외부인증수단 (External Identity, EI)
2. 외부인증수단 (External Identity, EI) · 3개 통제항목
정의
외부 인증수단은 외부 기관 사용자에 대한 접근 시스템을 식별하고 시스템에 대한 접근 권한 부여 하기 위한 통제항목이다.
보안통제 항목 (3)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-EI-1 | 외부 자격증명 수단 활용 | 안전성 및 신뢰성을 검증받은 외부 기관(또는 업체 등)에서 발급한 자격증명 수단을 활용한다. | C S |
| N2SF-EI-2 | 외부 인증수단 활용 | 안전성 및 신뢰성을 검증받은 외부의 인증수단을 활용한다. | C S |
| N2SF-EI-M1 | 외부 인증수단 관리 | 외부 인증수단의 등록, 변경, 폐지 등 전체 수명 주기를 체계적으로 관리하며, 외부 기관과의 연계된 인증 프로파일의 보안 검증을 주기적으로 수행한다. | C |
구현 방법 예시
외부 사용자 최소 권한 접근 및 정보 보호
- 외부 사용자에게 허용된 정보시스템에만 접속할 수 있도록 외부 사용자 단말의 네트워크 경로를 별도 설정한다.
- 외부 사용자 세션은 시간제한, IP 제약, 단말 인증 병행 적용을 통해 보안을 강화한다.
- 외부 사용자의 개인정보 및 인증 정보는 조직 내 데이터베이스와 논리적으로 분리하여 저장하며, 익명화 또는 마스킹을 적용한다.
외부 인증 실패 대응 및 통제
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 외부 자격증명 기반 인증 | 모바일 공공 인증 등 외부 기관에서 발급한 자격증명, 일회성 세션 기반 접근 권한 |
| 외부 인증수단 연동 | OTP, 인증서, FIDO 인증 모듈, 인증 프로파일 기반 검증 |
| 외부 인증수단 관리 및 감사 | 외부 인증수단 등록/변경/폐지 시 주기적 보안 검토 및 관리 로그 기록 |
| 외부 사용자 최소 권한 및 정보 보호 | 네트워크 경로 분리, 최소 권한 접근, 개인정보 마스킹·익명화 |
| 외부 인증 실패 대응 및 통제 | 인증 실패 시 즉시 접근 차단, 관리자 알림, 재사용 승인 절차 |