권한 부여 (인가, Authorization)

제 2 절 권한 부여 (인가, Authorization)

정보시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다.

[그림] 인증과 권한 부여

위 그림처럼 인증과 권한부여는 서로 다른 단계이다. 식별과 인증은 주체의 신원을 검증하는 행위로써 접근통제 절차의 첫 단계이며, 아이디/패스워드 등을 활용하여 인증하게 된다. 이후 인증이 성공하게 되면 사전에 정의된 접근통제 3요소(정책, 모델, 메커니즘)를 활용하여 주체에게 개체(리소스 또는 기능)에 액세스할 수 있는 권한을 부여하는 단계를 거치게 된다.

[표] 접근통제 정책, 모델, 메커니즘

구분	유형
접근통제 정책	MAC, DAC, RBAC, ABAC
접근통제 모델	BLP, BIBA, Clark & Wilson, Chinese Well, Information Flow Model
접근통제 메커니즘	Access Control Matrix, ACL, CL

[표] 인증과 권한 부여

구분	인증(Authentication)	권한 부여 (Authorization)
기능	자격 증명	권한 허가/거부
진행 방식	패스워드, 바이오 정보, OTP 등 사용하여 적절한 자격 증명	시스템 권한관리자에 의해 부여 (신청/검토/승인 절차)
사용자가 변경	제공된 인증된 방식 중 선택 또는 등록된 패스워드 초기화 또는 변경	불가능

제１항 권한 부여 기준

l 사용자 등록 및 권한부여

비인가자의 접근을 통제할 수 있도록 접근제어 영역 및 범위, 접근제어 규칙, 방법 등을 포함하여 접근제어 정책, 모델, 메커니즘을 수립하여야 한다. 또한 업무상 불가피하게 접근제어 정책 예외사항이 발생할 경우 이를 보완할 수 있는 방안을 마련한 후 한시적으로 허용하여야 한다.
접근제어 정책, 모델, 메커니즘에 따라 사용자 등록 및 권한부여를 위한 공식절차를 수립하여야 하며 접근권한 행렬 등에 따라 업무상 필요한 최소 권한만 부여되도록 관리하여야 한다.

l 특수 권한 관리

정보시스템의 운영 담당자(root 또는 유사한 권한을 가진 계정) 또는 중요자산에 접근하거나 권한부여가 가능한 담당자(admin 등 유사한 권한을 가진 계정) 등 특수 권한을 식별하고, 최소한의 인력에게만 관리자 권한이 할당되도록 관리하여야 한다. 특수 권한을 가진 계정은 유출되었을 때 미치는 영향도가 높기 때문에 부여된 권한을 식별, 관리할 수 있도록 별도의 목록으로 관리하거나 시스템 내에서 현황을 확인할 수 있어야 한다.
만약 특수권한을 외부인에게 할당한 경우에는 반드시 내부 승인을 거친 후 부여하여야 하며 최소 원한 원칙을 준수하여 한시적으로 부여될 수 있도록 관리하여야 한다.

l 접근권한 검토

사용자에게 부여된 권한, 이용 여부, 퇴직 및 휴직, 직무변경, 부서변경 등에 따른 권한 변경 등이 적정하게 이뤄지고 있는지 정기적으로 점검되어야 한다.
접근권한 메트릭스의 적정성 여부, 접근권한 메트릭스에 따른 정보시스템 내에 권한 부여, 공시적인 절차 준수, 승인자의 적절성, 퇴직 및 휴직 또는 직무 및 부서 변경 시 권한변경 여부 등을 정기적으로 검토하여야 한다.

제２항 권한 부여 원칙

l 기본 접근 금지

정보시스템 영역별로 사용자 등록과 삭제 및 접근권한 등록과 변경, 삭제에 대한 신청, 검토, 승인 절차를 수립하고 이행하여야 하며, 해당 정보시스템 담당자에 임의로 변경되지 않도록 관리되어야 한다. 사용자 계정의 관리, 권한 부여의 적절성을 검토하기 위해 현황을 문서 또는 시스템을 통해 관리하여야 한다.
기본적으로 권한이 부여되지 않은 모든 주체는 기본적으로 접근이 금지되어야 하며 관리자에 의해 권한이 부여된 경우에만 접근이 허가되어야 한다.

l 최소 권한 원칙

권한은 직무별 또는 역할별로 정의되어 관리되어야 하며, 업무 담당자의 직무에 따라 차등 부여하고 업무 수행에 필요한 최소 권한만 할당할 수 있도록 하여야 한다.
사용자 등록과 삭제 및 접근권한 등록과 변경, 삭제 시에 특정 주체에게 권한이 집중되지 않도록 하여야 하며 불가피하게 한사람에게 집중될 경우에는 권한 부여 활동의 적정성을 검토할 수 있도록 관련 이력을 생성, 관리하고 주기적으로 검토되어야 한다. 또한 외부업체에게 정보시스템의 중요 접근권한을 부여하는 경우 내부 관련 조직의 책임자 승인을 득한 후 부여될 수 있도록 관리되어야 한다.