ISMS-P 2.5.3 사용자 인증 High Risk

사용자 인증이 강화되어 있는가?

ISMS-P 2.5.3은 안전한 인증절차와 강화된 인증방식(MFA) 적용을 요구합니다. 클라우드 환경에서는 Root/IAM User MFA 필수 + 조건부 정책 + 세션 타임아웃으로 구현해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.5.3 사용자 인증 요구사항

2.5.3

사용자 인증

인증 기준 정의

"정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다."

📌 클라우드 환경 적용 포인트

AWS Root 계정 MFA 필수 (Hardware 권장)
IAM 사용자 Console 접근 시 MFA 적용
로그인 실패 횟수 제한 및 계정 잠금
Session Timeout 설정 (유휴 시 자동 로그아웃)
고권한 작업에 MFA 조건부 정책 적용

⚠️ 미준수 시 심사 영향

결함: Root 계정에 MFA 미적용
결함: IAM User Console MFA 미적용
결함: 외부에서 ID/PW만으로 접근 허용
결함: 로그인 실패 횟수 제한 없음

📄 KISA ISMS-P 인증기준 안내서 ↗ 📖 ISMS-P 2.5.3 상세 안내 ↗

📰

실제 보안 사고 사례

MFA 미적용으로 발생한 클라우드 침해 사례

2024

AWS 계정 탈취로 비트코인 채굴

MFA 미적용 계정이 탈취되어 해커가 고사양 EC2 인스턴스를 대량 생성, 비트코인 채굴에 악용. 단기간에 수만 달러의 비용 발생. Root 계정 탈취 시 서비스 제어권 완전 상실.

💡 교훈: Root 계정 및 모든 IAM User에 MFA 필수 적용

출처: The Hacker News ↗

2024

LLM Hijacking 신종 공격

클라우드에서 노출된 Access Key를 탈취하여 AWS Bedrock 등 LLM 서비스 악용. 자격증명 탈취 후 21분 내 침투 및 수평이동 완료. 피해자의 비용으로 불법 AI 애플리케이션 운영.

💡 교훈: MFA + Identity Federation 필수, Access Key 장기 사용 지양

출처: The Hacker News ↗

⚡

클라우드 환경의 위험

MFA 미적용 시 발생하는 보안 위협

MFA 미적용 (위험)

ID/PW

🔓

→

전체 접근

💸

↑ 탈취 즉시 전체 리소스 접근

ID/PW 탈취 시 21분 내 침투 → ISMS-P 2.5.3 미충족

MFA 적용 (권장)

ID/PW

🔑

+

MFA

📱

→

보호

🔒

↑ 2단계 인증 필수

ID/PW 탈취해도 MFA 없이 접근 불가 → 인증 기준 충족

🚨

발견 사례: IAM 사용자 Console 접근 시 MFA 미적용, Root 계정 MFA 미설정

관리자 권한을 가진 IAM User가 MFA 없이 Console에 접근 가능. Root 계정에도 MFA 미설정으로 탈취 시 전체 서비스 장악 가능.

현재 상태 - 문제가 되는 설정

# IAM 사용자 - MFA 없이 Console 접근 가능
resource "aws_iam_user" "admin" {
  name = "admin-user"
}

resource "aws_iam_user_login_profile" "admin" {
  user = aws_iam_user.admin.name
  # MFA 강제 정책 없음
  # Console 로그인 시 ID/PW만 필요
}

# AdministratorAccess - MFA 조건 없음 (위험!)
resource "aws_iam_user_policy_attachment" "admin" {
  user       = aws_iam_user.admin.name
  policy_arn = "arn:aws:iam::aws:policy/AdministratorAccess"
  # MFA 인증 없이 모든 AWS 리소스 접근 가능
}

ISMS-P 2.5.3 위반 사항

●

Root 계정 MFA 미적용

●

IAM User Console MFA 미강제

●

고권한 작업에 MFA 조건 없음

●

Session Timeout 미설정

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

MFA 정책 탐지 로직

판단 조건	조건 값	결과
🖥️ IAM User Login Profile	`MFA 강제 정책 없음`	High - 경고
🖥️ IAM User Login Profile	`MFA 강제 정책 적용`	✓ 통과
📜 IAM Policy (고권한)	`MFA 조건 없이 Admin 권한`	Critical - 차단
📜 IAM Policy (고권한)	`MultiFactorAuthPresent 조건`	✓ 통과
🔄 AssumeRole 정책	`MFA 조건 없음`	High - 경고
🔄 AssumeRole 정책	`MFA 조건 + 세션 시간 제한`	✓ 통과

🔔

사후 대응 방안

런타임 MFA 상태 모니터링

MFA 상태 런타임 모니터링 로직

판단 조건	조건 값	결과
👑 Root Account	`MFA 미활성화`	Critical - 즉시 알림
	`MFA 활성화 (Virtual)`	Medium - Hardware 권고
	`MFA 활성화 (Hardware)`	✓ 통과
👤 IAM User (Console)	`MFA 미등록`	High - Slack 알림
👤 IAM User (Console)	`MFA 등록 완료`	✓ 통과
🚫 Console 로그인 실패	`5회 연속 실패`	High - 계정 잠금 권고

모든 알림에 포함되는 정보

Account ID IAM User ARN MFA 타입 마지막 로그인 일시

✓

조치 가이드

즉시 적용 가능한 MFA 강제 정책

❌ 문제

Root/IAM User MFA 미적용, 고권한 정책에 MFA 조건 없음

✓ 적용

ForceMFA 정책 + 조건부 권한 + 세션 제한

권장 설정 (복사하여 적용)

iam-mfa.tf

# MFA 강제 정책 - 모든 IAM User에 적용
resource "aws_iam_policy" "force_mfa" {
  name        = "ForceMFA"
  description = "MFA 미등록 시 권한 제한"

  policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Sid    = "AllowManageOwnMFA"
        Effect = "Allow"
        Action = [
          "iam:CreateVirtualMFADevice",
          "iam:EnableMFADevice",
          "iam:ListMFADevices"
        ]
        Resource = "arn:aws:iam::*:user/$${aws:username}"
      },
      {
        Sid    = "DenyAllExceptMFA"
        Effect = "Deny"
        NotAction = [
          "iam:CreateVirtualMFADevice",
          "iam:EnableMFADevice",
          "iam:ListMFADevices",
          "sts:GetSessionToken"
        ]
        Resource = "*"
        Condition = {
          BoolIfExists = {
            "aws:MultiFactorAuthPresent" = "false"
          }
        }
      }
    ]
  })
}

# MFA 조건부 관리자 Role
resource "aws_iam_role" "admin_with_mfa" {
  name = "AdminRoleWithMFA"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [{
      Effect = "Allow"
      Principal = { AWS = "arn:aws:iam::123456789012:root" }
      Action = "sts:AssumeRole"
      Condition = {
        Bool = { "aws:MultiFactorAuthPresent" = "true" }
        NumericLessThan = { "aws:MultiFactorAuthAge" = "3600" }
      }
    }]
  })
}

💡 핵심: 모든 IAM 사용자에게 ForceMFA 정책을 적용하여 MFA 미등록 시 MFA 관리 외 모든 작업을 차단합니다. 고권한 작업에는 aws:MultiFactorAuthPresent 조건을 필수로 포함합니다. Root 계정에는 Hardware MFA를 적용하고 별도 전용 디바이스로 관리합니다.

📚 참고 자료

🔒 AWS MFA 모범사례 ↗ 📱 AWS IAM MFA 설정 가이드 ↗ 👑 Root MFA 활성화 가이드 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

Root 계정 MFA 활성화 여부
Root MFA 타입 (Virtual/Hardware)
IAM User Console MFA 등록 현황
고권한 정책 MFA 조건 포함 여부
로그인 실패 횟수 및 패턴

📅 리포트 주기

실시간

MFA 미등록 계정 Console 접근 알림

일간

로그인 실패 현황 및 이상 패턴

월간

ISMS-P 증적 (MFA 현황 리포트)

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

MFA 활성화 여부만 단순 체크

mfa_active == false 비교
Virtual vs Hardware MFA 구분 안됨
정책 수준 MFA 조건 검증 불가

한계: AssumeRole MFA 요구 여부 미확인, 세션 시간 제한 미점검

BSG 접근 방식

IaC 정책 분석 + 런타임 모니터링

배포 전 MFA 조건 없는 고권한 정책 차단
Virtual vs Hardware MFA 타입 구분
AssumeRole MFA 조건 + 세션 시간 검증

차별점: 정책 기반 MFA 강제 + 세션 시간 제한 + MFA 타입 심각도 분류

<- Cloud Security & Access Control로 돌아가기