Q. 외주인력의 출입통제나 업무적 경계가 애매한 경우 어느 선까지 가능할까요? 유지보수를 담당하는 외주인력의 시스템 접근시 공용계정(root, Admin, oracle)에 대한 패스워드 관리방안이 있나요? 또 시스템 유지보수시 서버 접속이 필요할 경우 외부 담당자(엔지니어)들의 서버 접속 계정 관리는 어떻게 해야 효율적인가요?


A-1. 외주인력이 일반 사내직원과 동일한 환경에서 동일한 동선으로 업무를 해야 할 경우 네트워크 대역을 달리하고, 고정 IP와 전용 계정을 할당해야 합니다. 당연히 PC 반·출입은 허용하지 않고, 노트북의 경우 시건장치를 하고 반출시 하드디스크 제거하고 반출할 수 있도록 해야 합니다. 또한 외주인력의 PC에서 내부망에 접근해야 할 경우 접속 계정에 대해 최소 권한으로만 제공해야 합니다.

외주인력의 시스템 접근 시 사용하는 공용계정은 최초 시스템 설치 시에만 제공하고 운영이관이 된 이후에는 해당 계정은 사용하지 않고 삭제합니다. 유지보수를 위해서 필요할 경우에는 패스워드를 주기적으로 변경하면서 관리해 유지보수 시에 만 제공하고, 유지보수 업무가 완료되면 즉시 변경합니다. 또한 이럴 경우 계약서상에 해당 계정으로 발생한 모든 문제에 대한 법적 책임을 납품·유지보수 업체에서 동일하게 책임진다는 부분을 명시하는 것도 좋은 방법입니다.
(조우진 한국CISSP협회/wustyle78@gmail.com)

A-2. 업무적 경계가 애매한 것은 외주인력의 문제가 아니라 외주를 준 회사에서 해당 업무를 정확히 기술하고 업무적 경계를 명확히 하지 않은 것에서 발생하는 문제입니다. 외주든 내부든 기본적으로 공용계정 사용은 지양해야 하며, 시스템 접근 시 사용하는 계정은 로그인 후의 모든 활동을 자세히 로그로 남기고 이를 분석하는 활동이 반드시 이루어져야만 합니다.

시스템 유지보수 시의 접근은 발생시 마다 접근이 허용되어야 하며, 접근 후 수행하는 모든 활동은 반드시 로그를 남기고 그 로그를 분석해야 하며, 업무 종료 후에는 반드시 패스워드 변경 등을 통해 해당 계정이 오·남용되는 것을 방지해야 합니다.
(박태완 한국뷰로베리타스 선임심사원/jstwpark@daum.net)

A-3. 원칙적으로 외주인력에게는 공용계정을 부여하면 안됩니다. 부득이 공용계정을 부여하는 경우 관리자가 동행해 관리·감독을 해야 합니다.
(강정훈 11번가/jhkang@sk.com)

A-4. 정보통신망법이나 개인정보보호법에서 제시하고 있는 가이드를 준수하면 됩니다. 어떠한 경우에도 계정 사용에 있어서는 사전 승인과 사후 확인절차를 거치도록 하고 가급적 자동화된 모니터링 도구를 사용해 주기적으로 점검하고 확인하는 것이 필요합니다.
(안상수 ISMS인증심사원·ISO27001선임심사원/ssahn@nuriins.com)
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>