[공부] 내부회계관리제도 IT감사, GITC(ITGC) 및 ITAC 요약 -2편-

저번편에 이어 오늘은, GITC(ITGC)를 구성하는 주요 통제항목에 대하여 이해해보도록 하겠습니다.

GITC(ITGC)는 크게 4가지로 나뉘어집니다.

- 프로그램 및 데이터 접근
- 프로그램 변경
- 컴퓨터 운영
- 프로그램 개발

위의 내용에 대하여 하나하나 풀어나가보도록 하겠습니다.

(보수적으로 SOX GITC(ITGC) 구축 기준으로 작성하였습니다. 또한, 회사의 환경에 따라 통제는 상이할 수 있습니다.)

프로그램 및 데이터 접근

** APP, DB, OS 권한 생성/회수
(OS, DB의 경우 접근제어 Tool을 사용한다면, Tool 우회가 불가하다는 가정하에 Tool 계정/권한으로 테스트 수행.)
1) 신규 입사자 APP, DB, OS 계정생성 - [계정의 생성이 공식 문서를 통해 생성되었는가?]
2) 신규 입사자 APP, DB, OS 권한부여 - [권한이 공식 문서를 통해 생성되었는가? 아니라면, 부서별로 제공되는 권한이 입사자의 부서에 맞게 부여가 되었는가?]
3) 부서 이동자 APP, DB, OS 기존권한 회수(신규 부서 권한 부여는 위의 2)에서 커버 가능) - [부서 이동자의 부서 이동 전 권한이 부서이동일자에 적시에 회수 되었는가?]
4) 퇴사자 APP, DB, OS 권한 잠금/삭제 - [퇴사자의 계정 및 권한은 퇴사자의 퇴사일자에 잠금/삭제 되었는가?]
등..
** APP, DB, OS 사용자 계정 및 권한 모니터링 - [퇴사자의 계정은 적시에 회수되었으며, 사용자들이 불필요한 권한을 과다 보유하고 있지는 않은가?]
** APP, DB, OS, Network 패스워드
> 금융권의 경우 전자금융감독규정의 비밀번호 규칙을 최소 지켜야함.
> 회사의 APP, DB, OS, Network와 관련된 규정/지침을 통해 회사의 비밀번호 규칙을 확인하고 그대로 시스템에 설정되어있는지 확인.
> 비밀번호 변경 일자 도달시, '다음에 변경하기'가 있는지도 확인. (다음에 변경하기를 누르면 몇일이 증가하고 이를 수용할 수 있는지 전산감사팀 내부적으로 논의 필요.)
** 패스워드 연중 유효성 모니터링 (시점을 기준으로 패스워드 설정값이 1년동안 유지되었는가?)
등..
** APP, DB, OS, Network 특수 권한자
(OS, DB의 경우 접근제어 Tool을 사용한다면, Tool 우회가 불가하다는 가정하에 Tool의 계정 검토.)
1) APP, DB, OS, Network에서 계정생성, 권한부여가 가능한 특수 권한 보유 계정의 사용자 확인
2) APP, DB, OS, Network의 메뉴, 패스워드 등 변경이 가능한 특수 권한 보유 계정의 사용자 확인
3) OS의 root 급 계정/권한 보유 계정의 사용자 확인
4) DB의 DML 사용 가능 계정/권한 보유 계정의 사용자 확인
** APP, DB, OS, Network 및 IT Supporting Tool의 관리자 및 특수 권한 모니터링 - [사용자들이 불필요한 권한을 과다 보유하고 있지는 않으며 부적절한 인원이 특수 권한을 보유하고있지는 않은가?]
등..
** 보안 모니터링
> OS, DB에 불법적인 접근시도, 위험 명령어 시도 등의 로그 모니터링
> 내부망에 접근시도 등의 로그 모니터링
** 물리적 보안 (서버실 접근 기록/승인)
** 외주인력 관리
등..

프로그램 변경

** APP의 형상변경 절차(일반/긴급)
> 1. 요청 2. 개발 3. 테스트 4. 이관 의 절차를 거쳐 변경이 진행되는가?
> 개발자와 이관자는 분리가 되어있는가?
> 개발환경과 운영환경은 분리가 되어있는가?
** APP의 형상변경의 이관자
> 이관을 수행하는 자는 개발자가 아니어야함.
(불가피할 경우 cover가능한 다른통제가 필요함. - 프로그램 변경 승인이력을 한달별로 다 내려서 개발승인자, 이관승인자가 다른지 모니터링하는 통제 등.)
** 데이터 원장 변경 절차
> 1. 요청 2. 제3자검토 3. 반영 의 절차를 거쳐 변경이 진행되는가?
> 중요 데이터 원장의 전/후 데이터가 기록되는가?
> 데이터 원장 변경 권한 보유자 (이는 위의 프로그램 및 데이터 접근에 넣어놨으나, 프로그램 변경에서 보기도 함.)
** 인프라 변경 절차
> 주요 APP에 대한 OS, DB의 최종변경일자를 확인하여 테스트, 승인 등의 작업계획서를 확인.
> 법인마다 상이하지만, OS, DB의 버전을 알아내고 최신 버전인지 확인하여 업그레이드를 안했다면 안 한 사유를 보는 곳도 있음. (이는 OS, DB의 버전 취약점으로 공격할 위험 때문인듯..)
이에 대한 자세한 설명은? https://goddoeun.tistory.com/4?category=1094289
** IT Supporting Tools 업그레이드/패치 작업 절차(법인마다 보는데도있고 안보는데도 있음.)

컴퓨터 운영

** 배치작업 등록/변경
> 배치작업이 요청 및 승인에 의하여 배치 담당자의 승인을 거쳐 등록/변경 되었는가?
** 배치작업 관리자
> 배치작업을 등록/변경/삭제할 수 있는 권한 보유자
> 배치작업을 등록/변경/삭제할 수 있는 권한 보유자에대한 권한 모니터링
** 배치작업 모니터링
> 배치작업 모니터링을 수행하여 정상/오류 건을 상위권자에게 보고하고있는가?
보고된 오류에 대하여 조치를 수행하였고 문서화하였는가?
** 데이터 백업 모니터링
> 백업 모니터링을 수행하여 정상/오류 건을 상위권자에게 보고하고있는가?
보고된 오류에 대하여 조치를 수행하였고 문서화하였는가?
** 데이터 백업 관리자
> 백업작업을 등록/변경/삭제할 수 있는 권한 보유자
> 백업작업을 등록/변경/삭제할 수 있는 권한 보유자에대한 권한 모니터링
** 장애 관리(보고절차 or 모니터링)
> 장애 보고는 회사의 절차대로 상위에 보고되고 있으며, 이력이 관리되고 있는가?
(금융권의 경우 큰 장애 발생시, 금감원에 보고하여야 하므로 해당 보고절차를 보는 방법이 있음.)
> 장애 모니터링을 수행하여 정상/오류 건을 상위권자에게 보고하고있는가?
보고된 오류에 대하여 조치를 수행하였고 문서화하였는가?
** 재해복구훈련 (계획서 및 결과서)
** 취약점 진단 (계획서 및 결과/이행계획)
등..

프로그램 개발

** 프로그램 개발 절차
> 회사의 프로그램 개발(프로젝트 개발) 절차에 따라 개발을 수행하는지 확인.
프로그램 착수준비 > 분석 및 설계 > 구축 > 테스트 및 검증 > 데이터 변환 및 이관 > 적용 > 사용자 교육/매뉴얼
** 운영서비스 업체 선정 및 평가 모니터링 절차 및 승인

* 모든 IT Supporting Tool은 검토할 때, In-scope system(APP, OS, DB)을 관리하고있는지 확인할 수 있어야함.
GITC(ITGC)의 구성은 간략하게 이정도이며, 제가 빠트린 부분이 있다면 댓글 부탁드립니다!
1편은 여기를 click 하세요.

그럼 안뇽!