ISMS-P 2.5.5 특수 계정 및 권한 관리 High Risk

특수 계정 및 권한이 적절히 관리되고 있는가?

ISMS-P 2.5.5는 특수 목적 계정(Root, Admin)을 최소한으로 부여하고 별도 통제하도록 요구합니다. 클라우드 환경에서는 Root 계정 Access Key 삭제 + IAM Role 기반 특수 권한 + SCP 통제로 구현해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.5.5 특수 계정 및 권한 관리 요구사항

2.5.5

특수 계정 및 권한 관리

인증 기준 정의

"정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다."

📌 클라우드 환경 적용 포인트

AWS Root 계정 Access Key 삭제
Root 계정 MFA 필수 (Hardware 권장)
AdministratorAccess는 IAM Role로 관리
특수 권한자 목록 별도 관리 및 정기 검토
외부자 계정은 만료일 지정 필수

⚠️ 미준수 시 심사 영향

결함: Root 계정 Access Key 사용
결함: 특수권한자 목록 미작성
결함: 승인 이력 없이 특수 권한 부여
결함: 외부자 계정 상시 활성화

📄 KISA ISMS-P 인증기준 안내서 ↗ 📖 ISMS-P 2.5.5 상세 안내 ↗

📰

실제 보안 사고 사례

특수 권한 관리 미흡으로 발생한 클라우드 침해 사례

2024

Root Access Key 탈취로 수만 달러 비용

Root 계정의 Access Key를 탈취하여 자주 사용하지 않는 Region에 고비용 EC2 대량 생성, 비트코인 채굴에 악용. Root 계정은 어떠한 제한도 없는 Superuser 권한.

💡 교훈: Root Access Key 삭제 필수, IAM User로 최소 권한 부여

출처: The Register ↗

2024

노출된 자격증명으로 21분 내 침투

공격자가 클라우드에서 노출된 자격증명을 찾는데 2분, 침투 가능한 클라우드를 찾아 공격 시작까지 21분. 조직의 49%가 민감한 AWS 키를 VM 파일시스템에 저장.

💡 교훈: 특수 권한 자격증명 노출 방지, Secrets Manager 사용

출처: 데이터넷 ↗

⚡

클라우드 환경의 위험

특수 권한 관리가 미흡한 상황

미관리 (위험)

Root

👑

→

Access Key

🔓

→

전체 장악

💸

Root Access Key 존재 + 특수 권한 목록 없음 → ISMS-P 2.5.5 미충족

체계적 관리 (권장)

Root

🔒

→

IAM Role

🎭

+

MFA

📱

Root 비활성화 + Role 기반 특수 권한 + 목록 관리 → 인증 기준 충족

🚨

발견 사례: Root 계정 Access Key 존재, AdministratorAccess 광범위 부여

Root 계정에 Access Key가 생성되어 있고, 개발자에게 AdministratorAccess가 승인 이력 없이 직접 부여됨.

현재 상태 - 문제가 되는 설정

# IAM 사용자에게 AdministratorAccess 직접 부여 (위험)
resource "aws_iam_user" "developer" {
  name = "developer-user"
  # 특수 권한 태그 없음
  # 승인 이력 없음
}

resource "aws_iam_user_policy_attachment" "admin_access" {
  user       = aws_iam_user.developer.name
  policy_arn = "arn:aws:iam::aws:policy/AdministratorAccess"
  # 특수 권한자 목록에 미등록
}

# 외부 유지보수 계정 - 상시 활성화 (위험)
resource "aws_iam_user" "vendor" {
  name = "external-vendor"
  # 만료일 태그 없음
}

ISMS-P 2.5.5 위반 사항

●

Root 계정 Access Key 존재

●

특수 권한 승인 이력 미관리

●

특수 권한자 목록 미작성

●

외부자 계정 상시 활성화

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

특수 권한 탐지 로직

판단 조건	조건 값	결과
👑 AdministratorAccess 정책	`IAM User에 직접 부여`	Critical - 차단
👑 AdministratorAccess 정책	`IAM Role + MFA 조건`	→ 승인 태그 검사
🏷️ 특수 권한 승인 태그	`ApprovalID 태그 없음`	High - 경고
🏷️ 특수 권한 승인 태그	`승인 태그 존재`	✓ 통과
🔧 외부자 계정	`ExpirationDate 태그 없음`	High - 경고
🔧 외부자 계정	`만료일 태그 존재`	✓ 통과

🔔

사후 대응 방안

런타임 특수 권한 모니터링

특수 권한 런타임 모니터링 로직

판단 조건	조건 값	결과
👑 Root Account	`Access Key 존재`	Critical - 즉시 삭제 알림
👑 Root Account	`Console 로그인 감지`	High - 즉시 알림
📋 특수 권한자 목록	`미등록 Admin 권한 사용자`	Critical - 조사 필요
🔧 외부자 계정	`만료일 경과 후 활성화`	High - 자동 비활성화

✓

조치 가이드

IAM Role 기반 특수 권한 관리

❌ 문제

Root Access Key 존재, User에 Admin 직접 부여, 특수 권한 목록 없음

✓ 적용

IAM Role + MFA 조건 + 승인 태그

권장 설정 (복사하여 적용)

iam-privileged.tf

# 특수 권한 IAM Role - MFA 조건 필수
resource "aws_iam_role" "admin_role" {
  name = "AdminRole-Privileged"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [{
      Effect = "Allow"
      Principal = { AWS = "arn:aws:iam::123456789012:root" }
      Action = "sts:AssumeRole"
      Condition = {
        Bool = { "aws:MultiFactorAuthPresent" = "true" }
        NumericLessThan = { "aws:MultiFactorAuthAge" = "3600" }
      }
    }]
  })

  tags = {
    PrivilegedRole = "true"
    ApprovalID     = "PRIV-2024-0015"   # 승인 이력
    Owner          = "security-team@company.com"
    ISMS-P         = "2.5.5"
  }
}

# 외부 유지보수 계정 - 만료일 태그 필수
resource "aws_iam_user" "vendor" {
  name = "external-vendor"

  tags = {
    UserType       = "External"
    ExpirationDate = "2024-03-31"  # 만료일 명시
    ApprovalID     = "EXT-2024-0023"
    ISMS-P         = "2.5.5"
  }
}

💡 핵심: Root 계정은 Access Key를 삭제하고 MFA 필수 적용하며, 비상 시에만 사용합니다. AdministratorAccess 등 특수 권한은 IAM Role로 관리하고 MFA 조건과 세션 시간(1시간)을 제한합니다. 모든 특수 권한에 PrivilegedRole, ApprovalID 태그로 목록을 자동 추출합니다.

📚 참고 자료

👑 AWS Root 계정 보안 모범사례 ↗ 🛡️ AWS Organizations SCP ↗ 🔒 AWS 계정 보안 모범사례 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

Root 계정 Access Key 존재 여부
AdministratorAccess 부여 현황
특수 권한자 목록 현행화 여부
승인 태그 부착 여부
외부자 계정 만료일 관리 현황

📅 리포트 주기

실시간

Root 계정 로그인/Access Key 알림

주간

특수 권한자 목록 현행화 검토

월간

ISMS-P 증적 (특수 권한자 대장)

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

AdministratorAccess 부여 여부만 체크

policy == AdministratorAccess
승인 이력 검증 불가
특수 권한자 목록 자동 추출 불가

한계: 외부자 계정 만료 관리 미지원, Root Access Key 삭제 권고만 제공

BSG 접근 방식

IaC 태그 분석 + 런타임 모니터링 + 목록 자동화

배포 전 승인 태그 검증
Root 계정 Access Key/로그인 실시간 알림
특수 권한자 목록 자동 생성 및 현행화

차별점: 승인 워크플로우 + 외부자 계정 만료 관리 + SCP 통제

<- Cloud Security & Access Control로 돌아가기