[U-12] 세션 종료 시간 설정 (중요도 : 하)

★ 주요정보통신기반시설 가이드 [U-12] 유닉스/리눅스 보안 설정

항목 중요도 : 세션 타임아웃 설정을 통한 비인가 접속 차단

• 1. 항목 개요 및 보안 위협
• 2. [실습] 세션 종료 시간 점검 및 조치 프로세스
• 3. 법적 근거 및 관련 조항
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : 사용자 접속 세션에 대해 일정 시간 동안 활동이 없을 경우 자동으로 접속을 종료하도록 타임아웃(Timeout)이 설정되어 있는지 점검합니다.

[ 보안 위협 ] : 세션 종료 시간이 설정되어 있지 않으면, 사용자가 로그아웃을 하지 않고 자리를 비웠을 때 제3자가 해당 세션을 그대로 이용할 수 있습니다. 특히 관리자 권한으로 접속된 터미널이 방치될 경우 시스템 전체가 위험에 노출될 수 있습니다.

 

2. [실습] 세션 종료 시간 점검 및 조치 프로세스

Step 1 : 현재 설정된 타임아웃 환경 변수 확인

# 현재 쉘의 TMOUT 값 확인 (단위: 초)
echo $TMOUT

# 설정 파일 내역 확인 (bash 쉘 기준)
grep -i "TMOUT" /etc/profile

Step 2 : 공통 환경 설정 파일 수정

# /etc/profile 파일 하단에 아래 내용 추가 (600초 = 10분)
TMOUT=600
export TMOUT

# 설정값 즉시 적용
source /etc/profile

 

3. 법적 근거 및 관련 조항

• 개인정보의 안전성 확보조치 기준 (개인정보보호위원회 고시)
  - 제4조(접근 권한의 관리) : 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 안전한 접속 수단 및 인증 수단을 적용하여야 한다.
  - 제6조(접근 통제) 제2항 : 개인정보취급자가 컴퓨터 등을 이용하여 개인정보를 처리하는 경우, 일정 시간 이상 업무 처리를 하지 않는 때에는 자동으로 접속이 차단되도록 필요한 조치를 취하여야 한다.
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)
  - 제28조(개인정보의 보호조치) : 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 하여야 한다.

 

4. 오늘 공부하며 정리한 핵심 포인트

• 법적 강제성 : 단순히 권고사항이 아니라 '안전성 확보조치 기준 제6조'에 명시된 법적 의무 사항임을 인지해야 합니다.
• 실무 팁 : readonly 설정을 통해 사용자가 임의로 TMOUT을 변경하지 못하도록 강제하는 것이 보안상 더욱 안전합니다. (TMOUT=600; readonly TMOUT)

다음 공부 기록 예고 : [U-13] 안전한 패스워드 암호화 알고리즘 사용 (중요도 : 중)