W-03 불필요한 계정 제거

가이드라인 원문

항목	내용
항목코드	W-03
점검내용	시스템 내 불필요한 계정 및 의심스러운 계정의 존재 여부를 점검
점검대상	Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
양호기준	불필요한 계정이 존재하지 않는 경우
취약기준	불필요한 계정이 존재하는 경우
조치방법	현재 계정 현황 확인 후 불필요한 계정 삭제

상세 설명

1. 판단 기준

기본 판단 기준

양호: 불필요한 계정이 존재하지 않는 경우
취약: 불필요한 계정이 존재하는 경우

경계 케이스 (Edge Case) 처리 방법

상황	판단 기준	설명
퇴사자 계정 존재	취약	즉시 비활성화/삭제 필요
90일 이상 미사용 계정	주의	사용 여부 확인 후 삭제
테스트용 계정 존재	취약	테스트 완료 후 삭제
공유 계정 사용	주의	개별 계정 사용 권장
서비스 계정 미사용	취약	사용 중인지 확인 후 처리

권장 설정값

환경	항목	권장 설정	비고
계정 관리	퇴사자 계정	30일 이내 비활성화	인사팀 연계
계정 관리	미사용 계정	90일 이내 검토	정기적 점검
계정 생성	승인 프로세스	필수	변경 관리
계정 삭제	백업	필수	복구 불가

2. 점검 방법

GUI 확인

1
2
3
4
1. 시작 > 실행 > compmgmt.msc 입력
2. 로컬 사용자 및 그룹 > 사용자
3. 등록된 계정 목록 확인
4. 불필요한 계정 식별 (퇴사자, 테스트, 미사용 계정 등)

명령 프롬프트 확인

1
net user

출력 예시:

1
2
3
4
5
\\SERVER의 사용자 계정

-------------------------------------------------------------------------------
Administrator            Guest                    testuser
olduser                  service_account

마지막 로그온 시간 확인:

1
net user [계정명]

PowerShell 확인

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
# 모든 로컬 사용자 확인
Get-LocalUser

# 마지막 로그온 시간 포함 상세 정보
Get-LocalUser | Select-Object Name, Enabled, LastLogon

# 최근 90일간 로그온하지 않은 계정 확인
$CutoffDate = (Get-Date).AddDays(-90)
Get-LocalUser | Where-Object {
    $_.LastLogon -lt $CutoffDate -and $_.Name -notin @("Administrator", "Guest")
} | Select-Object Name, LastLogon, Enabled

감사 로그 확인

1
2
3
4
1. 시작 > eventvwr.msc (이벤트 뷰어)
2. Windows 로그 > 보안
3. 이벤트 ID 4624(로그온 성공), 4625(로그온 실패) 확인
4. 장기간 미사용 계정 식별

3. 조치 방법

Step 1) 불필요한 계정 식별

1
2
3
4
5
# 최근 90일간 로그온하지 않은 계정 확인
$CutoffDate = (Get-Date).AddDays(-90)
Get-LocalUser | Where-Object {
    $_.LastLogon -lt $CutoffDate -and $_.Name -notin @("Administrator", "Guest")
} | Select-Object Name, LastLogon, Enabled

Step 2) 계정 삭제 확인 절차

계정 사용 여부 확인: 관리자 및 업무 담당자에게 사용 여부 확인
서비스 연동 확인: 해당 계정을 사용하는 서비스 확인
리소스 소유권 확인: 계정이 소유한 파일, 폴더, 프린터 등 확인
백업: 계정 삭제 전 설정 및 정보 백업

Step 3) 계정 삭제 방법

GUI를 통한 삭제:

1
2
3
1. 시작 > 프로그램 > 관리 도구 > 컴퓨터 관리
2. 로컬 사용자 및 그룹 > 사용자
3. 삭제할 계정 우클릭 > 삭제

PowerShell을 통한 삭제:

1
2
3
4
5
# 계정 삭제 (주의: 복구 불가)
Remove-LocalUser -Name "불필요한계정명"

# 삭제 확인
Get-LocalUser

명령 프롬프트를 통한 삭제:

1
net user 불필요한계정명 /delete

Step 4) 계정 비활성화 (일시 보류 필요 시)

1
2
3
4
5
# 계정 비활성화 (삭제 전 안전 조치)
Disable-LocalUser -Name "검토중인계정"

# 나중에 삭제 필요 시
Remove-LocalUser -Name "검토중인계정"

4. 계정 관리 모범 사례

퇴사자 계정 처리: 퇴직일로부터 30일 이내 비활성화 후 삭제
테스트 계정 정리: 테스트 완료 후 즉시 삭제
공유 계정 금지: 개별 계정 사용 권장
정기 검사: 분기별 1회 이상 불필요한 계정 점검
계정 생성 승인: 신규 계정 생성 시 승인 프로세스 확립

5. 주의사항

주의사항	설명
사용 여부 확인	삭제 전 반드시 사용 중인지 확인
서비스 영향	시스템 서비스가 해당 계정을 사용하는지 확인
데이터 백업	계정과 연결된 데이터 손실 방지를 위해 백업 필요
변경 관리	계정 삭제 시 변경 관리 프로세스 준수
복구 불가	계정 삭제는 되돌릴 수 없으므로 신중해야 함

6. 참고 자료

Microsoft Docs - 사용자 계정 관리: https://docs.microsoft.com/ko-kr/windows-server/identity/ad-ds/manage/user-accounts
NIST SP 800-53: AC-2 (계정 관리)
CIS Benchmarks - Account Management
KISA 주요정보통신기반시설 취약점 진단 가이드

7. 스크립트

취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.