2.6.6 원격 접근 통제

1.통제 목적

보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야한다.

 

2.주요 확인 사항

• 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
• 내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
• 재택근무, 원격협업, 스마트워크 등과 같은 원격 업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하고 있는가?
• 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?

 

3.결함 사례

 

1)내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통해 승인된 사용자만 접근할 수 있도록 명시하고 있으나 시스템에 대한 원격데스크톱 연결, SSH 접속이 IP 주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우

 

2)원격운영관리를 위해 VPN을 구축하여 운영하고 있으나 VPN에 대한 사용 승인 또는 접속 기간 제한 없이 상시 허용하고 있는 경우

 

3)외부근무자를 위해 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화등)을 적용하고 있지 않은 경우