ISMS-P 2.5.6 접근권한 검토 High Risk

접근권한 검토가 정기적으로 수행되고 있는가?

ISMS-P 2.5.6은 접근권한의 적정성을 정기적으로 검토하여 과도하거나 불필요한 권한을 식별하고 조정하도록 요구합니다. 클라우드 환경에서는 IAM Access Analyzer + 미사용 권한 자동 탐지 + 정기 검토 자동화로 구현해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.5.6 접근권한 검토 요구사항

2.5.6

접근권한 검토

인증 기준 정의

"정보시스템과 개인정보 및 중요정보에 대한 접근권한의 적정성을 정기적으로 검토하여 과도하거나 불필요한 권한을 식별하고 조정하여야 한다."

📌 클라우드 환경 적용 포인트

IAM Access Analyzer로 미사용 권한 자동 분석
최소 반기 1회 이상 접근권한 적정성 검토
미사용 역할/Access Key 정기 점검 (90일)
직무 변경 시 기존 권한 검토 및 조정
CloudTrail 로그 기반 권한 사용 분석

⚠️ 미준수 시 심사 영향

결함: 접근권한 검토 미수행 또는 형식적 수행
결함: 퇴직자/휴직자 계정 그대로 유지
결함: 직무 변경 후 이전 권한 유지
결함: 검토 결과 및 조치 내역 미문서화

📄 KISA ISMS-P 인증기준 안내서 ↗ 📖 ISMS-P 2.5.6 상세 안내 ↗

📰

실제 보안 사고 사례

접근권한 검토 미흡으로 발생한 대규모 침해 사례

2020-2024

SolarWinds 공급망 공격

SolarWinds Orion이 IT 모니터링 시스템으로서 광범위한 특권 접근을 보유. 과도한 권한을 가진 애플리케이션이 정기적으로 검토되지 않아 전사 시스템 위험 노출. 2024년 10월에도 새로운 취약점(CVE-2024-28987) 악용 지속.

💡 교훈: 애플리케이션 포함 모든 접근권한 정기 검토 필수

출처: TechTarget ↗

2024

미사용 Admin 권한 방치로 내부자 위협

직무 변경된 직원이 이전 부서의 Admin 권한을 그대로 보유, 90일 이상 미사용 권한이 검토되지 않아 퇴사 시점에 민감 데이터 유출. Prowler에서 Critical 위험으로 분류.

💡 교훈: 90일 주기 미사용 권한 자동 탐지 및 제거 필요

출처: The Hacker News ↗

⚡

클라우드 환경의 위험

접근권한 검토가 수행되지 않는 상황

미검토 (위험)

IAM Role

👤

→

90일+

💤

→

방치

⚠️

↑ 미사용 권한 검토 없음

미사용 역할/Key 방치 + 검토 미수행 → ISMS-P 2.5.6 미충족

정기 검토 (권장)

Access

🔍

→

Analyzer

📊

→

자동조치

✅

↑ 90일 미사용 자동 탐지

Access Analyzer + 정기 검토 자동화 → 인증 기준 충족

🚨

발견 사례: 미사용 IAM 역할/Access Key 방치, 정기 검토 미수행

6개월 이상 미사용된 IAM Role이 방치되어 있고, 직무 변경된 사용자의 이전 부서 권한이 그대로 유지.

현재 상태 - 문제가 되는 설정

# 6개월 이상 미사용된 IAM 역할 - 검토되지 않음
resource "aws_iam_role" "legacy_admin" {
  name = "LegacyAdminRole"
  # 2023년 생성 후 사용하지 않음
  # 정기 검토에서 누락

  assume_role_policy = jsonencode({
    Statement = [{
      Principal = { AWS = "*" }  # 과도한 Principal
    }]
  })
}

# 직무 변경 후에도 유지된 이전 부서 권한
resource "aws_iam_user_policy_attachment" "old" {
  user       = aws_iam_user.moved_user.name
  policy_arn = "arn:aws:iam::aws:policy/AmazonRDSFullAccess"
  # 현재 직무와 무관한 권한 유지
}

ISMS-P 2.5.6 위반 사항

●

접근권한 정기 검토 미수행

●

미사용 역할/Access Key 방치

●

직무 변경 시 이전 권한 미회수

●

검토 결과 및 조치 내역 미문서화

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

접근권한 검토 태그 탐지 로직

판단 조건	조건 값	결과
👤 IAM Role	`LastUsedDate 태그 없음`	Medium - 추적 불가 경고
👤 IAM Role	`ReviewDate 90일 이상 경과`	High - 검토 필요 알림
📜 IAM Policy	`Action: * 또는 Resource: *`	High - 과도한 권한 경고
📜 IAM Policy	`최소 권한 + 검토 태그 존재`	✓ 통과
🏷️ IAM User 태그	`LastReviewedDate 없음`	Medium - 검토 이력 누락
🏷️ IAM User 태그	`LastReviewedDate + NextReviewDate 존재`	✓ 통과

🔔

사후 대응 방안

IAM Access Analyzer 기반 미사용 권한 실시간 탐지

미사용 접근 런타임 모니터링 로직

판단 조건	조건 값	결과
👤 IAM Role	`90일 이상 미사용`	High - 삭제 권고 알림
👤 IAM Role	`90일 미사용 + Admin 권한`	Critical - 즉시 조치 필요
🔑 IAM Access Key	`45일 이상 미사용`	High - 비활성화 권고
🔑 IAM Access Key	`90일 이상 미사용`	Critical - 자동 비활성화
📊 Access Analyzer	`Unused permissions 탐지`	Medium - 권한 축소 권고

모든 알림에 포함되는 정보

IAM Role/User ARN 마지막 사용 일시 미사용 기간 부여된 권한 수준

✓

조치 가이드

IAM Access Analyzer 및 정기 검토 자동화

❌ 문제

미사용 역할 방치, 검토 태그 없음, 자동화 미구현

✓ 적용

Access Analyzer + 검토 태그 + 자동 비활성화

권장 설정 (복사하여 적용)

access-analyzer.tf

# IAM Access Analyzer - 미사용 접근 분석 활성화
resource "aws_accessanalyzer_analyzer" "unused_access" {
  analyzer_name = "UnusedAccessAnalyzer"
  type          = "ORGANIZATION_UNUSED_ACCESS"

  configuration {
    unused_access {
      unused_access_age = 90  # 90일 미사용 기준
    }
  }

  tags = {
    Purpose     = "Unused-Access-Detection"
    ReviewCycle = "Quarterly"
    ISMS-P      = "2.5.6"
  }
}

# IAM 역할 - 검토 추적 태그 포함
resource "aws_iam_role" "monitored_role" {
  name = "MonitoredServiceRole"

  tags = {
    CreatedDate      = "2024-01-15"
    LastReviewedDate = "2024-06-15"  # 정기 검토일
    NextReviewDate   = "2024-12-15"  # 다음 검토 예정
    Owner            = "security-team@company.com"
    ISMS-P           = "2.5.6"
  }
}

# EventBridge - Access Analyzer 발견 시 자동 알림
resource "aws_cloudwatch_event_rule" "unused_alert" {
  name = "UnusedAccessFinding"

  event_pattern = jsonencode({
    source      = ["aws.access-analyzer"]
    detail-type = ["Access Analyzer Finding"]
    detail = {
      findingType = ["UnusedPermission", "UnusedIAMRole"]
    }
  })
}

# 주간 검토 스케줄
resource "aws_cloudwatch_event_rule" "weekly_review" {
  name                = "WeeklyAccessReview"
  schedule_expression = "cron(0 9 ? * MON *)"  # 매주 월요일
}

💡 핵심: IAM Access Analyzer를 활성화하여 미사용 역할, Access Key, 권한을 자동 탐지합니다. 2024년 신규 기능으로 unused_access_age 설정을 통해 90일 미사용 기준을 명시합니다. 모든 IAM 리소스에 검토 태그를 부착하여 정기 검토 주기를 추적하고, EventBridge로 미사용 권한 발견 시 자동 알림을 받습니다.

📚 참고 자료

🔍 AWS IAM Access Analyzer ↗ 📊 Access Analyzer 미사용 접근 분석 ↗ 👤 미사용 IAM 역할 식별 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 검토 보고

📋 진단 항목

미사용 IAM Role (90일+)
미사용 Access Key (45일+, 90일+)
미사용 IAM User Password
검토 태그 존재 여부
Access Analyzer Finding 현황

📅 리포트 주기

주간

미사용 권한/계정 현황

월간

Access Analyzer 전체 리포트

반기

ISMS-P 접근권한 검토 증적

📤 발송 및 저장

발송 채널

Email Slack Security Hub

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

미사용 일수 기준 단순 체크

last_used > 90 days 비교
정적 분석 결과만 출력
검토 수행 여부 추적 불가

한계: 정기 검토 스케줄 관리 미지원, 검토 결과 문서화 자동화 불가

BSG 접근 방식

IaC + Access Analyzer + 자동화 워크플로우

배포 전 검토 태그 누락 경고
Access Analyzer 기반 미사용 권한 실시간 알림
검토 주기 자동 관리 + 증적 자동 수집

차별점: 정기 검토 일정 자동화 + 미사용 권한 자동 비활성화 + ISMS-P 심사 증적 자동화

<- Cloud Security & Access Control로 돌아가기