제 27조 (사용자 계정관리)
3. 관리자계정은 관리자로 지정된 자 만이 사용할 수 있으며, 그 외의 자에게는 대여할 수 없다. 다만, 업무상 필요에 의해 부득이하게 타인에게 대여한 경우에는 회수 후 즉시 비밀번호 변경 등의 보안 조치를 해야한다.
Passvault
관리자 권한 패스워드 관리의 필요성
서버/네트워크 장비 및 CCTV 계정들의 패스워드를 주기적으로 자동 변경하거나,
일회용 패스워드 발급을 통해 외주 업체 관리를 효율적으로 하고자 하는
Needs가 공공/금융/대기업을 중심으로 확대되고 있습니다.
패스워드 유출로 인한
보안사고 빈발
(포털, 웹 호스팅, 쇼핑, 게임, 기업 등)
행안부 정보통신
보안업무 규정 명시
(사용자 계정관리 , 비밀번호 관리)
대/내외 보안감사
요건강화
(컴플라이언스 준수)
자동화되고 효율적인
패스워드
( 관리 Process 필요 )
OO서버 외주직원이 서버관리 업무 노트북에 영화를 내려 받아 악성코드 감염
악성코드를 심은 해커들은 추가 악성코드를 심고, 7개월 동안 최고위 관리자의 비밀번호 등
전산망 관리 각종 정보를 빼냄
- 외주직원들의 최고 권한 계정 패스워드 관리 필요성
- 해킹이 어려운 구성의 패스워드를 주기적으로 변경하게 하여 신속한 사고 대응이 필요함
행안부는 정보통신 보안업무 규정에 주기적으로 패스워드를 변경하게 하는 등의 강제 규정을 명시함
- 다양한 플랫폼
- >관리 서버 대수 지속 증가
>다양한 운영체제/버전에 따른
패스워드 관리 기술적 문제
- 관리의 어려움
- > 수작업에 의한 비밀번호 변경 주기
관리 및 강제 어려움> 최고 관리자 계정 공유/이력추적
- 안정적 운영 어려움
- > 패스워드 유출방지 어려움
> 유출시 심각한 장애 유발
- 컴플라이언스
- > 사용 이력 및 리포팅 부재
> 내/외부 보안감사 요건 강화
> 규정준수 위한 암호 관리 방안 부재
Passvault
행정안전부 정보통신 보안업무 규정
행안부 정보통신 보안업무 규정 제 27조, 28조에 따라 패스워드에 대한 보안 조치 의무가 시행되고 있습니다.
제 28조 (비밀번호 관리)
1. 시스템관리자는 정보시스템 비밀번호의 무단사용 방지를 위하여 다음 각호와 같이 비밀 번호를 구분하여 사용하여야 한다.
– 비 인가자의 정보시스템 접근방지를 위한 접근용 비밀번호 (1차)
– 사용자 정보시스템 접속 시 인가된 인원인지 여부를 확인하는 사용자 인증 (2차)
– 문서의 열람, 수정 및 출력 등 사용권한을 제한할 수 있는 자료 별 비밀번호 (3차)
2. 시스템관리자는 비밀이나 중요자료에는 반드시 자료 별로 비밀번호를 부여하여야 한다. 다만, 공개 또는 열람을 위한 자료에 대하여는 그러하지 아니할 수 있다.
3. 시스템관리자는 다음 각호의 사항을 반영하여 정보시스템의 비밀번호를 설정하고 분기 1회 이상 주기적으로 변경해야 한다.
4. 시스템관리자는 정보시스템에 등록되어 있는 비밀번호를 암호화하여 보관하여야 한다.
다운로드
