1. 관련 법령
- 전자금융감독규정 제13조 제1항 제4호, 제14호
- 개인정보의 기술적·관리적 보호조치 기준 제4조 제1항, 제2항, 제3항
- 개인정보의 안전성 확보조치 기준 제5조 제1항, 제2항, 제3항, 제4항
2. 개요
- IAM 계정을 관리하는 방법은 수동으로 관리하는 방식부터 오픈소스ㆍ3rd party 솔루션을 활용하는 방식까지 다양한 방법이 존재하지만, 목적론적으로는 IAM 계정 및 역할의 신청ㆍ할당ㆍ관리ㆍ회수에 대한 Life-Cycle 수립을 지향 해야함
- Life-Cycle 수립 시 AWS 도큐먼트와 다양한 오픈소스를 참고하여 구성 필요
3. 취약점 판단 기준
- IAM 계정 관리 Life-Cycle을 수립하지 않은 경우 취약
- IAM 계정 관리 Life-Cycle을 수립한 경우 취약하지 않음
4. 취약점 확인 방법
- 담당자 인터뷰 및 IAM 계정 현황 파악 후 적절한 IAM 계정 관리 Life-Cycle 수립 여부 확인
- 권한(역할) 신청 절차를 수립하고 관련 이력을 보존해야함
- 담당자 역할별로 IAM 계정을 생성하고 필요 최소한의 권한만을 부여해야함
- IAM 계정에 직접적인 권한 부여를 지양하고, 그룹에 권한 부여 후 IAM 유저를 연결해야 함
- 정기적으로 IAM 권한 부여 현황을 파악하고 미사용ㆍ과도하게 부여된 권한을 수정해야함(IAM의 [자격 증명 보고서] 및 [액세스 관리자] 등 활용)
5. 취약점 조치 방법
- 담당자 인터뷰 및 서비스 운영 현황 분석을 통해 최대한 적합한 IAM 계정 관리 Life-Cycle 수립 필요
6. 참고
Security Compliance Engineer