인증기준
- 정보시스템 접근 시 안전한 인증 절차와 강화된 인증 방식을 적용하고, 로그인 횟수 제한 등 통제 방안을 이행하여야 합니다.
주요 확인사항
- 로그인 횟수 제한, 불법 시도 경고 등 인증 절차가 적절한지 확인합니다.
- 외부에서 개인정보처리시스템 접속 시 **안전한 인증 수단(2단계 인증 등)**을 적용하는지 점검합니다.
세부 설명
- 비밀번호 외에 인증서, OTP 등 추가 인증 수단을 적용해야 합니다.
- 일정 시간 동안 업무 처리가 없는 경우 자동으로 **세션을 차단(타임아웃)**해야 합니다.
결함 사례
- 사례 1 : 외부망에서 개인정보처리시스템 접근 시 ID/PW 방식만 사용하는 경우.
- 사례 2 : 로그인 실패 횟수에 대한 제한이 없어 무차별 대입 공격에 노출된 경우.