2.5.3 사용자 인증

1.통제 목적

정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도경고등 비인가자 접근 통제방안을 수립·이행하여야 한다.

 

2.주요 확인사항

• 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
• 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?

 

3.결함 사례

 

1)개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 아이디·비밀번호 방식으로만 인증하고 있는 경우

 

2)정보시스템 및 개인정보처리시스템 로그인 실패시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해주고 있으며, 로그인 실패 횟수에 대한 제한이 없는경우