2.5.3 사용자 인증
1. ISMS 원본
인증기준
정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다.
주요 확인사항 (KISA 안내서)
- 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 따라 통제하고 있는가?
- 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?
관련 법규
- 개인정보 보호법 제29조 (안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조 (접근권한 관리), 제6조 (접근통제)
인증 수단 분류 (KISA 안내서)
| 구분 | 인증 수단 | 비고 |
|---|---|---|
| 지식 기반 | 비밀번호 | 작성규칙·변경주기 + default 계정 차단 |
| 소유 기반 | 인증서(PKI), OTP | 개인키 안전 보관 / OTP 토큰·모바일 OTP |
| 생체 기반 | 지문·홍채·얼굴 | FIDO. 생체정보 안전 관리 |
| 기타 (보완) | IP·MAC·기기 일련번호·위치 | 단독 인증 X. 보완통제로만 인정 |
계정 도용·불법 인증 통제 (KISA 안내서 + 법령 1차)
1. 인증 실패횟수 제한 — 안전성 확보조치 기준 제5조제6항
"정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다."
- 법령상 횟수 숫자 명시 X. "일정 횟수"라고만. 회사 자율 결정 영역
- 잠금 후 해제 절차(셀프서비스/관리자 승인)도 회사 정책
2. 접속 유지시간 제한 (Session/Idle Timeout) — 안전성 확보조치 기준 제6조제4항
"개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다."
- 법령상 시간 숫자 명시 X. "일정시간"이라고만. 회사 자율 결정 영역
- KISA 안내서: "서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정"
3. 동시 접속 제한 — KISA 안내서 (동일 계정으로 동시 접속 시 접속차단 조치 **또는** 알림 기능 등)
- 차단 vs 알림 둘 중 하나로 인정. 양자택일·병행 모두 OK
- 위험 시스템(관리자·금융·결산)은 차단이 표준, 일반 업무 시스템은 알림으로도 충분
4. 불법 로그인 시도 경고 — KISA 안내서가 4유형 명시
- 국외 IP 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지
- 주말·야간 접속 시 문자 알림
- 관리자 등 특수권한 로그인 시 알림
- (위 외 유형도 회사 위험평가 결과에 따라 자율 추가 가능)
5. IP 기반 접근 제한 + 유출 시도 탐지 — 안전성 확보조치 기준 제6조제1항
- 개인정보처리시스템 접속 권한을 IP주소 등으로 제한 (인가받지 않은 접근 차단)
- 접속한 IP주소 등을 분석해서 개인정보 유출 시도 탐지 및 대응
- 단순 차단 X, 분석·탐지·대응까지 요구 (사실상 SIEM·UEBA 영역과 연결)
외부 접속 시 안전한 인증수단 (안전성 확보조치 기준 제6조제2항)
"개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다."
| 대상 시스템 | 적용 필요 사항 |
|---|---|
| 이용자 개인정보 처리시스템 | 안전한 인증수단 필수 (인증서·보안토큰·OTP) |
| 이용자 아닌 정보주체 처리시스템 | 안전한 접속수단(VPN 등) 또는 안전한 인증수단 |
핵심 갈림길: "이용자(서비스 가입자·고객)" 개인정보를 처리하는 시스템이면 VPN만으로 부족, MFA 필수. "이용자 아닌 정보주체"(예: 임직원·거래처·외주인력 개인정보만 처리) 시스템이면 VPN으로도 OK.
결함사례 (KISA 안내서)
- 사례 1: 개인정보취급자가 공개된 외부 인터넷망을 통해 이용자 개인정보 처리시스템 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증
- 사례 2: 로그인 실패 시 해당 ID 존재 여부·비밀번호 틀림을 자세히 표시 + 로그인 실패횟수 제한 없음
2. ITGC 매핑
| 항목 | 값 |
|---|---|
| 분류 | 직접 (1-direct) |
| ITGC 영역 | APD (Access to Programs and Data) |
| 부영역 | — |
| 보조 영역 | CO/operations (로그인 실패 로그·동시접속 로그 → 2.9.4) |
3. IT감사에서는 이렇게
ISMS-P가 요구하는 항목은 많지만, 한국 비금융 ITGC 실무에서 실제로 검증하는 범위는 훨씬 좁다. 두 단으로 갈라서 정리한다.
3-A. 한국 비금융 ITGC 실무 표준 (실제 검증 범위)
비금융 회계감사 ITGC에서 2.5.3 영역은 보통 아래 3개만 본다. 한 번의 시스템 설정 캡처로 동시 검증 가능 (한 화면에 다 나옴).
| ISMS 요구 | ITGC 테스트 절차 | 모집단 | 샘플 |
|---|---|---|---|
| 1. 비밀번호 정책 | 시스템 설정값 캡처 (길이·복잡도·주기) | 전 시스템 | 자동통제 1건 샘플 |
| 2. 로그인 실패횟수 제한 | 시스템 설정값 캡처 (n회 후 잠금) + 잠금 해제 절차 | 전 시스템 | 자동통제 1건 샘플 |
| 3. 세션 타임아웃 | 시스템 설정값 캡처 (idle timeout 분) | 전 시스템 | 자동통제 1건 샘플 |
+ 법적 의무로 별도 검증 (이용자 개인정보 처리시스템에 한정):
| ISMS 요구 | ITGC 테스트 절차 | 모집단 | 샘플 |
|---|---|---|---|
| 4. 외부 접속 인증수단 | 외부 접속 경로 list + 인증서·보안토큰·OTP 적용 검증 (제6조제2항) | 이용자 개인정보 처리시스템의 외부 접속 경로 | 100% |
3-B. ISMS-P가 추가로 요구하지만 ITGC 실무 범위 밖
아래 항목들은 KISA 안내서·법령에 명시되어 있어 ISMS-P 인증심사에서는 검증되지만, 회계감사 ITGC에서는 거의 보지 않거나 보안 영역으로 분리된다. ISMS-P 인증을 별도로 받으려는 회사가 아니면 ITGC에서 다루지 않아도 무방.
| ISMS 요구 | 절차 | 어디 영역 |
|---|---|---|
| 동시 접속 제한 | 설정값 + 동시 접속 발생 시 차단 또는 알림 | ISMS-P 인증심사 |
| 로그인 실패 메시지 | ID/PW 구분 표시 X 검증 | ISMS-P 인증심사 |
| SSO 강화 인증 / 재인증 | SSO 시스템 + 중요 기능 접근 시 재인증 | ISMS-P 인증심사 (SSO 도입사 한정) |
| 인증 수단 분류 (지식·소유·생체) | 시스템별 적용 인증 수단 list + 사유 | ISMS-P 인증심사 |
| IP 기반 접근 제한 | 화이트리스트 IP 정책 + 설정 (제6조제1항) | 보안 영역 (방화벽·VPN) |
| 유출 시도 탐지·대응 | SIEM·UEBA 룰 + 대응 절차 (제6조제1항 후단) | 보안 영역 (SOC) |
| 불법 로그인 경고 4유형 | 국외 IP 차단·통지 / 야간 알림 / 특수권한 알림 | 보안 영역 (보안관제) |
핵심 갭: KISA가 디테일 요구하는데 한국 비금융 ITGC 실무는 그 디테일을 안 본다. 이 갭은 ITGC 부실이 아니라 영역 분담의 결과 — 보안 통제는 보안 조직이, 회계 신뢰성 통제는 ITGC가 맡는다는 한국 회계법인 운영 모델 때문. ISMS-P 인증을 받으려는 회사는 ITGC에 추가로 보안 진단·인증 컨설팅을 별도 발주한다.
4. Q&A
Q1. 어느 시스템에 MFA 필수, 어느 시스템에 ID/PW만으로 OK?
A. 회사 위험평가 결과가 1순위. 법적 의무는 보조 점검 항목.
- 위험평가 기반 (1순위, ITGC 본질):
- 회사가 시스템별 위험 등급(High/Medium/Low) 분류 + MFA 적용 정책 수립 했는지 확인
- 일반 정보시스템(내부망 ERP·HR·DB) → ID/PW + 비밀번호 정책으로 통상 충분
- 관리자 계정·재무 결산·DB 직접접근 등 고위험 → MFA 권고
- 회사 정책 + 적용 일관성을 검증하는 게 ITGC 시각
- 법적 의무 (보조 점검):
- 외부 인터넷망에서 이용자 개인정보 처리시스템 접근 시 안전한 인증수단 적용 (안전성 확보조치 기준 제6조제2항)
- ITGC 자체는 법령 준수 검증이 신외감법 → 우발부채·과징금 위험으로 재무제표에 영향 → 보조 점검은 함
- 결함 판단:
- 회사 위험평가·정책 자체가 부재 → 결함
- 정책은 있는데 시스템 적용 불일치 (정책 = MFA, 실제 = ID/PW) → 결함
- 법령상 MFA 의무 시스템에 ID/PW만 적용 → 결함 + 우발부채 리스크 보고
Q2. 로그인 실패 횟수 제한 — 몇 회가 표준? KISA에 숫자 있나?
A. KISA 명시 숫자 X. "일정 횟수"라고만. 회사 정책 + 시장 관행이 기준.
- KISA 안내서: "인증 실패횟수 제한"·"일정 횟수 이상 인증에 실패한 경우 접근 제한" (안전성 확보조치 기준 제5조제6항)
- 회계법인 ITGC 실무 감각 (공식 표준 자료 X. 회사·업종별 변동):
- 일반 시스템 약 5회
- 개인정보처리시스템·금융 약 3~5회
- 잠금 해제: 자동(약 10~30분 후) 또는 관리자 수동
- 어디까지 검증:
- 회사 정책 문서에 횟수 명시 + 시스템 설정값 일치 검증
- 자동통제이므로 시스템 설정 캡처 1건 + ITGC 일반통제(설정 변경 통제) 의존
- 잠금 해제 절차 walkthrough (셀프서비스인지 관리자 승인인지)
- 결함 판단 (기준 = 통제 목적 달성 여부):
- 실패횟수 제한 설정 자체가 없음 (무제한) → 결함. 통제 미작동
- 정책 = 5회, 시스템 = 무제한 → 결함. 통제 미작동
- 정책 = 4회, 시스템 = 5회 (또는 그 반대) → 결함 X. 통제는 작동 (잠금 걸림). 1~2회 미세 차이는 immaterial. 빅4 메소돌로지도 같은 기준
- 정책-실제 미세 차이 결함 여부의 기준 = 잠금이 실제로 걸리는지 (통제 목적 달성). 숫자 정확히 일치는 통제 본질 X
- 정책 갱신 권고는 별도. 결함 보고 사항 X
Q3. 세션 타임아웃 — 몇 분이 표준?
A. KISA 숫자 명시 X ("일정시간"). 회사 정책 + 시스템 설정 일치만 본다. 끝.
- 결함 = 타임아웃 설정 자체가 없음(무제한) 또는 정책 vs 실제 불일치 (Q2와 같은 기준 — 통제 목적 달성 여부)
- "60분이 너무 길다" 같은 판단은 ITGC 영역 X. 회사 위험평가 결과 따름
Q4. SSO 적용 시 ITGC 검증 어디까지?
A. ITGC는 SSO 적용 여부 + IdP MFA 정책까지만 본다. step-up auth·재인증은 ITGC 영역 X.
- 검증: SSO 도입 시스템 list + IdP(Azure AD·Okta 등)의 MFA 정책 + SaaS local 계정 우회 차단(→ 2.5.2 Q4)
- "중요 시스템 재인증" = 빅4 미국 SOX 메소돌로지·ISMS-P 인증심사 영역. 한국 비금융 ITGC 실무 X
- SSO 인증 검증은 자동통제 1건 샘플 + ITGC 일반통제 의존
Q5. SMS OTP 결함인가?
A. ITGC 검증 영역 X. 회사 정책 따름.
- 안전성 확보조치 기준 제6조제2항 = "일회용 비밀번호 등"으로 SMS OTP 법적 인정
- 인증수단 선택의 적절성 평가는 보안 진단 영역. ITGC는 회사가 정책 수립 + 일관 적용했는지만 본다
- 우회 가능 설정(예: "OTP 안 받음" 옵션)은 통제 무력화 → 결함
Q6. 로그인 실패 메시지 "비밀번호가 틀렸습니다" — 결함?
A. KISA 결함사례 2번에 명시되어 있지만 ITGC 실무에서는 거의 안 본다. ISMS-P 인증심사 영역.
- ITGC가 본다면 외부 접속 가능 시스템(web 로그인)에 한정. 내부망 전용 시스템은 영향 ↓
- 단독 결함 등급 ↓. 실패횟수 제한 부재와 묶이면 결함 등급 ↑ (KISA 결함사례 2번 패턴)
Q7. 2.5.3 영역, 한국 비금융 ITGC 실무에서 이거 다 봐야 함?
A. 다 안 본다. 보통 §3-A의 13번(비밀번호 정책·실패횟수·세션 타임아웃) + 외부 접속 인증수단(법적 의무) 정도만 본다. 그리고 13번은 한 번에 본다.
- 한 번에 검증 가능:
- 시스템 설정 한 화면 (예: AD GPO·Linux PAM·DB 사용자 정책·web 인증 설정)에 비밀번호 정책·실패횟수·세션 타임아웃이 다 같이 나옴
- 한 번 캡처하면 1~3번이 동시 검증됨 → 자동통제 1건 샘플 + ITGC 일반통제(설정 변경 통제) 의존
- 시스템마다 분리된 화면일 수도 있지만 검증 절차는 같음 (캡처 → 회사 정책과 대조)
- 나머지 항목들의 위치:
- 동시 접속·로그인 실패 메시지·SSO 강화 인증 → ISMS-P 인증 받는 회사만 별도 검증
- IP 기반 접근 제한·SIEM·UEBA·불법 로그인 경고 → 보안 영역. ITGC가 아니라 보안조직(SOC)·보안 진단이 다룸
- 왜 갭이 있는가:
- 회계감사 ITGC = 재무제표 신뢰성에 영향을 미치는 IT 통제
- 보안 통제(공격 탐지·대응) = 정보보호 영역
- 한국 회계법인 운영 모델 = 회계감사인이 보안 진단까지 안 함. 영역 분담
- ISMS-P는 양 영역을 한 번에 요구하기 때문에 ITGC만으로는 ISMS-P를 다 못 덮음
관련 인증기준
- 2.5.2 사용자 식별 (ID 추적성, 본인 사용 보장 다층 통제)
- 2.5.4 비밀번호 관리 (지식기반 인증수단의 작성규칙·변경주기)
- 2.5.5 특수 계정 및 권한 관리 (관리자 계정 강화 인증)
- 2.6.7 인터넷 접속 통제 (외부 접속 경로 통제)
- 2.9.4 로그 및 접속기록 관리 (로그인 실패·성공 로그 보존)
관련 법규 / 표준
- 개인정보의 안전성 확보조치 기준 제5조제6항 (인증 실패횟수 제한), 제6조제2항 (외부 접속 인증수단), 제6조제4항 (세션 타임아웃)
- NIST SP 800-63B (Authentication & Lifecycle Management) — 인증수단 등급
- FIDO2 / WebAuthn — 생체·소유기반 인증 표준