주요사항

인증절차(회시동경) 수립, 개처시 외부 접속 시 안전한 인증&접속수단 적용

인증기준

정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다.

확인사항

  • 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
  • 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?

결함사례

  • 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 아이디·비밀번호 방식으로만 인증하고 있는 경우
  • 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패 흿수에 대한 제한이 없는 경우
  • 계정 도용 및 불법적인 인증시도 통제방안 예시
    1. 로그인 실패수 제한
      • 계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한 (개인정보의 안전성 확보조치 기준 제5조제6항)
    2. 접속 유지간 제한
      • 접속 후, 일정 시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단 (Session Timeout 등) (개인정보의 안전성 확보조치 기준 제6조제5항) (개인정보의 기술적·관리적 보호조치 기준 제4조제10항)
    3. 시 접속 제한
      • 동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등
    4. 불법 로그인 시도
      • 해외 IP주소 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지
      • 주말, 야간 접속 시 문자 알림
      • 관리자 등 특수 권한 로그인시 알림 등
  • 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 인증수단 또는 안전한 접속수단 적용 ☜ 안전성확보조치 기준
    • 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP), (기타:IP,MAC…)등 ☜ 보통신서비스 제공자등은 필수사항
    • 안전한 접속수단 : 가상사설망(VPN), 전용망 등