제9조(사용자 식별 및 인증)

① 사용자를 유일하게 구분할 수 있는 식별자(아이디)를 할당하여 모든 사용자의 책임추적성을 보장하여야 한다.

② 관리자 및 특수권한 계정의 경우 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한하여야 한다.

③ 기본 계정(User,SYSTEM등) 할 수 없도록 제한하여야 한다.

④ 계정 및 패스워드의 도용을 방지하기 위하여 다음과 같은 항목이 포함된 관리절차를 수립하고 이행하여야 한다.

1. 안전한 패스워드 작성규칙 수립 (패스워드 복잡도 등)

2. 연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드 사용 제한

3. 초기/임시 패스워드를 발급할 경우 최초 로그인 시 변경

4. 주기적인 패스워드 변경 유도

5. 패스워드 처리(입력, 변경) 시 마스킹 처리 등

⑤ 사용자의 안전한 패스워드 사용 및 관리절차(작성규칙 등)을 수립하고 이행하여야 한다. 패스워드 작성규칙은 다음과 같다.

1. 문자(영문 대소문자), 숫자, 특수문자를 조합하는 패스워드 생성규칙 적용

2. 패스워드의 주기적으로 변경 (분기 1회 이상 권고, 동일 패스워드 재사용 금지)

3. 연속 숫자, 생일, 전화번호 등 추측하기 쉬운 개인 신상정보를 활용한 패스워드 사용 제한

4. 클라우드 시스템 최초 접근 시 패스워드 강제 변경

5. 패스워드 처리(입력, 변경) 시 마스킹 처리

6. 종이, 파일, 포켓용 소형기기 등에 패스워드 기록·저장을 제한하고 부득이하게 기록·저장해야 하는 경우 암호화 등의 보호대책 적용

7. 클라우드 시스템 침해사고가 발생 또는 패스워드의 노출 징후가 의심될 경우 즉시 패스워드 변경

8. 자동 로그인 금지

9. 개인정보취급자의 경우, 인증수단을 안전하게 적용하고 관리

10. 패스워드 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등

⑥ 클라우드 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하여야 한다.

⑦ 공개 인터넷망을 통하여 접속을 허용하는 SaaS 포털 시스템의 경우 아이디, 패스워드 기반의 사용자 인증 이외의 강화된 인증 수단(OTP, 공인인증서 등)을 적용하여야 한다.

⑧ 이용자가 클라우드 컴퓨팅 서비스에 대해 다중 요소 인증 등 강화된 인증 수단을 요청하는 경우 이를 제공하기 위한 방안을 마련하여 한다.

⑨ 고객, 회원 등 외부 이용자가 접근하는 클라우드 시스템 또는 웹 서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리절차를 마련하고 관련내용을 공지하여야 한다.