2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.3 사용자 인증
| 항목 | 상세내용 | |
| 2.5.3 | 사용자 인증 | 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립ㆍ이행하여야 한다. |
| 주요 확인사항 | ㆍ정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가? ㆍ정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가? |
|
| 관련 법규 | ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제) |
|
● 중요사안
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)를 준수한다.
> 비밀번호는 일방향 암호화 조치한다.(보안강도 128비트 이상, SHA 256비트 이상의 알고리즘 적용)
> 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보를 암호화 조치한다.(보안강도 128비트 이상 알고리즘 적용)
- 개인정보의 기술적ㆍ관리적 보호조치 기준을 준수한다.
> 정보통신서비스 제공자등은 다음의 정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장한다.
ㆍ주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
ㆍ신용카드번호, 계좌번호, 바이오정보
- 보안기술 실무 안내서 등 기술문서(KISA 外 : 암호기술 구현 안내서, 암호이용 안내서, 암호정책 수립기준 안내서, 보안서버구축 안내서 등)를 참조한다.
> 보안강도별 해쉬함수 분류
| 보안강도 | 해쉬함수 | 권고여부 |
| 80비트 미만 | MD5, SHA-1 | 권고하지 않음 |
| 80비트 | HAS-160 | |
| 112비트 | SHA-224 | 권고 |
| 128비트 | SHA-256 | |
| 192비트 | SHA-384 | |
| 256비트 | SHA-512 |
> 대표적인 블록암호 알고리즘
| 구분 | SEED | HIGHT | ARIA | AES | TDEA |
| 입출력크기 (비트) |
128 | 64 | 128 | 128 | 64 |
| 비밀키 크기 (비트) |
128 | 128 | 128/192/256 | 128/192/256 | 112(2TDEA)/ 168(3TDEA) |
| 참조규격 | TTA TTAS.KO-12.004/R1 |
TTA TTAS.KO-12.0040/R1 |
KATS KS X.1213-1 |
NIST FIPS 197 |
ISO/IE CISO/IEC 18033-3 |
> 보안강도별 블록암호 알고리즘 분류
| 보안강도 | 블록암호 알고리즘 | 권고여부 |
| 80비트 미만 | DES | 권고하지 않음 |
| 80비트 | 2TDEA | |
| 112비트 | 3TDEA | |
| 128비트 | SEED, HIGHT, ARIA-128, AES-128 | 권고 |
| 192비트 | ARIA-192, AES-192 | |
| 256비트 | ARIA-256, AES-256 |
- 안전한 인증절차를 위한 방법으로는 사용자 인증 설정, 로그인 횟수 제한, 불법 로그인 시도 경고, 2Factor 인증사용 등이 있다.
> 정보시스템 및 정보보호시스템에 대한 접근시에 '로그인 5회 이상 실패시 로그인 불가' 사항 알림창 조치
> 2-Factor 인증
- 공개된 인터넷망을 이용한 접속 또는 싱글사인온(SSO) 등을 이용한 접근 시에는 OTP, 지문, 홍채, SMS, 공인인증서 등을 이용한 강화된 보안 절차를 마련하여야 한다.
> 싱글사인온 : 하나의 아이디로(단 한번의 로그인) 조직의 각종 정보시스템에 접속할 수 있는 응용프로그램을 의미
● 확인 포인트
- 이용자 비밀번호는 128비트 이상의 일방향 암호알고리즘을 적용하여 저장한다.
- 외부에서 정보시스템 접근 시 ID/PW 이외에 추가 인증수단을 적용하여 로그인한다.
- 로그인 시도간 오입력 할 경우 계정정보가 존재한다/존재하지않다, 비밀번호가 틀렸다 등을 알려주는 문구를 사용하지 않는다.
- 일정횟수 이상 로그인 실패 시 계정을 잠금처리한다.
● 운영현황
- 정보시스템 접속 시 IP접근통제, 로그인 잠금 임계값 설정(5회), 패스워드 복잡성 설정, 세션 만료시간 설정, 경고메시지 출력 등 보호대책을 적용하고 있음.
- 정보시스템의 운영체제(OS) 접근은 ID/PW 외 추가 인증수단(OTP)을 적용하고 있음.
● 기록(증적자료)
- 개발보안지침
- 보안성 검토 보고서
- 정보시스템 및 개인정보처리시스템 로그인 화면(정책 적용된 화면)
- 로그인 횟수 제한 설정
- 비밀번호 복잡성 설정
- 로그인 실패 메시지
- 추가 인증수단 설정
'보안담당자로 살아가기 > ISMS(정보보호관리체계)' 카테고리의 다른 글
| ISMS(정보보호관리체계) 인증 기준 2.5.5 특수 계정 및 권한 관리 (0) | 2023.09.22 |
|---|---|
| ISMS(정보보호관리체계) 인증 기준 2.5.4 비밀번호 관리 (0) | 2023.09.14 |
| ISMS(정보보호관리체계) 인증 기준 2.5.2 사용자 식별 (0) | 2023.09.12 |
| ISMS(정보보호관리체계) 인증 기준 2.5.1 사용자 계정 관리 (0) | 2023.09.12 |
| ISMS(정보보호관리체계) 인증 기준 2.4.7 업무환경 보안 (0) | 2023.09.08 |