DA - 단말인증 | N2SF | 로그프레소

정의

단말인증은 사용자 또는 관리자 단말의 접근을 허용하기에 앞서, 해당 단말의 식별, 무결성 검증, 보안 상태 평가를 수행하여 신뢰된 단말만 시스템 자원에 접근할 수 있도록 하는 통제항목이다.

보안통제 항목 (7)

N2SF ID	소항목	보안통제설명	분류
N2SF-DA-1	단말 무결성 검증	단말 내 신뢰 가능한 모듈(TPM 등)을 통한 구성 정보(BIOS 설정 정보, Disk 설치 정보 등) 등을 확인한다.	C S
N2SF-DA-2	정보서비스 식별 및 제한	인증 절차를 통해 사전 승인한 정보서비스만을 활용하도록 제한한다.	C S
N2SF-DA-3	단말 식별 및 인증	단말의 고유 식별자(MAC, TPM, 인증서 등)를 통해 단말을 식별하고, 등록된 단말만 인증을 통해 시스템에 접근할 수 있도록 한다.	C S
N2SF-DA-3(1)	인가 단말 인증	조직 내 등록되어 인가된 단말에 한해 인증수단(디지털 인증서, 장치 지문 등)을 통해 접근을 허용한다.	C S
N2SF-DA-3(2)	비인가 단말 인증	등록되지 않았거나 보안 기준을 충족하지 못한 단말은 인증 요청을 차단하거나 별도 네트워크 구역으로 격리한다.	C
N2SF-DA-4	인증된 단말의 접속 관리	인증된 단말이라 하더라도 접속 시간, 위치, 사용자에 따라 세부 접근 권한을 제어하고, 접근 이력을 기록하여 감사 가능하도록 한다.	C
N2SF-DA-5	외부 단말 접속 제어	외부에서 접근하는 단말은 보안 VPN, MFA, 장치검증 등 추가 보안 절차를 거쳐서만 제한된 자원에 접근하도록 구성한다.	C S O

구현 방법 예시

인가된 단말 인증 적용

등록된 단말에는 디지털 인증서 또는 장치 기반 OTP 인증수단을 연동하고, 사용자는 해당 장치로만 인증 가능하도록 제한한다.
각 단말에 고유 식별자(MAC 주소, TPM 키, 디지털 인증서 등)를 부여하고, 등록된 단말만 접근을 허용하는 화이트리스트 기반 접근통제를 구성한다.
X.509 기반 클라이언트 인증서를 발급받아 사용자 계정과 단말을 연계하고, 인증서 기반 인증을 수행한다.
단말 인증 실패 시 사용자 인증과 무관하게 접근을 차단하며, 이력은 별도 감사 로그로 저장된다.

비인가 단말 대응

등록되지 않은 단말의 접근 시도는 자동 차단되며, 관리자는 등록 요청 여부를 검토할 수 있도록 한다.
등록되지 않았거나 관리되지 않은 단말의 접근 시도는 NAC 또는 802.1X 기반 인증 시스템을 통해 차단한다.

인증된 단말의 접속 범위 통제 및 감사

IAM, NAC, DLP 시스템과 연계하여 인증된 단말이라 하더라도 업무 시스템별, 시간대별, 사용자 역할별 접근 정책을 차등 적용한다.
접속 기록, 사용 시간, 위치, 사용자 정보 등을 로그 서버 또는 SIEM에 기록하고, 비인가 접속/비정상 사용 감지 시 알림 또는 차단 조치를 수행한다.

외부 단말에 대한 보안 통제 강화

외부 단말이 접근할 경우 SSL VPN, TLS 기반 보안 채널, Virtual Desktop Infrastructure(VDI) 등을 통해서만 내부 자원에 접근 가능하도록 한다.
이때 반드시 다중요소 인증(MFA)를 적용하고, 접속 환경에 따라 추가 인증 요소를 요구하거나 세션을 제한한다.
USB, 프린터, 클립보드 등 로컬 장치 리디렉션 제한 기능을 적용하여 민감 정보 유출을 방지한다.
외부 단말 세션은 최대 지속시간, 활동 기반 자동 로그아웃 등의 조건을 적용한다.

적용 기술 요약

항목	적용 기술 또는 방식
단말 무결성 검증	TPM 기반 무결성 검증, EDR, SIEM 연동
단말 식별	MAC, TPM, X.509 인증서 기반 식별
비인가 단말 차단	NAC, 802.1X
사용자-단말 연계 인증	인증서 + OTP, 사용자-장치 정책 연계
인증된 단말의 범위 제한	IAM, NAC 등을 통한 접속 범위 제한
외부 단말 통제	SSL VPN, VDI, TLS 터널, MFA 연동
세션 보호	로컬 장치 제한, 세션 로깅, 위험 세션 감지