“중요하다”는 기업은 80%, 잘 하고 있는 기업은 48%
아무리 말해도 요지부동인 사용자... 정책 및 기술 도입으로 참여 유도해야
[보안뉴스 문가용] 권한 계정은 무엇이며 왜 중요한 것일까? 먼저 권한 계정은 권한이 높은 계정으로 한 조직의 네트워크에 연결된 모든 기기, 애플리케이션, 스위치 및 데이터센터 등의 모든 크리덴셜 정보를 가지고 있다. 즉 권한 계정의 암호만 알면 사실상 무소불위의 존재가 된다는 것이다.
최근 계정 관리 전문기업인 타이코틱(Thycotic)은 보고서를 하나 발간했는데, 권한 계정을 잘 관리하는 게 중요하다는 걸 인식하는 업체는 80%나 되었지만 최소한의 조치도 취하지 못해 충분한 점수를 받지 못한 업체가 52%에 달하는 것으로 드러났다. 권한 계정 관리의 실천력이 인식에 한참 못 미치는 수준이라는 것이다.
타이코틱의 부회장인 스티브 카한(Steve Kahan)은 “최근 버라이즌(Verizon)에서 발표한 데이터 유출 사고 조사 보고서에 의하면 사고의 63%가 암호가 부실해서 발생한다”며 몇 가지 연구결과를 추가적으로 꼽았다.
- 디폴트 암호를 바꾼 적이 없다 : 20%
- 암호를 이따금 공유한다 : 30%
- 권한 계정의 암호를 만들 때 별도의 허가조치가 필요하지 않다 : 70%
- 권한 계정으로 한 행동들은 감사 대상이 아니다 : 50%
“이것만이 아니에요. 암호의 중요성이 그동안 얼마나 중요하게 다뤄졌습니까. 그런데도 사용자들은 변하지 않습니다. 요즘 말로 ‘멘붕’이 올 지경이라니까요.” 카한의 설명이다. “그래서 보안 담당자들은 방화벽과 침입 탐지 및 취약점 보호 시스템을 반드시 운영해야 합니다. 여기에 더해 권한 계정은 항시 주시해야 하고요.” 더불어 카한은 권한 계정 보호법 7가지를 함께 공개했다.
1. 그래도 교육이 답이다
다수를 위한 교육도 중요하지만 가장 빠른 효과를 체험하기 위해서는 권한 계정과 가장 밀접한 소수의 사람들부터 교육해야 한다. 회사의 정책이 무엇인지 반드시 알게 하고, 올바른 권한 계정 보호 정책이 없다면 새롭게 만들라. 권한 계정 보호라는 건 미시적인 개념이 아니다. 회사 전체 운영과도 맞물려 있는 커다란 개념이다.
2. 권한 계정을 전부 색출해낸다
권한 계정 관리를 처음부터 꼼꼼하게 하지 않았다면(많은 업체들이 이 부분부터 실패한다) 파악이 안 되는 권한 계정이나 그에 준할 정도로 강력한 계정이 어디선가 존재할 가능성이 높다. 특히 데이터센터로 연결되는 권한 계정이 있는지 확실하게 점검해야 한다. 주인이 없거나 아무도 사용하지 않는 계정이라면 없애거나 비활성화시키는 등 확실한 조치를 취하라.
3. 자동화 도입, 가능하다면 하라
이번 조사 결과, 조직이나 기업들 대부분 방화벽을 설치해 사용 중이라는 것이 밝혀졌다. 하지만 자동화된 계정 관리 솔루션을 사용하는 경우는 채 10%가 되지 않았다. 60%의 단체가 엑셀 및 여타 스프레드시트 프로그램을 사용해, 수동으로 계정들을 관리하고 있었던 것으로 나타났다. 이게 현대의 IT 환경에서 올바로 작용할 리가 없다. 다음 전자책을 참조하여 자동화를 서서히 도입해보기를 권한다.(해당 내용은 이번 주 내로 간략히 기사화 할 예정이다_편집자 주)
4. 보안 정책을 도입하고 적용하라
계정에 대한 접근을 허용할 때는 최대한 빡빡하게 굴어라. 시스템 관리자 계정에 대한 접근을 너무 너그럽게 허용한다. 심지어 부서장들마다 이를 다 사용하고 있는 곳도 있으며, 시스템 관리가 귀찮은 부서장은 아랫사람들과 시스템 관리 계정을 공유하기도 한다. 한 사람만 잘못해도 네트워크 전체가 공격에 당할 수 있는데, 여기까지 생각이 못 미치는 것 같다. 이는 정책적으로 금지시켜야 한다.
5. 권한 계정 암호를 주기적으로 검사하라
CISO 등 보안의 총 책임자라면 권한 계정의 총수를 파악함과 동시에 암호도 주기적으로 점검해야 한다. 자주 바뀌고 있는지, 충분히 어려운지, 또 누가 언제 암호를 입력해서 사용했는지 등등 암호와 관련된 모든 사안들이 점검 대상이 된다.
6. 자기에게 맞는 전략을 구축하라
위에 열거한 사안들은 전부 ‘기본 중 기본’이다. 이를 바탕으로 현재 상태를 진단했으면, 기업의 비전과 목표, 상품 및 서비스의 본질에 맞게 보안 전략을 구축해야 한다. 특히 권한 계정에 대한 전략은 일률적일 수가 없다. 그 전략을 규정화시켜서 사용자들이 지키도록 하고, 그 전략을 고수할 수 있도록 알맞은 기술력을 도입하라.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
아무리 말해도 요지부동인 사용자... 정책 및 기술 도입으로 참여 유도해야
[보안뉴스 문가용] 권한 계정은 무엇이며 왜 중요한 것일까? 먼저 권한 계정은 권한이 높은 계정으로 한 조직의 네트워크에 연결된 모든 기기, 애플리케이션, 스위치 및 데이터센터 등의 모든 크리덴셜 정보를 가지고 있다. 즉 권한 계정의 암호만 알면 사실상 무소불위의 존재가 된다는 것이다.
최근 계정 관리 전문기업인 타이코틱(Thycotic)은 보고서를 하나 발간했는데, 권한 계정을 잘 관리하는 게 중요하다는 걸 인식하는 업체는 80%나 되었지만 최소한의 조치도 취하지 못해 충분한 점수를 받지 못한 업체가 52%에 달하는 것으로 드러났다. 권한 계정 관리의 실천력이 인식에 한참 못 미치는 수준이라는 것이다.
타이코틱의 부회장인 스티브 카한(Steve Kahan)은 “최근 버라이즌(Verizon)에서 발표한 데이터 유출 사고 조사 보고서에 의하면 사고의 63%가 암호가 부실해서 발생한다”며 몇 가지 연구결과를 추가적으로 꼽았다.
- 디폴트 암호를 바꾼 적이 없다 : 20%
- 암호를 이따금 공유한다 : 30%
- 권한 계정의 암호를 만들 때 별도의 허가조치가 필요하지 않다 : 70%
- 권한 계정으로 한 행동들은 감사 대상이 아니다 : 50%
“이것만이 아니에요. 암호의 중요성이 그동안 얼마나 중요하게 다뤄졌습니까. 그런데도 사용자들은 변하지 않습니다. 요즘 말로 ‘멘붕’이 올 지경이라니까요.” 카한의 설명이다. “그래서 보안 담당자들은 방화벽과 침입 탐지 및 취약점 보호 시스템을 반드시 운영해야 합니다. 여기에 더해 권한 계정은 항시 주시해야 하고요.” 더불어 카한은 권한 계정 보호법 7가지를 함께 공개했다.
1. 그래도 교육이 답이다
다수를 위한 교육도 중요하지만 가장 빠른 효과를 체험하기 위해서는 권한 계정과 가장 밀접한 소수의 사람들부터 교육해야 한다. 회사의 정책이 무엇인지 반드시 알게 하고, 올바른 권한 계정 보호 정책이 없다면 새롭게 만들라. 권한 계정 보호라는 건 미시적인 개념이 아니다. 회사 전체 운영과도 맞물려 있는 커다란 개념이다.
2. 권한 계정을 전부 색출해낸다
권한 계정 관리를 처음부터 꼼꼼하게 하지 않았다면(많은 업체들이 이 부분부터 실패한다) 파악이 안 되는 권한 계정이나 그에 준할 정도로 강력한 계정이 어디선가 존재할 가능성이 높다. 특히 데이터센터로 연결되는 권한 계정이 있는지 확실하게 점검해야 한다. 주인이 없거나 아무도 사용하지 않는 계정이라면 없애거나 비활성화시키는 등 확실한 조치를 취하라.
3. 자동화 도입, 가능하다면 하라
이번 조사 결과, 조직이나 기업들 대부분 방화벽을 설치해 사용 중이라는 것이 밝혀졌다. 하지만 자동화된 계정 관리 솔루션을 사용하는 경우는 채 10%가 되지 않았다. 60%의 단체가 엑셀 및 여타 스프레드시트 프로그램을 사용해, 수동으로 계정들을 관리하고 있었던 것으로 나타났다. 이게 현대의 IT 환경에서 올바로 작용할 리가 없다. 다음 전자책을 참조하여 자동화를 서서히 도입해보기를 권한다.(해당 내용은 이번 주 내로 간략히 기사화 할 예정이다_편집자 주)
4. 보안 정책을 도입하고 적용하라
계정에 대한 접근을 허용할 때는 최대한 빡빡하게 굴어라. 시스템 관리자 계정에 대한 접근을 너무 너그럽게 허용한다. 심지어 부서장들마다 이를 다 사용하고 있는 곳도 있으며, 시스템 관리가 귀찮은 부서장은 아랫사람들과 시스템 관리 계정을 공유하기도 한다. 한 사람만 잘못해도 네트워크 전체가 공격에 당할 수 있는데, 여기까지 생각이 못 미치는 것 같다. 이는 정책적으로 금지시켜야 한다.
5. 권한 계정 암호를 주기적으로 검사하라
CISO 등 보안의 총 책임자라면 권한 계정의 총수를 파악함과 동시에 암호도 주기적으로 점검해야 한다. 자주 바뀌고 있는지, 충분히 어려운지, 또 누가 언제 암호를 입력해서 사용했는지 등등 암호와 관련된 모든 사안들이 점검 대상이 된다.
6. 자기에게 맞는 전략을 구축하라
위에 열거한 사안들은 전부 ‘기본 중 기본’이다. 이를 바탕으로 현재 상태를 진단했으면, 기업의 비전과 목표, 상품 및 서비스의 본질에 맞게 보안 전략을 구축해야 한다. 특히 권한 계정에 대한 전략은 일률적일 수가 없다. 그 전략을 규정화시켜서 사용자들이 지키도록 하고, 그 전략을 고수할 수 있도록 알맞은 기술력을 도입하라.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
