세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

보안대책

계정 관리

포스팅 뷰388

계정 관리의 정의

계정 관리(Identity Management)는 정보자산의 사용자 계정을 관리하는 것으로서 정보보안의 기반이다.


정보자산을 보호하기 위해 아무리 좋은 보안 솔루션을 사용한다 하더라도, 정보자산의 계정 관리가 잘못되면 정보자산은 침해당하기 매우 쉽다. 심지어 보안 솔루션에 계정이 잘못 등록되어 있거나 공격자에 의해 (관리되지 않은) 계정이 탈취된다면 보안 솔루션은 오히려 정보자산에 대한 공격 수단이 된다.


계정 관리의 기본 원칙

정보자산에 접근할 수 있는 계정은 꼭 필요한 사용자만 등록한다.

  • 적절한 승인 절차를 통해 그 사람이 업무적으로 필요한지 확인한다.

계정은 1인 1계정을 발급한다. 한 계정을 여러 사람이 공통으로 사용하지 않도록 한다.

  • 한 사람이 여러 계정을 발급받을 수 있다. 한 계정에 한 사람이 특정되면 된다.

  • 공통 계정을 사용하면 비밀번호 변경, 2단계 인증 등의 인증 강화 정책이 작동하기 어렵다.

  • 공통 계정을 사용하면 사고가 났을 때 추적하기가어려워진다. 1인 1계정으로 추적이 쉬우면, 계정 사용자도 조심하게 되어 예방 효과도 생긴다.

퇴사, 부서 이동 등 계정 사용자의 업무에 변동이 발생하면 즉시 계정을 회수하거나 사용을 차단한다.

  • 퇴사 시 계정 비활성화, 계정 삭제, 비밀번호 변경 등의 방법이 있다. 퇴사 후 사용하던 계정으로 접속하여 발생한 중요 정보 유출 사고가 많이 발생하므로, 유의해야 한다.

  • 이러한 상황 발생 시 개인정보취급자의 계정 및 권한 관리를 제대로 하지 않으면 개인정보보호 법규를 위반한 것이 된다.