2.5.3 사용자 인증¶
인증 기준¶
정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다.
주요 확인사항¶
-
정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 따라 통제하고 있는가?
-
정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?
관련 법규¶
세부 설명¶
-
정보시스템 및 개인정보처리시스템에 대한 접근 시 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 따라 통제하여야 한다.
-
사용자 인증 수단 예시
-
지식 기반
- 비밀번호
- 안전한 비밀번호 작성규칙 및 주기적 변경 필요
- 비밀번호 도용, 무작위 대입 공격 등에 대한 대응 필요
- 시스템 설치 시 제품 등에서 제공하는 디폴트 계정 및 비밀번호 사용정지 또는 변경 필요
- 비밀번호
-
소유 기반
- 인증서(PKI)
- 개인키의 안전한 보관 필요(안전한 보안매체에 보관 권고)
- OTP(One Time Password)
- OTP토큰, 모바일OTP 등 다양한 방식 존재
- 기타
- 스마트 카드 방식
- 물리적 보안토큰 방식 등
- 인증서(PKI)
-
생체 기반
- 지문, 홍채, 얼굴 등
- 생체 정보의 안전한 관리 필요
※ 참고 : FIDO(Fast Identity Online)
- 생체 정보의 안전한 관리 필요
- 지문, 홍채, 얼굴 등
-
기타 방식
- IP주소
- 특정 IP주소에서만 해당 ID로 접속할 수 있도록 제한하는 방식
- MAC주소
- 단말기의 MAC주소를 기반으로 등록된 단말기에서만 접속할 수 있도록 제한하는 방식
- 기기 일련번호
- 특정 PC 또는 특정 디바이스(스마트폰 등)에서만 접속할 수 있도록 제한하는 방식
- 기타
- 위치 정보 등
- IP주소
-
-
계정 도용 및 불법적인 인증시도 통제방안 예시
-
로그인 실패횟수 제한
-
계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한
※ 🔗개인정보의 안전성 확보조치 기준 🔗제5조제6항
-
-
접속 유지시간 제한
-
접속 후 일정시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단(세션 타임아웃 등)
※ 🔗개인정보의 안전성 확보조치 기준 🔗제6조제5항
※ 🔗개인정보의 기술적·관리적 보호조치 기준 🔗제4조제10항
-
-
동시 접속 제한
- 동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등
-
불법 로그인 시도 경고
- 국외 IP주소 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지
- 주말, 야간 접속 시 문자 알림
- 관리자 등 특수권한 로그인 시 알림 등
-
-
업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련
-
-
인터넷 등 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하여야 한다.
-
안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등
-
안전한 접속수단 : 가상사설망(VPN), 전용망 등
-
증거자료¶
예시
정보시스템 및 개인정보처리시스템 로그인 화면
로그인 횟수 제한 설정 화면
로그인 실패 메시지 화면
외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)
결함사례¶
사례 1 : 개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우
사례 2 : 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우