2.6.3 응용프로그램 접근
1. ISMS 원본
인증기준
사용자가 정보시스템 및 중요정보에 접근할 수 있는 응용프로그램에 대한 접근권한을 업무 목적에 따라 최소한으로 부여하고, 불법적인 접근 시도 및 침해행위를 방지할 수 있도록 적절한 통제수단을 적용하여야 한다.
주요 확인사항 (KISA 안내서)
- 응용프로그램에 대한 접근권한을 업무 목적에 따라 최소한으로 부여하고 있는가?
- 응용프로그램을 통한 정보 접근에 대하여 사용자 인증, 세션 관리 등 보안 통제를 적용하고 있는가?
- 동일 응용프로그램에서 사용자별 권한을 차등적으로 부여하고 있는가?
- 중요 정보(개인정보 등)의 조회·변경·삭제 등에 대하여 적절한 통제수단을 적용하고 있는가?
관련 법규
- 개인정보 보호법 제29조 (안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조 (접근권한의 관리), 제6조 (접근통제)
핵심 통제 (KISA 안내서)
- 응용프로그램 접근권한 분류·부여 기준 수립
- 역할(Role) 기반 접근통제 — 직무별 메뉴·트랜잭션·데이터 수준 차등
- 사용자 인증·세션 타임아웃·동시 접속 제한
- 중요정보 접근 시 추가 통제 (2차 인증, 접근 사유, 관리자 승인)
- 개인정보 마스킹·대량 다운로드 제한·접근 로그
결함사례 (KISA 안내서)
- 사례 1: 모든 사용자에게 동일 메뉴·동일 권한 부여 — 직무별 차등 X
- 사례 2: 세션 타임아웃 미설정 — 자리 비운 상태로 타인 접근 가능
- 사례 3: 개인정보 대량 조회·다운로드에 대한 모니터링·통제 미적용
- 사례 4: 퇴직·전보 후 응용프로그램 권한 미회수 (→ 2.5.1 연계)
2. ITGC 매핑
| 항목 | 값 |
|---|---|
| 분류 | 직접 (1-direct) |
| ITGC 영역 | APD (Access to Programs and Data) |
| 부영역 | — |
| 보조 영역 | ITAC (SoD = APD + ITAC 교차), 2.5.1 (계정 라이프사이클), 2.5.6 (권한 검토) |
3. IT감사에서는 이렇게
3-A. 한국 비금융 ITGC 실무 표준 (실제 검증 범위)
2.6.3 고유 ITGC 검증은 거의 없다. KISA가 별도 인증기준으로 분리한 건 정보보호 관점의 세분화이지, ITGC 관점에서는 다른 인증기준에서 이미 커버된다.
| KISA 2.6.3 요구 | ITGC 실제 검증 위치 | 비고 |
|---|---|---|
| 업무 목적 최소 권한 부여 | 2.5.1 사용자 계정 관리 / 2.5.5 특수 계정 | 계정·권한 라이프사이클에서 in-scope 앱 사용자 마스터 이미 추출·대조 |
| 사용자별 권한 차등 (역할 기반) | 2.5.6 접근권한 검토 | 역할 정의서·권한 매트릭스 대비 실제 부여 현황 = 정기 검토 workpaper에서 검증 |
| SoD 충돌 방지 | 2.5.6 + ITAC | ITGC: 충돌 리스트 식별, ITAC: 악용 여부·재무 영향 평가 |
| 사용자 인증·세션 관리 | 보안 설정 | ITGC 영역 X |
| 개인정보 마스킹·다운로드 통제 | 개인정보 영역 (3장) / 보안 모니터링 | ITGC 영역 X |
ITAC에서 권한 검토가 별도로 필요한 경우:
- SoD 충돌 식별 시 — ITGC(2.5.6)에서 충돌 리스트 넘겨받으면, 해당 충돌이 실제 악용되었는지 sample 검토 (전표 입력자가 본인 건 승인한 내역 등)
- 자동화 통제(automated control) 의존 시 — 시스템이 강제하는 승인·검증 로직의 권한 설정이 우회 불가능한지 확인
- Key report 생성 권한 — 재무 보고에 사용되는 시스템 리포트(IPE)의 생성·수정 권한자 적정성
- 재무적 민감 영역의 권한 분리 — 재무·자금·구매 등 횡령·부정 위험이 높은 프로세스에서 입력/승인/실행 권한이 동일인에게 집중되지 않았는지 (예: 자금 이체 요청자 ≠ 승인자, 매입 등록자 ≠ 지급 실행자)
따라서 2.6.3은 ISMS-P 인증심사에서는 독립 인증기준으로 별도 검증하지만, ITGC에서는 위 인증기준 검증 시 자연 커버된다. 2.6.3만을 위한 별도 ITGC 테스트 절차를 설계할 필요 없음.
3-B. ISMS-P가 추가로 요구하지만 ITGC 실무 범위 밖
| ISMS 요구 | 절차 | 어디 영역 |
|---|---|---|
| 세션 타임아웃·동시 접속 제한 | 애플리케이션 보안 설정 점검 | 보안 설정 (ITGC에서는 형식 확인 수준) |
| 개인정보 마스킹·비식별화 | 화면·출력물 개인정보 노출 여부 | 개인정보 영역 (3장) |
| 대량 다운로드 통제·모니터링 | 건수 기준·알림·차단 설정 | 보안 모니터링 (SOC·정보보안팀) |
| 출력물 통제 (인쇄·캡처 방지) | DRM·DLP·인쇄 로그 | 보안 영역 |
4. Q&A
Q1. 한국 비금융 ITGC 실무, 2.6.3 별도로 봐야 함?
A. 별도 테스트 절차 불필요. 다른 인증기준 검증 시 자연 커버.
- 계정·권한 적정성 → 2.5.1/2.5.5에서 in-scope 앱 사용자 마스터 이미 추출·대조
- 역할 설계·권한 차등·SoD → 2.5.6 정기 검토에서 역할 매핑·충돌 식별 이미 수행
- SoD 악용 여부 → ITAC에서 sample 검토
- 2.6.3을 위한 별도 workpaper 불필요. 위 인증기준 workpaper에서 커버 확인만
- ISMS-P 인증심사 시 별도 증적 요구 가능 — 위 검증 결과를 2.6.3 증적으로 재활용
Q2. 세부 주제는 어디서 보나?
A. 2.6.3에서 흔히 묻는 주제들이 다른 인증기준에 이미 있다.
| 주제 | 검증 위치 |
|---|---|
| 과다 권한·특수 권한 (SAP_ALL 등) | 2.5.5 특수 계정 및 권한 관리 |
| 역할 정의서·권한 매트릭스 검증 | 2.5.6 접근권한 검토 |
| SoD 매트릭스·충돌 식별 | 2.5.6 + ITAC |
| 퇴직·전보 후 권한 미회수 | 2.5.1 사용자 계정 관리 |
| 세션 타임아웃·인증 강화 | 보안 설정 (ITGC 영역 X) |
| 개인정보 마스킹·대량 다운로드 | 보안 모니터링 (ITGC 영역 X) |
관련 인증기준
- 2.5.1 사용자 계정 관리 (계정 라이프사이클 — 계정 있는 사람이 맞는가)
- 2.5.5 특수 계정 및 권한 관리 (SAP_ALL·sysadmin 등 과다 권한)
- 2.5.6 접근권한 검토 (정기 검토 사이클·증적)
- 2.6.4 데이터베이스 접근 (DB 직접접근은 별도)
- 2.8.3 시험과 운영 환경 분리 (환경 분리를 통한 접근 통제)
- 2.9.4 로그 및 접속기록 관리 (접근 로그 보존·검토)
관련 법규 / 표준
- 개인정보의 안전성 확보조치 기준 제5조 (접근권한의 관리)
- 전자금융감독규정 제13조 (접근통제) — 금융권 추가 요구
- COBIT 2019 DSS05.04 (Manage Identity and Logical Access)
- ISO 27002 8.3 (Privileged Access Management)