갈수록 중요해지는 권한 계정 보안, 기본 중 기본 6가지

2016-07-26 17:00
  • 카카오톡
  • 네이버 블로그
  • url
“중요하다”는 기업은 80%, 잘 하고 있는 기업은 48%
아무리 말해도 요지부동인 사용자... 정책 및 기술 도입으로 참여 유도해야


[보안뉴스 문가용] 권한 계정은 무엇이며 왜 중요한 것일까? 먼저 권한 계정은 권한이 높은 계정으로 한 조직의 네트워크에 연결된 모든 기기, 애플리케이션, 스위치 및 데이터센터 등의 모든 크리덴셜 정보를 가지고 있다. 즉 권한 계정의 암호만 알면 사실상 무소불위의 존재가 된다는 것이다.



최근 계정 관리 전문기업인 타이코틱(Thycotic)은 보고서를 하나 발간했는데, 권한 계정을 잘 관리하는 게 중요하다는 걸 인식하는 업체는 80%나 되었지만 최소한의 조치도 취하지 못해 충분한 점수를 받지 못한 업체가 52%에 달하는 것으로 드러났다. 권한 계정 관리의 실천력이 인식에 한참 못 미치는 수준이라는 것이다.

타이코틱의 부회장인 스티브 카한(Steve Kahan)은 “최근 버라이즌(Verizon)에서 발표한 데이터 유출 사고 조사 보고서에 의하면 사고의 63%가 암호가 부실해서 발생한다”며 몇 가지 연구결과를 추가적으로 꼽았다.
- 디폴트 암호를 바꾼 적이 없다 : 20%
- 암호를 이따금 공유한다 : 30%
- 권한 계정의 암호를 만들 때 별도의 허가조치가 필요하지 않다 : 70%
- 권한 계정으로 한 행동들은 감사 대상이 아니다 : 50%

“이것만이 아니에요. 암호의 중요성이 그동안 얼마나 중요하게 다뤄졌습니까. 그런데도 사용자들은 변하지 않습니다. 요즘 말로 ‘멘붕’이 올 지경이라니까요.” 카한의 설명이다. “그래서 보안 담당자들은 방화벽과 침입 탐지 및 취약점 보호 시스템을 반드시 운영해야 합니다. 여기에 더해 권한 계정은 항시 주시해야 하고요.” 더불어 카한은 권한 계정 보호법 7가지를 함께 공개했다.

1. 그래도 교육이 답이다
다수를 위한 교육도 중요하지만 가장 빠른 효과를 체험하기 위해서는 권한 계정과 가장 밀접한 소수의 사람들부터 교육해야 한다. 회사의 정책이 무엇인지 반드시 알게 하고, 올바른 권한 계정 보호 정책이 없다면 새롭게 만들라. 권한 계정 보호라는 건 미시적인 개념이 아니다. 회사 전체 운영과도 맞물려 있는 커다란 개념이다.

2. 권한 계정을 전부 색출해낸다
권한 계정 관리를 처음부터 꼼꼼하게 하지 않았다면(많은 업체들이 이 부분부터 실패한다) 파악이 안 되는 권한 계정이나 그에 준할 정도로 강력한 계정이 어디선가 존재할 가능성이 높다. 특히 데이터센터로 연결되는 권한 계정이 있는지 확실하게 점검해야 한다. 주인이 없거나 아무도 사용하지 않는 계정이라면 없애거나 비활성화시키는 등 확실한 조치를 취하라.

3. 자동화 도입, 가능하다면 하라
이번 조사 결과, 조직이나 기업들 대부분 방화벽을 설치해 사용 중이라는 것이 밝혀졌다. 하지만 자동화된 계정 관리 솔루션을 사용하는 경우는 채 10%가 되지 않았다. 60%의 단체가 엑셀 및 여타 스프레드시트 프로그램을 사용해, 수동으로 계정들을 관리하고 있었던 것으로 나타났다. 이게 현대의 IT 환경에서 올바로 작용할 리가 없다. 다음 전자책을 참조하여 자동화를 서서히 도입해보기를 권한다.(해당 내용은 이번 주 내로 간략히 기사화 할 예정이다_편집자 주)

4. 보안 정책을 도입하고 적용하라
계정에 대한 접근을 허용할 때는 최대한 빡빡하게 굴어라. 시스템 관리자 계정에 대한 접근을 너무 너그럽게 허용한다. 심지어 부서장들마다 이를 다 사용하고 있는 곳도 있으며, 시스템 관리가 귀찮은 부서장은 아랫사람들과 시스템 관리 계정을 공유하기도 한다. 한 사람만 잘못해도 네트워크 전체가 공격에 당할 수 있는데, 여기까지 생각이 못 미치는 것 같다. 이는 정책적으로 금지시켜야 한다.

5. 권한 계정 암호를 주기적으로 검사하라
CISO 등 보안의 총 책임자라면 권한 계정의 총수를 파악함과 동시에 암호도 주기적으로 점검해야 한다. 자주 바뀌고 있는지, 충분히 어려운지, 또 누가 언제 암호를 입력해서 사용했는지 등등 암호와 관련된 모든 사안들이 점검 대상이 된다.

6. 자기에게 맞는 전략을 구축하라
위에 열거한 사안들은 전부 ‘기본 중 기본’이다. 이를 바탕으로 현재 상태를 진단했으면, 기업의 비전과 목표, 상품 및 서비스의 본질에 맞게 보안 전략을 구축해야 한다. 특히 권한 계정에 대한 전략은 일률적일 수가 없다. 그 전략을 규정화시켜서 사용자들이 지키도록 하고, 그 전략을 고수할 수 있도록 알맞은 기술력을 도입하라.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기