최소한의 권한을 부여해야 하는 이유

▶ 책임추적성
- 사용자 계정, 프로그램 등의 주체가 어떤 시스템 혹은 자원과 같은 객체에게 접근하여 문제 발생 시 책임 소재추적 관리
 예시) 2022년 4월 삼성전자의 사례
 • 삼성전자 반도체 부품 부분 파운드리 사업부 소속직우너이 위탁 생산 관련 기술 등 내부 기밀을 외부로 유출하려다 적발
 • 퇴사를 앞둔 직원이 재택근무 중 수시로 내부 기밀 기술 문서에 접근한 계정 활동 기록을 포착하여 내사 착수

 

▶ 접근 통제 정책
- 강제적 접근 통제(MAC : Mandatory Access Control)
- 임의적 접근 통제(DAC : Discretionary Access Control)
- 역할 기반 접근 통제(RBAC : Role Based Access Control)

 

▶ 접근 통제 원칙
- 직무 분리의 원칙(Separation of Duties)
• 중요하고 민감한 프로세스, 업무 관련 권한 분산 관리
• 특정인에게 권한 집중 방지

 

- 알아야 할 필요성의 원칙(Need to know)
• 직무 수행을 위해 접근할 정당한 이유가 존재함
• 본인 직무와 유관한 분야에만 접근 가능성이 있으므로 최소 권한을 부여하는 것을 검토하는 원칙

 

- 최소 권한의 원칙(Least Privilege)
• 직무별 과잉권한을 부여하지 않으며 최소한의 권한만 부여하고, 업무 상 추가 권한이 필요하다면 그때마다 요청하는 것

 

▶ 계정 관리 정책 7가지
① 발급 후 디폴트 계정 정보 사용 금지 
② 패스워드 복잡성 준수 
③ 패스워드 최대 사용 기간 설정 
④ 패스워드 암호화 설정

⑤ 계정 잠금 임계값 설정

⑥ 불필요한 계정 삭제

⑦ 조직도보다 업무별로 계정 발급

 

▶ 최소한 권칙의 원칙을 사수하는 이유
① ‘내부자로 인한 기밀 정보 및 기술 유출에 대비하기 위함’

만약 모두가 기밀 정보 및 기술에 누구나 접근할 수 있게 된다면, 중요한 정보임에도 관리 감독이 어려울 수 있게 됨

 

② ‘보안성을 강화하고 해킹 피해 시 피해 범주를 줄이기 위함’
 만약 모든 계정이 최대권한을 가진다면 이는 해커에게 아주 좋은 소식이 되고, 혹시라도 해커가 단말기의 보안을 느슨하게 설정한 사용자의 회사 계정을 탈취하게 된다면 해당 계정이 접근 가능한 범주가 너무 커서 피해 범주도 커지게 될 것 

 

③ ‘권력 및 권한의 오남용에 대한 시스템적인 대비’
 어떤 회사의 계정 접근 통제 원칙이 최소 권한이 아닌 직급에 따른 최대 권한의 원칙이라는 가정을 했을 때, 영업과 인사 업무를 맡지 않는 부장들도 신입 채용을 하는 영업 및 인사 부장과 같은 직급이므로 회사 내부망에 대한 접근 권한이 동등할 것
이는 시스템적으로 다른 부장의 접근 및 권력의 오남용을 막을 수 없으므로 채용 과정에서의 투명성을 보장하기 힘들 수 있음

 

④ ‘인재를 예방하기 위함’ 
 신입사원에게 최종결제자와 동등한 최대 권한을 부여하게 된다면, 신입사원이 실수를 하여도 중간에서 확인하는 절차 없이 바로 최종 반영이 될 수 있게 되어 해당 실수를 바로잡는 일이 어려워질 수 있음

 

출처 : 에듀빈 - 평범한 회사와 직장인을 위한 정보 보안 기본서