인증정책 (Authentication Policy, AP)
5. 인증정책 (Authentication Policy, AP) · 8개 통제항목
정의
인증정책은 기관 사용자 증명, 인증 프로파일, 그룹계정 사용자 인증 등 기관 내 사용자의 신원을 지속적으로 확인하고 보호하기 위한 통제항목이다.
보안통제 항목 (8)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-AP-1 | 기관 발급 증명수단 인증 활용 | 기관에서 발급한 자격 증명수단(모바일 공무원증 등)을 활용하여 사용자를 인증한다. | C S |
| N2SF-AP-2 | 인증 프로파일 활용 | 사용자의 직무나 역할에 따라 인증 기준을 정하고, 그에 맞게 관리한다. | C S |
| N2SF-AP-3 | 그룹 계정 사용자 인증 | 그룹 계정 인증 시 해당 그룹 계정에 포함된 사용자를 식별할 수 있는 인증수단을 적용하여 사용자 인증을 추가로 수행한다. | C S |
| N2SF-AP-4 | 재인증 | 주기적 또는 특정 상황・조건에서는 사용자에게 재인증을 요구한다. | C |
| N2SF-AP-5 | 동시 중복인증 차단 | 정보서비스 특성을 반영하여 동시 중복인증을 차단한다. | C |
| N2SF-AP-M1 | 인증 정책 수립 및 절차 관리 | 인증 방식이나 기준을 정하고, 절차를 따라 관리한다. | C S |
| N2SF-AP-M2 | 인증 관리자의 역할 및 책임 관리 | 인증을 담당하는 관리자에게 역할과 책임을 분명히 정해 운영한다. | C S |
| N2SF-AP-M3 | 인증 관련 보안사고 대응체계 | 인증 관련 문제가 생겼을 때 대한 대응 절차를 마련해 둔다. | C S O |
구현 방법 예시
기관 발급 인증수단 수단 연계
- 행정전자서명, 공무원증, 기관 OTP 등 공식 수단과 인증시스템을 연동하여 사용자의 신원을 검증 한다.
- 발급 기관과의 신뢰 체계를 사전에 등록하고, 인증서 유효성 검증 절차를 구현한다.
- 인증서 상태는 OCSP, CRL 방식으로 검증되며, 로그인 시 자동 선택 또는 사용자 지정이 가능하도록 설정한다.
역할 기반 인증 프로파일 구성
- 사용자의 부서, 직무, 업무 유형을 기준으로 인증 수준을 구분하고, 각 수준에 따라 MFA 적용, 인증 주기, 인증수단을 조합한 프로파일을 사전 정의한다.
- 인증 프로파일은 계정 생성 시 자동으로 할당되며, IAM 또는 AD와 연계하여 중앙 관리되도록 구성 한다.
그룹 계정 사용자 식별 절차 도입
- 공용 계정 사용 시 사용자 개별 식별을 위해 2차 인증(OTP, 생체인증, PIN 등)을 요구하고, 사용자 ID 또는 장치 식별 정보를 로그에 남긴다.
- 그룹 계정 사용 이력은 개인 사용자별로 분리 저장되며, 책임 추적성을 확보할 수 있도록 구성한다.
재인증 조건 설정 및 적용
- 계정 복구, 비밀번호 변경, 권한 상승 등 특정 이벤트 발생 시 재인증이 요구되도록 시스템 정책을 구성한다.
- 재인증은 OTP, 푸시 인증, 생체인증 등으로 수행되며, 세션 유지 조건, 접속 위치 변경 등의 위험 기반 조건도 함께 고려한다.
동시 로그인 및 세션 중복 방지
- 하나의 계정으로 다중 세션이 생성되지 않도록 세션 중복 제한 정책을 적용한다.
- 다른 IP, 장치, 브라우저에서 동일 계정이 접속 시 기존 세션을 종료하거나 사용자 확인을 거치도록 구성하며, 세션 정보는 로그로 기록된다.
인증정책 수립 및 변경 이력 관리
- 인증수단, 인증 주기, 예외 허용 조건 등은 정책 문서로 정의하고, IAM 또는 인증 관리 포털을 통해 시스템에 적용한다.
- 정책 변경 시 승인 절차와 이력 기록 기능을 통해 변경 내용을 감사 로그로 남기고, 변경 이력은 주기적으로 검토할 수 있도록 구성한다.
인증 관리자 역할 구분 및 권한 통제
- 인증 정책을 설정·변경할 수 있는 관리자 계정은 별도 Role로 정의하고, 승인자·적용자 역할을 분리한다.
- 인증 관리자 변경, 정책 승인 이력은 자동으로 기록되며, 변경사항은 주기적으로 검토할 수 있도록 한다.
인증 관련 보안 사고 대응 체계 구축
- 인증 실패 반복, 인증수단 탈취, 계정 도용 등의 상황에 대응할 수 있도록 자동 차단, 세션 종료, 관리자 알림 등의 보안 조치를 시스템에 반영한다.
- SIEM, UEBA, SOAR 등과 연계하여 보안 이벤트 발생 시 실시간 대응이 가능하도록 구성한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 인증 연계 | SAML, OAuth, X.509, OpenID Connect |
| 역할 기반 인증 | RBAC 기반 인증 프로파일 |
| 그룹 계정 식별 | 사용자 재확인, 2차 인증, 로그 분리 |
| 재인증 | 조건 기반 MFA 트리거 |
| 세션 제어 | 동시 접속 제한, 세션 핑거프린트 |
| 정책 적용 | IAM 시스템, 정책 문서, 통합 포털 연동 |
| 관리자 권한 관리 | Role-Based Access Control, 로그 감사 |
| 사고 대응 | SIEM, SOAR, UEBA 연동, 자동 차단 |