 금지지만 예외 허용시,
  • 승인 절차 필수 : 장애 대응 등 불가피한 경우 책임자 승인
  • VPN 적용 : 강력한 인증(MFA)과 구간 암호화(IPSec, SSL VPN)
    • 기업 전용 VPN 계정 발급 및 접속 정책 적용
    • 원격업무 계정에 다중인증 필수
  • 접속 이력 기록 : 모든 원격 접속 로그를 별도 저장소에 보관
  • 단말 보안 적용 : 최신 보안패치, 안티바이러스, DLP(Data Loss Prevention)
  • 네트워크 분리 : 개인용 Wi-Fi와 업무망 분리 권장

---

 

「 ISMS 인증기준 2.6.6 」 내부망 원격운영 시 특정 단말 지정 및 접근통제 적용

내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?

 

📌 조치 사항

• 사전 등록된 IP만 허용하는 IP 기반 접근 제어 정책 적용
• MAC 주소 인증 기반 단말 식별
• 업무 목적별 접근 범위 최소화 하는 접속 정책 적용

---

 

「개인정보 보호법 제29조」 개인정보처리시스템 접근통제 및 안전조치

개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?

 

📌 조치 사항

• 운영·개발·보안 목적 단말은 별도로 관리용 단말을 지정하여 사용
• 목적 외 사용 및 설정 변경 금지 (임의 사용 조작 금지)
• HDD 암호화, 화면잠금, USB 차단, 백신 설치

---

🔎 증적 자료 수집

• 네트워크 구성도
• VPN 등 사외 접속 신청서
• VPN 계정 목록
• VPN 접근제어 정책 설정 현황
• IP 관리 대장
• 원격 접근제어 설정(서버 설정, 보안시스템 설정 등)
• 관리용 단말기 지정 및 관리 현황

---

2.6.7 인터넷 접속 통제

✅ Details

인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.

 

「정보통신망법 제28조, 개인정보 보호법 제29조」 암호화 및 인증 적용 의무, 안전성 확보조치

주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?

 

📌 조치 사항

• 주요 정보 시스템에서 사용중인 방화벽에서 아웃바운드 트래픽 차단 (불필요한 인터넷 제한)
• 보안 패치 등 불가피한 경우, 승인 절차 후 임시 허용
• 모든 외부 접속 시도 및 허용 이력 기록, 위·변조 방지

---

 

「개인정보 보호법 제29조」 개인정보처리시스템 접근통제 및 안전조치

관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?

 

📌 조치 사항

• 망분리 대상 식별 : 개인정보처리시스템, 중요업무 시스템 담당자 식별
• 업무망, 인터넷 망을 물리적으로 분리하거나 논리적으로 분리(VDI 기반) 적용
• 망간 자료 이동 시 승인 절차 및 보안 솔루션(DLP, DRM) 적용

---

🔎 증적 자료 수집

• 인터넷 접속 내역 모니터링 이력
• 망분리 대상자 목록
• 망간 자료 전송 절차 및 처리내역(신청, 승인 내역 등)
• 네트워크 구성도