2.6.1 네트워크 접근

1. ISMS 원본

인증기준

네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.

주요 확인사항 (KISA 안내서)

조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 내부 네트워크는 인가된 사용자만 접근하도록 통제하고 있는가?
서비스·사용자 그룹·자산 중요도·법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 영역 간 접근통제를 적용하고 있는가?
네트워크 대역별 IP주소 부여 기준을 마련하고 외부 연결이 필요하지 않은 경우 사설 IP로 할당하고 있는가?
물리적으로 떨어진 IDC·지사·대리점 등과의 연결 시 전송구간 보호대책을 마련하고 있는가?

접근통제 영역 (KISA 안내서 6개)

영역	적용 예시
DMZ	외부 서비스용 웹·메일 서버. DMZ 경유 안 한 인터넷 → 내부 직접 연결 차단
서버팜	다른 영역과 구분 + 인가 내부 사용자만 접근
DB존	개인정보·중요정보 DB는 다른 영역과 분리
운영자 환경	서버·보안장비·네트워크 장비 운영자 네트워크 = 일반 사용자와 분리
개발 환경	개발·테스트 네트워크 = 운영 네트워크와 분리
외부자 영역	외주·민원실·교육장 등 외부 인력 네트워크 = 내부 업무망과 분리

기타:

업무망 = 특성·중요도에 따라 대역 분리
클라우드 = 클라우드 특성 반영
회사 규모상 서버팜·DB팜 분리 어려우면 → 위험평가 + 보완대책 (호스트 기반 접근통제)

IP 관리 (KISA 안내서)

IP 할당 현황 최신 유지 + 대외비 이상 관리
내부망 = 사설 IP (RFC 1918) + NAT 적용
사설 IP 대역: A 10.0.0.0/8, B 172.16.0.0/12, C 192.168.0.0/16

전송구간 보호 (KISA 안내서)

IDC·지사·대리점·협력업체·고객센터 연결 시 전용회선 또는 VPN

결함사례 (KISA 안내서)

사례 1: 외부 지점 ↔ IDC 서버 연결 시 일반 인터넷 회선 사용 (VPN·전용망 X)
사례 2: 중요 서버 IP가 규정과 달리 공인 IP + 차단 X
사례 3: 서버팜 구성됐지만 접근제어 미흡 → 내부망 → 서버팜 과도 허용
사례 4: 외부자 네트워크 별도 통제 X (내부 업무망과 분리 X)
사례 5: MAC 인증·필수 보안 SW X 상태로 네트워크 케이블만 꽂으면 사내망 접근

2. ITGC 매핑

항목	값
분류	직접 (1-direct)
ITGC 영역	APD (Access to Programs and Data)
부영역	—
보조 영역	보안 영역 (방화벽·VPN·NAC 운영은 보안조직). ITGC는 정책·구성도·접근 통제 사이클까지

3. IT감사에서는 이렇게

3-A. 한국 비금융 ITGC 실무 표준 (실제 검증 범위)

핵심 원칙: 회사가 외부 노출 자산을 운영하면 무조건 검증. 외부 노출 자산이 없으면 ITGC 검증 거의 없음.

외부 노출 자산 = web 서비스·DMZ·외부 접속 가능 시스템·SaaS 연계 등
외부 노출이 있다 = 외부 공격 표면 존재 = 회사 위험평가 결과와 무관하게 네트워크 통제 적용 의무
외부 노출이 없다 (완전 폐쇄망·소규모 사내 사용 시스템만) = ITGC 검증 X 가능. 단 entity-level 정책은 있어야

재무회계 영향 시스템(in-scope)이 아닌 노출 자산은 ITGC 영역 X. 마케팅 웹사이트·일반 이메일 같이 외부 노출이 있어도 재무제표 영향이 없으면 회사 보안팀 영역 (ISMS-P 일반 영역). 단, 노출 자산이 in-scope 시스템과 같은 네트워크 segment에 있으면 lateral movement 위험으로 네트워크 분리·접근통제 검증은 ITGC 영역.

ISMS 요구	ITGC 테스트 절차	모집단	샘플
1. 네트워크 구성도	회사 네트워크 구성도 + DMZ·서버팜·DB존·개발/운영 분리 검증	1건	1건 walkthrough
2. 방화벽 룰	방화벽 룰 dump + 영역 간 차단 정책 검증 (특히 외부 → 내부 직접 연결 차단)	룰 전체	100% (rule-based 검토)
3. IP 관리 대장	IP 할당 현황 + 외부 연결 불필요 시스템(DB) 사설 IP 검증	IP 대장	100% (rule-based)
4. VPN·전용회선	외부 지점·외주·재택 접속 시 VPN/전용회선 적용 + 사용 로그	외부 접속 경로 전체	100%
5. 방화벽 룰 변경 통제	룰 변경 신청·승인·적용 이력 (변경관리 통제와 묶음)	룰 변경 전체	25~40 샘플

3-B. ISMS-P가 추가로 요구하지만 ITGC 실무 범위 밖

ISMS 요구	절차	어디 영역
단말 인증 (NAC·MAC 인증)	NAC 운영 정책·예외 처리	보안 영역 (NAC 운영)
불필요 서비스·포트 차단	네트워크 장비 hardening 점검	보안 영역 (보안 진단)
침입차단시스템 ACL 상세 검토	IDS·IPS 룰셋 검증	보안 영역 (SOC)
클라우드 환경 접근통제 (Security Group·VPC)	클라우드 IAM·SG 정책	보안 영역 + 클라우드 ITGC (별도 영역)

4. Q&A

Q1. 회사가 네트워크 분리·VPN 정책 자체 없으면 ITGC 검증 X?

A. 외부 노출 자산 유무가 갈림길. 노출 X = 검증 거의 없음. 노출 O = 무조건 검증.

외부 노출 X (완전 폐쇄망·사내 소규모 시스템):
- VPN·IP whitelist·DMZ 정책 없어도 결함 X
- 다만 entity-level 정책 (네트워크 운영 절차) 자체는 있어야
- 검증 = 정책 1건 walkthrough만
외부 노출 O (web 서비스·외부 접속 가능 시스템·SaaS 연계):
- 회사 위험평가 결과와 무관하게 무조건 네트워크 통제 적용 의무
- 외부 공격 표면 존재 = 통제 부재 = 즉시 결함
- 위 §3-A 5개 행 다 검증
결함 판단:
- 외부 노출 X + 정책도 X → entity-level 결함 (작은 결함)
- 외부 노출 O + 정책 X → 즉시 결함 (큰 결함)
- 외부 노출 O + 정책 O + 적용 일관 → OK

Q2. 클라우드 환경 (AWS·Azure·GCP) — 2.6.1 어떻게 적용?

A. 클라우드는 별도 영역. ITGC가 추가 검증 영역 + 클라우드 native 통제(Security Group·VPC·IAM)로 매핑.

클라우드 ITGC 별도 검증 영역:
- VPC·Subnet 분리 (DMZ·서버팜·DB존 매핑)
- Security Group·NACL 룰 검토
- IAM 정책 (네트워크 ACL 변경 권한 분리)
- VPN·Direct Connect·Transit Gateway 구성
- Public Subnet에 DB 노출 X (KISA 결함사례 2번 클라우드 변형)
on-prem 통제와 달리: 클라우드는 서버팜·DB존이 물리 분리 X, 논리 분리(VPC·SG) 로 구현. ITGC도 그 시각으로 검증
회계감사 ITGC 시각: 클라우드 도입 회사가 늘면서 클라우드 ITGC가 별도 분야 형성 중. 본 영역은 향후 별도 페이지 가능

Q3. 한국 비금융 ITGC 실무, 2.6.1 어디까지 봐야 함?

A. 외부 노출 여부에 따라 갈림. 외부 노출 O면 §3-A 5개 다 본다.

외부 노출 자산 식별 → 그 자산의 네트워크 통제 검증
핵심 = ① 구성도 ② 방화벽 룰 ③ VPN ④ IP 관리 ⑤ 변경 통제 5개
단말 인증·NAC·IPS 룰셋·hardening = 보안 영역. ITGC X
클라우드 = 별도 영역. on-prem과 다른 검증 절차