2.6.2 정보시스템 접근
1. ISMS 원본
인증기준
서버, 네트워크장비, 보안장비 등 정보시스템에 대한 접근은 사용자 인증, 접근권한 등을 고려하여 안전하게 관리하여야 한다.
주요 확인사항 (KISA 안내서)
- 서버, 네트워크장비, 보안장비 등 정보시스템에 대한 접근을 통제하기 위한 운영절차를 수립·이행하고 있는가?
- 서버에 대한 접근은 인가된 사용자만 가능하도록 통제하고 있는가? (원격접근 시 안전한 접근수단 적용)
- 정보시스템에 접근할 수 있는 IP, 포트 등을 제한하고 불필요한 서비스를 비활성화하고 있는가?
관련 법규
- 개인정보 보호법 제29조 (안전조치의무)
- 개인정보의 안전성 확보조치 기준 제6조 (접근통제)
핵심 통제 (KISA 안내서)
- 서버 OS·DB·App 접근 시 인가된 사용자만 접근
- 접근 가능 IP·포트 제한 (화이트리스트)
- 불필요 서비스·포트 비활성화
- 원격 접근 시 안전한 접속수단 (VPN·전용회선·jump server)
- 운영 서버 vs 개발·테스트 서버 분리 접근
- 콘솔(물리) 접근 통제
결함사례 (KISA 안내서)
- 사례 1: 서버 접근 시 별도 인증절차 X — 내부망 접속만으로 서버에 직접 SSH/RDP 가능
- 사례 2: 서버 접근 IP 제한 X — 내부망 모든 PC에서 운영 서버 접근 허용
- 사례 3: 불필요 서비스·포트 다수 활성 (Telnet·FTP·미사용 포트) 방치
- 사례 4: 운영 서버 접근과 개발 서버 접근이 동일 경로·동일 권한으로 구분 X
2. ITGC 매핑
| 항목 | 값 |
|---|---|
| 분류 | 직접 (1-direct) |
| ITGC 영역 | APD (Access to Programs and Data) |
| 부영역 | — |
| 보조 영역 | CO/operations (서버 접속 로그 → 2.9.4), 2.6.1 (네트워크 분리와 연결) |
3. IT감사에서는 이렇게
3-A. 한국 비금융 ITGC 실무 표준 (실제 검증 범위)
2.6.2 고유 ITGC 검증은 거의 없다. KISA가 별도 인증기준으로 분리한 건 정보보호 관점의 세분화이지, ITGC 관점에서는 다른 인증기준에서 이미 커버된다.
| KISA 2.6.2 요구 | ITGC 실제 검증 위치 | 비고 |
|---|---|---|
| 서버 접근자 list·권한 통제 | 2.5.1 사용자 계정 관리 / 2.5.5 특수 계정 | 계정·권한 라이프사이클 검증에서 서버 OS 사용자 마스터 이미 추출·대조 |
| 접근 IP·경로 통제 (방화벽·VPN) | 2.6.1 네트워크 접근 | 방화벽 룰 dump + VPN 경유 + IP 관리 대장에서 이미 100% 검증 |
| 운영·개발 환경 분리 | PD (2.8.x) / PC (2.9.1) | 환경 분리는 변경관리·개발 보안 통제. 접근 통제(APD) 아님 |
| 접근 로그 보존·검토 | 2.9.4 로그 및 접속기록 관리 | CO/operations 영역 |
| 불필요 서비스·포트 | 보안 진단 | ITGC 영역 X |
따라서 2.6.2는 ISMS-P 인증심사에서는 독립 인증기준으로 별도 검증하지만, ITGC에서는 위 인증기준 검증 시 자연 커버된다. 2.6.2만을 위한 별도 ITGC 테스트 절차를 설계할 필요 없음.
3-B. ISMS-P가 추가로 요구하지만 ITGC 실무 범위 밖
| ISMS 요구 | 절차 | 어디 영역 |
|---|---|---|
| 불필요 서비스·포트 비활성화 | OS·장비 hardening 점검 (Telnet·FTP·미사용 포트) | 보안 영역 (보안 진단·취약점 점검) |
| 콘솔(물리) 접근 통제 | 서버룸 출입 + 콘솔 잠금장치 | 물리 보안 (2.4.x) |
| 보안장비(IPS·IDS·WAF) 접근 통제 | 보안장비 관리자 접근 제한 | 보안 영역 (SOC·정보보안팀) |
| 네트워크장비 접근 통제 | 스위치·라우터 관리 인터페이스 접근 | 보안 영역 (네트워크 운영팀) |
핵심 갭: KISA 안내서는 "서버·네트워크장비·보안장비" 셋 다 나열하지만, 한국 비금융 ITGC 실무에서는 재무제표 영향 서버(in-scope)만 본다. 네트워크·보안장비 접근 통제는 보안팀 영역. ISMS-P 인증 받으려는 회사는 ITGC에 추가로 보안 진단 별도 발주.
4. Q&A
Q1. 한국 비금융 ITGC 실무, 2.6.2 별도로 봐야 함?
A. 별도 테스트 절차 불필요. 다른 인증기준 검증 시 자연 커버.
- 서버 계정·권한 → 2.5.1/2.5.5에서 OS 사용자 마스터 이미 추출·대조
- 접근 IP·경로·방화벽 → 2.6.1에서 방화벽 룰·VPN 이미 100% 검증
- 접근 로그 → 2.9.4에서 검증
- 운영·개발 분리 → PD(2.8.x)/PC(2.9.1)에서 검증
- 2.6.2를 위한 별도 workpaper 불필요. 위 인증기준 workpaper에서 커버 확인만
- ISMS-P 인증심사 시 별도 증적 요구 가능 — 위 검증 결과를 2.6.2 증적으로 재활용
Q2. 세부 주제는 어디서 보나?
A. 2.6.2에서 흔히 묻는 주제들이 다른 인증기준에 이미 있다.
| 주제 | 검증 위치 |
|---|---|
| Jump server 우회 경로 차단 | 2.6.1 방화벽 룰 (jump server IP 외 허용 건 식별) |
| 클라우드 서버 접근 (Security Group·IAM) | 2.6.1 Q2 (클라우드 네트워크 통제) |
| DB 직접접근 (SQL*Plus·SSMS 등) | 2.6.4 데이터베이스 접근 |
| 콘솔(물리) 접근 | 2.4.x 물리 보안 |
| 개발·운영 환경 분리 | PD (2.8.x) / PC (2.9.1) |
| 서버 hardening (불필요 포트·서비스) | 보안 진단 (ITGC 영역 X) |
관련 인증기준
- 2.5.1 사용자 계정 관리 (서버 계정 라이프사이클)
- 2.5.5 특수 계정 및 권한 관리 (root·Administrator 통제)
- 2.6.1 네트워크 접근 (네트워크 분리·방화벽과 연계)
- 2.6.4 데이터베이스 접근 (DB 직접접근은 별도)
- 2.6.6 원격 접근 통제 (VPN·jump server 세부)
- 2.9.4 로그 및 접속기록 관리 (서버 접속 로그)
관련 법규 / 표준
- 개인정보의 안전성 확보조치 기준 제6조 (접근통제)
- CIS Benchmarks (OS별 hardening 기준) — ITGC 직접 검증 X, 보안 진단 참조
- NIST SP 800-123 (Guide to General Server Security)
- ISO 27002 8.3 (Privileged Access Management)