ISMS(정보보호관리체계) 인증 기준 2.6.6 원격접근 통제

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.6 원격접근 통제

항목		상세내용
2.6.6	원격접근 통제	보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무•장애대응•원격헙업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립•이행하여야 한다.
주요 확인사항		ㆍ인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가? ㆍ내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가? ㆍ재택근무, 원격헙업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립•이행하고 있는가? ㆍ개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리 시스템에 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제6조(접근통제)

 

● 중요사안

- 스마트패드, 스마트폰 등 스마트 기기를 통한 정보시스템 원격운영은 원칙적으로 금지하는 등 지정 단말에 대한 운용통제를 하여야 함.
- 부득이하게 사용하는 경우 책임자 승인, 접속단말 인증 등 추가적인 보호대책을 수립 후 제한적으로 사용하여야 한다.
- 스마트워크 운영을 위해 다음과 같은 관리적•기술적 보호대책을 수립•이행하여야 한다.
  > 관리적 대책 : 업무형태별 환경분석, 이용자 정보보호 지침
  > 기술적 대책 : 전송구간 암호화, 사용자 인증, 백신 등 단말기 보안

 

● 운영현황

- 외부에서 원격 접속은 원칙적으로 금지하고 있으나, 필요한 경우 사전에 IP 기반 VPN접속을 허용하기 위한 내부 승인을 득하고 있음
- VPN을 통해 외부에서 원격접속을 하는 경우 2factor 인증(ID/PW + OTP)을 거치며 IP/MAC 기반으로 지정된 단말기에 한하여 접속하고 있음
- 외부 원격접속 시 백신 설치여부를 확인하고 인터넷 차단하는 등의 추가 보안기능을 활성화하고 있음

 

● 기록(증적자료)

- 정보보호시스템 운영 정책 문서
- 네트워크장비 운영 정책 문서
- VPN 보안정책 현황
- 원격접속 승인 절차 내역

 

● 주요 결함사례

- 외부에서 원격 접속이 필요한 경우 절차 및 승인 내역이 존재하지 않는 경우
- 내부 지침절차에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제 등을 통해 승인된 관리자만 접근할 수 있게 제한하도록 명시하고 있으나 원격 데스크톱 연결, SSH 등을 통한 시스템 접속이 지정 단말로 제한되고 있지 않은 경우
- 시스템 관리를 위한 원격 접속 시 telnet 등의 안전하지 않은 프로토콜을 사용하고 있는 경우
- 원격 운영관리를 위해 VPN을 구축하여 운영하고 있으나 VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우