CPPG 29. 접근통제

1. 정보통신망을 통한 불법적인 접근 및 침해사고 방지 조치

• 개인정보처리시스템에 대한 접속 권한을 IP 주소, 포트, MAC 주소 등으로 제한하여 인가받지 않은 접근을 제한
• 개인정보처리시스템에 접속한 IP 주소, 포트, MAC 주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지

2. 침입차단 및 침입탐지 기능을 갖춘 장비의 설치 방법 예시

• 침입차단시스템, 침입탐지시스템, 침입방지시스템 등 설치
• 웹 방화벽, 보안 운영체제 도입
• 스위치 등의 네트워크 장비에서 제공하는 ACL 기능을 이용하여 IP 주소 등을 제한함으로써 침입차단 기능 구현
• 공개용 소프트웨어를 사용하거나, 운영체제에서 제공하는 기능을 활용하여 해당 기능을 포함한 시스템 설치, 운영
• 공개용 소프트웨어를 사용하는 경우에는 적절한 보안이 이루어지는지를 사전에 점검하고 정기적인 업데이트 여부 등 확인 후 적용이 필요
• 인터넷데이터센터, 클라우드 서비스, 보안업체 등에서 제공하는 보안서비스 등도 활용 가능
• 접근 제한 기능 및 유출 탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만으로는 부족하며, 신규 위협 대응 및 정책의 관리를 위해 운영
• 정책 설정 운영
• 이상 행위 대응
• 로그 분석

2. 개인정보처리자

• 인터넷 구간 등 외부로부터 개인정보처리시스템에 대한 접속은 원칙적으로 차단하여야 하나, 개인정보처리자의 업무 특성 또는 필요에 의해 개인정보취급자가 노트북, 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통해 개인정보처리시스템에 접속이 필요한 경우에는 안전한 접속수단을 적용하거나 안전한 인증수단 적용
• 접속 수단: 가상사설망 (VPN) 또는 전용선 등
• 인증 수단: 인증서(PKI), 보안토큰, 일회용 비밀번호(OPT)
• 인증수단만을 적용하는 경우에는 통신 보안을 위한 암호화 기술의 추가 적용이 필요할 수 있으므로, 보안성 강화를 위하여 안전한 접속수단을 권고

3. 정보통신 서비스 제공자 (안전한 인증수단 적용)

• 인터넷 구간 등 외부로부터 개인정보처리시스템에 접속은 원칙적으로 차단하여야 하나, 정보통신서비스 제공자 등의 업무 특성 또는 필요에 의해 개인정보취급자가 노트북, 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통해 개인정보처리 시스템에 접속이 필요할 때에는 안저 한 인증수단을 적용
• 안전한 인증 수단의 적용: 개인정보처리시스템에 사용자 계정과 비밀번호를 입력하여 정당한 개인정보취급자 여부를 식별, 인증하는 절차 이외에 추가적인 인증 수단을 적용
• 안전한 인증 수단을 적용할 때에도 보안성 강화를 위하여 VPN, 전용선 등 안전한 접속 수단의 적용 권고
• IPsec, SSL 등의 기술이 사용된 가상사설망을 안전하게 사용하기 위해서는 잘 알려진 취약점 (Open SSL 의 HeartBleed 취약점)들을 조치하고 사용할 필요가 있음

4. 안전한 접속수단, 인증수단 용어 정의

• 가상사설망 (VPN: Virtual Private Network): 개인정보취급자가 사업장 내의 개인정보처리 시스템에 대해 원격으로 접속할 때 IPsec이나 SSL 기반의 암호 프로토콜을 사용한 터널링 기술을 통해 안전한 암호통신을 할 수 있도록 함
• 전용선: 물리적으로 독립된 회선으로서 두 지점간에 독점적으로 사용하는 회선으로 개인정보 처리자와 개인정보취급자 또는 본점과 지점 간 직통으로 연결하는 회선
• IPsec (IP Security Protocol) 은 인터넷 프로토콜 통신 보안을 위해 패킷에 암호화 기술이 적용된 프로토콜 집합
• SSL (Secure Socket Layer) 은 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위해 암호화 기술이 적용
• IPsec, SSL 등의 기술이 사용된 가성사설망을 안전하게 이용하기 위해서는, 잘 알려진 취약점 (Open SSL와 HeartBleed 취약점)들을 조치하고 사용
• 인증서 (PKI, Public Key Infrastructure): 전자상거래 등에서 상대방과의 신원확인, 거래사실 증명, 문서의 위 변조 여부 검증 등을 위해 사용하는 전자서명으로서 해당 전자서명을 생성한 자의 신원을 확인하는 수단
• 보안토큰: 암호 연산장치 등으로 내부에 저장된 정보가 외부로 복사, 재생성되지 않도록 공인인증서 등을 안전하게 보호할 수 있는 수단으로 스마트카드, USB 토큰
• 일회용 비밀번호 (OTP): 무작위로 생성되는 난수를 일회용 비밀번호로 한 번 생성하고, 그 인증값이 한번만 사용가능하도록 함