2.5.5 특수 계정 및 권한 관리
1. ISMS 원본
인증기준
정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.
주요 확인사항 (KISA 안내서)
- 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하고 있는가?
- 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도 목록으로 관리하는 등 통제절차를 수립·이행하고 있는가?
관련 법규
- 개인정보 보호법 제29조 (안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조 (접근권한 관리)
특수권한 예시 (KISA 안내서)
- 관리자 권한: Root, Administrator, admin, sys, system, sa 등 최상위 권한
- 배치프로그램 실행 권한
- 보안시스템 관리자 권한
- 계정 생성·접근권한 설정 권한
핵심 통제 (KISA 안내서)
- 특수 계정·권한 발급·변경·해지 절차 수립 (일반 사용자보다 엄격)
- 임원 또는 보안책임자 승인
- 특수권한자 목록 작성·관리
- 예외처리 최소화, 모니터링 강화
- 외부자 특수권한 = 필요시에만 생성, 업무 종료 후 즉시 삭제 또는 정지
- 특수권한자 현황 정기 검토 + 목록 현행화
결함사례 (KISA 안내서)
- 사례 1: 관리자·특수권한 부여 승인 이력이 시스템이나 문서상 확인 X 또는 승인 이력과 특수권한 내역 불일치
- 사례 2: 내부 규정에는 특수권한 보유자 목록 작성·관리 의무 있으나 미작성 또는 보안시스템 관리자 등 일부 특수권한 식별·관리 X
- 사례 3: 유지보수용 특수계정 (분기 1회 방문)이 사용기간 제한없이 상시 활성
- 사례 4: 정기 검토 X → 업무 변경됐는데 기존 특수권한 계속 보유
2. ITGC 매핑
| 항목 | 값 |
|---|---|
| 분류 | 직접 (1-direct) |
| ITGC 영역 | APD (Access to Programs and Data) |
| 부영역 | — |
| 보조 영역 | CO/operations (특수권한 사용 로그·sudo 로그 → 2.9.4) |
3. IT감사에서는 이렇게
3-A. 한국 비금융 ITGC 실무 표준 (실제 검증 범위)
특수권한 통제 = ITGC APD 영역의 핵심. 회계감사 ITGC에서 가장 무겁게 보는 영역 중 하나 (특수권한자가 우회·부정 가능성 가장 큼).
| ISMS 요구 | ITGC 테스트 절차 | 모집단 | 샘플 |
|---|---|---|---|
| 1. 특수권한자 목록 | OS·DB·App·네트워크별 root/admin/sa/sudoer list 추출 + 회사 보고 list 대조 | 전 시스템 | 100% |
| 2. 부여 승인 절차 | 신청서·승인 이력 검증 (일반 신청보다 엄격한 승인선 적용 여부) | 특수권한 부여자 전체 | 샘플링 |
| 3. 외부자 특수권한 | 유지보수·컨설턴트 ID list + 부여·해지 이력 + 업무 종료 후 즉시 삭제 사례 | 외부자 특수권한 전체 | 100% |
| 4. 정기 검토 (2.5.6과 연결) | 분기·반기 특수권한 검토 회의록·서명·결과 반영 이력 | 검토 사이클 | 검토 사이클 1~2건 |
| 5. 사용 모니터링 | 특수권한 사용 로그 (sudo·관리자 접속·DB 직접접속) 보존 + 이상 사용 검토 | 로그 1년+ | 샘플 + walkthrough |
| 6. 배치 프로그램 권한 식별 | 배치 ID·서비스 계정 list + 부여 사유 (2.5.2와 연결) | 배치 ID 전체 | 100% (실무에서는 거의 X) |
3-B. ISMS-P가 추가로 요구하지만 ITGC 실무 범위 밖
| ISMS 요구 | 절차 | 어디 영역 |
|---|---|---|
| 보안시스템 관리자 식별 | SIEM·방화벽·IPS 관리자 권한 list | 보안 영역 (SOC·정보보안팀) |
| 예외처리 최소화 정책 | 정책 + 사례 인터뷰 | ISMS-P 인증심사 |
| 임원·보안책임자 승인 강제 | 승인선 정책 검증 | ISMS-P 인증심사 (회사 위험평가에 따라 ITGC도 부분 검증) |
4. Q&A
Q1. 특수권한 정의 어디까지? root만? sudo 사용자도?
A. 시스템별 최상위 권한 보유자 list가 1순위. sudo·임시 권한 부여는 영역별로 다름.
- 무조건 특수권한 (대상):
- OS = root, Administrator (built-in)
- DB = sa, sys, system, root@localhost, oracle (DBA 권한)
- App = admin, supervisor, sysadmin
- 네트워크 장비 = enable, privilege 15, admin
- SaaS = Global Administrator, Owner
- 상황별 특수권한:
- sudo 사용자 = sudoers 파일 등록자. sudo 명령으로 root 권한 사용 가능 → 특수권한자로 분류
- sudo 명령 임시 사용 (1회) = 로그로 추적. 보유자 list와 별개
- 그룹 권한 (예: wheel·sudo·dba 그룹 멤버) = 그룹 멤버 = 특수권한자
- 어디까지 검증:
- OS·DB·App별 특수권한자 list 추출 query·명령 명시 (예:
getent group sudo,SELECT * FROM dba_role_privs) - 회사 보고 list와 시스템 추출 list 100% 대조
- 차이 발견 = 즉시 결함 (KISA 결함사례 1번)
- OS·DB·App별 특수권한자 list 추출 query·명령 명시 (예:
- 결함 판단:
- 시스템 추출 list와 회사 보고 list 불일치 → 결함
- sudoer가 보고 list에 X → 결함
- 그룹 권한으로 우회 부여 (회사 보고 X) → 결함
Q2. 외부자 특수권한 (유지보수·컨설턴트) — 어디까지?
A. KISA 결함사례 3번 영역. 부여 시점·종료 시점·즉시 삭제 검증이 핵심.
- 검증 절차:
- 외부자 특수권한 부여 신청서 + 승인 이력 + 부여 시점 시스템 로그 대조
- 업무 종료 시점 (계약 종료·작업 완료) + 권한 삭제·계정 정지 시점 시스템 로그 대조
- 적시 회수 기준은 회사 정책 (외부자+특수권한 = 즉시가 표준 — 2.5.1 Q6 참조)
- 상시 활성 패턴 (전형적 결함):
- 유지보수 계약 = 연 4회 방문이지만 계정은 365일 활성 → KISA 결함사례 3번
- 컨설턴트 종료 후 계정 미정리 → 결함
- 외주 PM 교체됐는데 이전 PM 계정 유지 → 결함
- 결함 판단:
- 부여 시 신청·승인 절차 X → 결함
- 종료 후 적시 회수 X → 결함 (영향 평가)
- 회수 정책 자체 X → entity-level 결함
Q3. 특수권한자 정기 검토 주기 — KISA에 명시 있나?
A. KISA 명시 숫자 X. "정기 검토" 표현만. 회사 정책 + 시장 관행이 기준. 2.5.6 영역과 묶임.
- KISA 안내서: "특수권한자 현황을 정기적으로 검토하여 목록 현행화"
- 회계법인 ITGC 실무 감각 (공식 표준 자료 X. 회사·업종별 변동):
- 분기 1회 = 대부분 회사 디폴트
- 반기 1회 = 일부 비금융
- 월 1회 = 금융권 일부
- 검증 절차 (2.5.6과 묶음):
- 검토 회의록·결재 서명·검토 결과 반영 이력 (변경·삭제 사례)
- 검토 → 시정 → 후속 조치 사이클 walkthrough
- 결함 판단:
- 정기 검토 사이클 자체 X → 결함 (KISA 결함사례 4번)
- 검토만 하고 시정 조치 X (업무 변경됐는데 권한 그대로) → 결함
- 검토 주기가 회사 정책과 불일치 → 결함
Q4. 임원·보안책임자 승인 = 한국 비금융 비현실적?
A. 회사 규모·업종에 따라 현실성 다름. 대기업·금융 = 강제 / 중견·중소 = 권고 수준.
- 회계법인 ITGC 실무 감각 (공식 표준 자료 X. 회사·업종별 변동):
- 대기업·금융 = 보안책임자(CISO)·임원 승인 routing 강제. 시스템에 승인선 박힘
- 중견기업 = 팀장·부서장 승인이 디폴트. 임원 승인까지 가는 경우 적음
- 중소기업 = 비공식 (구두 승인·메신저)
- ITGC 시각:
- "임원 승인이 무조건 표준" 단정 X
- 회사 정책 + 정책 일관 적용이 결함 판단 기준 (2.5.4 Q1과 일관)
- 회사가 "팀장 승인" 정책 명시 + 일관 적용 → OK
- 회사 정책상 "임원 승인"인데 실제 팀장 승인 → 정책-실제 불일치 결함
- 회사 정책 자체 부재 → entity-level 결함
- ISMS-P 인증심사 시각: 임원 승인 미적용도 회사 위험평가 결과에 따라 인정 가능. 다만 정책 문서 + 위험평가 결과 + 적용 일관성 다 갖춰야 함
Q5. 한국 비금융 ITGC 실무, 2.5.5 어디까지 봐야 함?
A. §3-A의 5개. 특히 1·2·3번 (특수권한자 list·부여 승인·외부자 회수)는 ITGC APD 영역의 핵심. 무겁게 본다.
- 무겁게 보는 이유:
- 특수권한자 = 시스템 우회·로그 삭제·부정 가능성 가장 큼
- 회계감사 부정 위험과 직결 (회계감사기준서 240 영역 인접)
- 외부감사인 ITGC 검증에서 특수권한 영역 = 통상 1~2개 결함 발견되는 영역
- 빈출 결함 패턴 (양획 본업 시각):
- 시스템 추출 list와 회사 보고 list 불일치 (KISA 결함사례 1번)
- 외부자 계정 상시 활성 (KISA 결함사례 3번)
- 정기 검토 X 또는 형식적 (KISA 결함사례 4번)
- sudoer·그룹 권한 누락
- 나머지 (보안시스템 관리자·배치 권한·예외처리 정책 등) = ISMS-P 인증심사·보안 영역
관련 인증기준
- 2.5.1 사용자 계정 관리 (계정 라이프사이클 — 적시 회수 기준)
- 2.5.2 사용자 식별 (default 계정·서비스 계정 별도 통제)
- 2.5.3 사용자 인증 (관리자 강화 인증·MFA)
- 2.5.4 비밀번호 관리 (관리자 비밀번호 비밀등급 관리)
- 2.5.6 접근권한 검토 (정기 검토와 묶음)
- 2.9.4 로그 및 접속기록 관리 (특수권한 사용 로그)
관련 법규 / 표준
- 개인정보의 안전성 확보조치 기준 제5조 (접근권한 관리)
- 회계감사기준서 240 (부정 위험) — 특수권한 우회 위험 영역과 인접
- COBIT DSS05 (Manage Security Services) — 권한 분리·최소권한 원칙
- NIST SP 800-53 AC-6 (Least Privilege)