2.6.6 원격접근 통제

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.6 접근통제	2.6.1 네트워크 접근
	2.6.2 정보시스템 접근
	2.6.3 응용프로그램 접근
	2.6.4 데이터베이스 접근
	2.6.5 무선 네트워크 접근
	2.6.6 원격접근 통제
	2.6.7 인터넷 접속 통제

---

---

책단범기인암보

정보시스템 원격운영 원칙적 금지,

원격접속, 원격접근 허용(재택근무 · 장애대응 · 원격협업) 시 보호대책

월렛 관련 시스템 원격 접근 금지

안전한 인증수단(인증서, OTP 등) 및 안전한 접속수단(VPN 등) 적용

 

핵심 키워드 

 

- 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지
- 원격접근을 허용하는 경우 보호대책을 수립 · 이행
- 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정
- 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 
- 인터넷 외부 네트워크를 통한 원격운영 금지
- 내부 네트워크를 통한 원격 운영 시 특정 단말에 한하여 접근 허용
- 원격업무 수행 시 침해사고 예방 대책 수립 · 이행
- 개인정보처리시스템에 직접 접속하는 단말기에 대한 보호조치 적용

 

연관 두음

 

▶ 원격접근통제 보호대책

[두음] 책단범기인암보
책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안

---

▶ 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등
▶ 안전한 접속수단 : 가상사설망(VPN), 전용망 등

[두음] 인투(TO)비(V)전

인증서, 보안토큰, OTP / VPN, 전용선

---

 

인증기준

 

보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고,
재택근무 · 장애대응 · 원격협업 등 불가피한 사유로 원격접근을 허용하는 경우
책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화,
접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.

 

주요 확인사항

 

* 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고
  장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?

* 내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우
  특정 단말에 한해서만 접근을 허용하고 있는가?

* 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시
  중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립 · 이행하고 있는가?

* 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로
  원격으로 개인정보처리 시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고
  임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?

 

세부 설명

 

□ 인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된

   주요 자산(서버, 네트워크 장비, 보안장비 등)의 원격운영은 원칙적으로 금지하고

   부득이하게 허용하는 경우 다음과 같은 대책을 수립 · 이행하여야 한다.

 

▶ 원격 운영 및 접속에 대한 책임자의 승인

▶ 안전한 인증수단(인증서, OTP 등) 적용

▶ 안전한 접속수단(VPN 등) 적용

▶ 한시적 접근권한 부여 및 권한자 현황 관리

▶ 백신 설치, 보안패치 등 접속 단말 보안

▶ 원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등)

▶ 원격접속 기록 로깅 및 주기적 분석

▶ 원격 운영 관련 보안인식 교육 등

 

□ 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시

   중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립 · 이행하여야 한다.

 

□ 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로

   원격으로 개인정보처리시스템에 직접 접속하는 단말기(관리용 단말기)에 대하여

   다음과 같은 보호조치를 적용하여야 한다.

 

▶ 관리용 단말기 지정 및 목록관리

▶ 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치

▶ 등록된 관리용 단말기 이외에는 접근하지 못하도록 조치

▶ 본래 목적 외로 사용되지 않도록 조치

▶ 관리용 단말기에 악성프로그램 감염 방지 등을 위한 보호조치 적용

 

결함사례

 

사례 1 :
내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고
불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나,
시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아
모든 PC에서 원격 접속이 가능한 경우

사례 2 : ★
원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나,
VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우

사례 3 :
외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나,
악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한
적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우

---

가상자산 사업자 대상 주요 확인사항

 

월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가? 

---

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)