인증수단 (Authentication Method, AM)
6. 인증수단 (Authentication Method, AM) · 11개 통제항목
정의
인증수단은 시스템 접근에 사용되는 인증의 생성, 변경, 보호, 갱신 등을 관리하기 위한 통제 항목이다.
보안통제 항목 (11)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-AM-1 | 암호모듈 기반 인증 | 관련 법규, 정책 및 규정 등을 준수한 암호모듈 인증체계를 적용한다. | C S O |
| N2SF-AM-2 | 비밀번호 기반 인증 | 숫자・문자・특수문자 등을 혼합하고 주기적으로 변경하는 비밀번호 인증체계를 적용한다. | C S O |
| N2SF-AM-3 | 공개키 기반 인증 | 신뢰할 수 있는 인증 기관(CA)을 통해 발급된 인증서의 유효성을 검증하고, 인증서의 발급, 갱신, 폐지 등을 관리한다. | C S O |
| N2SF-AM-4 | 초기 인증수단 변경 | 시스템 설치 후 초기 설정된 비밀번호나 인증서는 반드시 사용자 지정 값으로 변경하도록 하여 기본값 노출을 방지한다. | C S O |
| N2SF-AM-5 | 인증수단 보호 | 정보시스템의 보안 수준에 준하여 인증수단을 보호한다. | C S |
| N2SF-AM-6 | 암호화되지 않은 인증수단 내장 금지 | 암호화되지 않은 인증수단이 응용프로그램 또는 스크립트 등에 내장되거나 기능키 등에 삽입되지 않아야 한다. | C S O |
| N2SF-AM-7 | 캐시된 인증수단 재사용 차단 | 캐시된 인증수단이 세션 유효 시간이 만료된 이후에 재사용되는 것을 차단한다. | C S O |
| N2SF-AM-8 | 공개키 기반 저장소 관리 | 네트워크, 운영체제, 브라우저, 응용프로그램을 포함하여 모든 정보시스템에 설치된 PKI 저장소에 대해 관리방안을 수립한다. | C S |
| N2SF-AM-9 | 소유기반 인증 | 생체인증, 모바일 인증 및 하드웨어 토큰 등을 활용한 인증체계를 적용한다. | C S O |
| N2SF-AM-M1 | 인증시스템 운영 감사 | 인증 서버와 구성 요소가 안전하게 운영되고 있는지 주기적으로 점검하고, 이상 행위는 감사 대상에 포함한다. | C S |
| N2SF-AM-M2 | 인증수단 정기적 보안 평가 | 사용 중인 인증 방식과 시스템에 대해 정기적으로 취약점 분석과 보안성 평가를 수행하여 보완한다. | C S |
구현 방법 예시
비밀번호 정책 적용
- 최소 길이, 대문자/숫자/특수문자 포함, 일정 주기 변경 등의 비밀번호 정책을 시스템에 적용한다.
- 동일 비밀번호 재사용 방지를 위해 비밀번호 이력을 최소 3개 이상 보관한다.
암호화된 인증수단 저장
- 인증시스템 전반에는 공인된 암호모듈을 기반으로 구성된 암호화 인증 모듈을 적용하며, 이는 인증서 저장, 인증 토큰 보호, 세션 암호화 등에 활용된다.
- 인증정보 저장소(DB, 파일 등)는 AES, RSA등의 알고리즘으로 암호화하고, 암호모듈 인증 상태 및 버전 관리를 수행하여 무결성을 유지한다.
- 인증 토큰(OAuth Access Token, Refresh Token 등) 이 탈취되거나 변조되지 않도록, 토큰 암호화와 JWT 서명 검증(HMAC 또는 RSA) 을 포함한 보호 조치를 설정한다.
인증수단 손상 대응
- 인증서 유출, 비밀번호 노출 등 인증 정보가 손상되었을 경우, 즉시 폐기하고 새로운 수단으로 대체 되도록 자동화한다.
- 손상 감지 시 관리자에게 경고를 보내고 접근 권한을 일시 정지한다.
- 스크립트 내 인증정보 하드코딩 방지를 위해 정적 분석 도구(SAST)를 활용하여 인증서, 비밀번호 등의 노출 여부를 검사한다.
인증정보 삭제
- 인증이 완료된 후, 메모리나 세션에 남아 있는 인증정보는 자동으로 삭제되도록 구성한다.
- 인증 쿠키나 토큰은 세션 종료 시 만료되도록 설정한다.
인증 저장소 보호 및 접근 제어
- 시스템 인증에는 공개키 기반 구조(PKI) 를 적용하고, 사용자에게 발급된 인증서는 유효성 검증을 통해 관리한다.
- PKI 기반 인증서 저장소는 브라우저, OS, 응용프로그램별로 존재하므로, 통합 관리 도구를 통해 중복된 저장소를 통제하고, 신뢰 루트 관리 기능을 구성한다.
- 인증서의 발급, 갱신, 폐기는 중앙 CA 및 RA 서버를 통해 자동으로 처리되며, 각 인증 행위는 Audit Trail에 기록되도록 한다.
인증시스템 보안 점검 및 운영 감사
- 인증 구성 요소(인증 서버, DB, API, 인증포털 등)는 분리 배치하며, 변경은 반드시 CI/CD 보안 승인 절차를 통해 반영한다.
- 시스템은 주기적으로 취약점 진단 도구를 통해 점검하며, 발견된 위험은 변경관리 프로세스에 따라 수정한다.
- 인증 로그 및 실패 이력, 변경 이력은 SIEM, IAM 로그 분석, 세션 로그와 연계되어 비정상 행위 탐지에 활용된다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 비밀번호 정책 적용 | Complexity Rule, Password Expiry, Password History, First Login Change |
| OTP 및 다중요소 인증 적용 | TOTP, FIDO2, ARS 인증, SMS/Email Token |
| 인증서 기반 인증 | PKI, X.509, CA/RA 서버 관리 |
| 생체정보 인증 | 지문/얼굴 인증 (FIDO2, WebAuthn) |
| 인증정보 보호 및 저장 | 해시, HSM |
| 인증 캐시 제거 | 세션 만료 후 자동 삭제, 브라우저 정책 설정 |
| 통합 인증 프로토콜 | OAuth 2.0, SAML, OpenID Connect |
| 위험 기반 인증 | Risk-Based Policy |
| 인증 로그 감사 및 정책 변경 | SIEM 연계, 인증 실패/변경 이력 저장, MFA 설정 감사 |