주요사항

1인1계정, 기본ID 처리, 관리자ID제한(root, admin, administrator 등), ID공유 시 승인·보완통제, 책임추적성 확보

인증기준

사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다.

확인사항

  • 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?
  • 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?

결함사례

  • 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조 사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우
  • 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자 의 승인 등이 없이 사용하고 있는 경우
  • 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우
  • 관련사항
    • 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성(Accountability) 확보
    • 계정 공유 및 공용 계정 사용 제한
    • 시스템이 사용하는 운영계정은 사용자가 사용하지 못하도록 제한
    • 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함)
    • 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한