[인적 보안] - 직무분리의 필요성

금융권 개발과 운영은 왜 분리되어야 하는가?
-> 보안의 최소권한의 법칙, 필요의 원칙에 의거 직무분리(SoD) 준수 
 
# 이   유
1. [인적 측면] 시스템의 오류,오용 방지
 - 소수의 관리자에게 많은 권한 부여 시 오용행위 및 은닉 발생
 - 이슈 발생 시 책임소재 명확한 식별 및 대응 가능
 - 상호 검토를 통한 업무 고도화  
2. [시스템 측면] 시스템 장애 방지
 - 개발 시스템을 경유한 운영 시스템의 침입 가능성 차단 (ex.외주 인력 등 침입)
 - 개발 과정에서 발생할 수 있는 운영시스템 장애 방지 (ex. 프로그램 변경, 부하 등)
 
# 규    정 
1. [전자금융감독규정 제26조] 금융회사또는 전자금융업자는 업무에 대하여 직무를 분리하여야한다.
-> 프로그램 개발자와 시스템 운영자 분리 명시
2. [ISMS] 8.2.2.1 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
-> 항목 규정 명시 
* [KISA 정보시스템 통제 가이드]에도 권장 
 
# 사건 사고
-  SC제일 은행 / 운영, 개발 미분리로 외주 개발 인력에 의해 개인정보 유출 사고 (13년)
-  스냅챗 / 사법기관에 제공하기 위해 개발한 정보 수집 툴을 운영 직원이 권한 남용으로
    접근하여 개인금전이익으로 활용하다 적발 (19년)