2.6.6. 원격접근 통제

 

항목	2.6.6. 원격접근 통제
키워드	원칙금지, 보완대책(승인, 특정단말, 허용범위, 기간한정), 보호대책, 단말기 지정, 임의조작 금지
인증기준	보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.
주요 확인사항	Ÿ 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?   Ÿ 내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?   Ÿ 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하고 있는가?   Ÿ 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
관련 법규	Ÿ 개인정보 보호법 제29조(안전조치의무)   Ÿ 개인정보의 안전성 확보조치 기준 제6조(접근통제), 제10조(관리용 단말기 안전조치)   Ÿ 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
증거자료   (예시)	Ÿ VPN 등 사외접속 신청서   Ÿ VPN 계정 목록   Ÿ VPN 접근제어 정책 설정 현황   Ÿ IP 관리대장   Ÿ 원격 접근제어 설정(서버 설정, 보안시스템 설정 등)   Ÿ 관리용 단말기 지정 및 관리 현황   Ÿ 네트워크 구성도
결함사례	사례 1 : 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나, 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우   사례 2 : 원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나, VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우   사례 3 : 외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나, 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우