권한의 낭비를 제거해 ‘권한 오남용’ 방지
가트너 ‘2022년 인프라&운영 트렌드’ 중 하나로 꼽혀
[보안뉴스= 이재국 넷앤드 솔루션기술본부 이사] 접근통제는 이미 IT 인프라 보안관리에 있어 필수 기술로 자리 잡았다. 접근통제, 접근권한 관리 등이 ‘개인정보의 안전성 확보조치 기준’에 포함돼 법적으로 의무화됐기 때문이다. 이에 현재 대다수 기업 및 기관들은 사용자별로 각각 계정과 권한을 별도 부여하고, 인가된 사용자만 시스템에 접근하도록 접근통제 정책을 적용해 철저하게 관리하고 있다.
[이미지=utoimage]
그러나 이 같은 접근통제 정책의 강화에도 여전히 간과되고 있는 부분이 있다. 바로 접근 권한이 있는 사용자의 접근 후 작업에 대한 통제와 전체 IT 인프라 시스템에 접근할 수 있는 Admin 또는 root 계정과 같은 특권 계정에 대한 통제다. 이 같은 특권 계정은 시스템 장애 등 문제 발생 시 빠른 대응을 위해 많은 기업들이 접근 시간과 모든 작업 행위에 대한 제한을 두지 않고 있다. 문제는 악의적인 내부자가 접근제어 시스템을 통해 이 특권 계정으로 접근하여 권한을 남용 또는 오용할 수 있는 문제가 있다는 점이다.
이처럼 사실상 권한이 있는 내부인력에게 특권 계정의 권한이 상시 주어져 시스템 접근 후 행하는 악의적 행위가 엄청난 보안 위협이 되고 있는 만큼, 다수의 보안 전문가들은 보다 강력한 접근통제를 위해서는 단순한 접근에 대한 허가/거부를 넘어 사용자의 시스템 작업 전체 과정에 대한 권한과 특권 계정에 대한 ‘Just-In-Time 최소 권한 관리’가 수반되어야 한다고 말한다.
Just-In-Time 최소 권한 관리란?
Just-In-Time(적시생산시스템)는 제조기업을 중심으로 적용돼온 시스템으로 생산 과정에서 필요할 때에, 필요한 것을, 필요한 만큼만 생산함으로써 생산시간을 단축하고 재고를 최소화해 낭비를 제거하는 시스템이다. 이 시스템을 정보보안 기술에 적용한 것이 바로 Just-In-Time(JIT) 최소 권한 관리로, 절대적으로 필요한 경우 최소한의 시간 동안만, 적절한 권한만을 부여해 권한의 낭비를 제거하는 것이다.
즉, 사용자가 특정 작업을 위해 시스템에 접근할 때 기존의 접근통제 정책 하에서는 해당 사용자가 접근권한이 없는 시스템에는 접근할 수 없지만 접근권한이 있는 시스템이라면 자유롭게 로그인하여 접근 및 작업을 수행할 수 있다. 이때 접근 권한만 있다면 작업과 관계없는 시스템에도 접근해 어떤 행위를 할 수 있다. 그러나 JIT 최소 권한 관리를 적용할 경우 언제부터 언제까지 어떤 시스템에서 어떤 명령어를 사용해 작업을 진행할지 허가를 받아야 하며, 해당 작업 완료 후에는 사전 허가된 대로만 작업이 제대로 수행됐는지 확인하게 된다. 이를 통해 불필요한 행위와 접근 시간을 단축해 권한의 오남용을 방지할 수 있게 된다.
JIT는 가트너가 2022년 주목해야 할 인프라&운영 트렌드(The Gartner Top 6 Trends for Infrastructure & Operations in 2022)로 꼽혔고, 마이크로소프트가 정의한 제로트러스트 보안 모델의 3가지 원칙(명시적인 확인, 최소 권한 액세스, 침해 예측) 중 하나로 꼽히기도 했다.
물론 이처럼 JIT 최소 권한 관리를 접근통제에 적용할 경우 사용자가 권한을 아주 조금이라도 벗어난 행위를 하기 위해서는 그것이 불법 행위가 아닐지라도 일일이 신청 및 허가 절차를 거쳐야 하는 번거로움이 있을 수 있다. 따라서 최근에는 이와 같은 절차상 불편함을 최소화할 수 있도록 JIT 최소 권한 관리를 자동화해 제공하는 솔루션들이 제공되고 있다.
넷앤드의 HIWARE 솔루션, JIT 최소 권한 관리 기능 제공
글로벌 보안 업체인 사이버아크와 비욘드트러스트가 접근권한관리(PAM) 솔루션에 JIT를 구현해 국내 접근통제 시장을 공략하고 있다. 국내 제품의 경우 넷앤드의 통합 접근 및 계정관리 솔루션 HIWARE가 JIT 최소 권한 관리 기술을 적용해 제공하고 있다. HIWARE는 사용자별로 시스템 접근과 작업 권한을 각각 필요에 따라 최소한으로 차등 부여하는데, 고객사의 정책에 따라 권한 신청과 부여 프로세스를 일원화·자동화해 높은 업무 효율성을 보장한다. 특히, 이 같은 기능을 온-프레미스와 클라우드 환경에 모두 지원해 최근 하이브리드 업무 환경 확산에 따른 고객의 다양한 니즈를 충족하고 있다.
[글_ 이재국 넷앤드 솔루션기술본부 이사]
가트너 ‘2022년 인프라&운영 트렌드’ 중 하나로 꼽혀
[보안뉴스= 이재국 넷앤드 솔루션기술본부 이사] 접근통제는 이미 IT 인프라 보안관리에 있어 필수 기술로 자리 잡았다. 접근통제, 접근권한 관리 등이 ‘개인정보의 안전성 확보조치 기준’에 포함돼 법적으로 의무화됐기 때문이다. 이에 현재 대다수 기업 및 기관들은 사용자별로 각각 계정과 권한을 별도 부여하고, 인가된 사용자만 시스템에 접근하도록 접근통제 정책을 적용해 철저하게 관리하고 있다.
[이미지=utoimage]
그러나 이 같은 접근통제 정책의 강화에도 여전히 간과되고 있는 부분이 있다. 바로 접근 권한이 있는 사용자의 접근 후 작업에 대한 통제와 전체 IT 인프라 시스템에 접근할 수 있는 Admin 또는 root 계정과 같은 특권 계정에 대한 통제다. 이 같은 특권 계정은 시스템 장애 등 문제 발생 시 빠른 대응을 위해 많은 기업들이 접근 시간과 모든 작업 행위에 대한 제한을 두지 않고 있다. 문제는 악의적인 내부자가 접근제어 시스템을 통해 이 특권 계정으로 접근하여 권한을 남용 또는 오용할 수 있는 문제가 있다는 점이다.
이처럼 사실상 권한이 있는 내부인력에게 특권 계정의 권한이 상시 주어져 시스템 접근 후 행하는 악의적 행위가 엄청난 보안 위협이 되고 있는 만큼, 다수의 보안 전문가들은 보다 강력한 접근통제를 위해서는 단순한 접근에 대한 허가/거부를 넘어 사용자의 시스템 작업 전체 과정에 대한 권한과 특권 계정에 대한 ‘Just-In-Time 최소 권한 관리’가 수반되어야 한다고 말한다.
Just-In-Time 최소 권한 관리란?
Just-In-Time(적시생산시스템)는 제조기업을 중심으로 적용돼온 시스템으로 생산 과정에서 필요할 때에, 필요한 것을, 필요한 만큼만 생산함으로써 생산시간을 단축하고 재고를 최소화해 낭비를 제거하는 시스템이다. 이 시스템을 정보보안 기술에 적용한 것이 바로 Just-In-Time(JIT) 최소 권한 관리로, 절대적으로 필요한 경우 최소한의 시간 동안만, 적절한 권한만을 부여해 권한의 낭비를 제거하는 것이다.
즉, 사용자가 특정 작업을 위해 시스템에 접근할 때 기존의 접근통제 정책 하에서는 해당 사용자가 접근권한이 없는 시스템에는 접근할 수 없지만 접근권한이 있는 시스템이라면 자유롭게 로그인하여 접근 및 작업을 수행할 수 있다. 이때 접근 권한만 있다면 작업과 관계없는 시스템에도 접근해 어떤 행위를 할 수 있다. 그러나 JIT 최소 권한 관리를 적용할 경우 언제부터 언제까지 어떤 시스템에서 어떤 명령어를 사용해 작업을 진행할지 허가를 받아야 하며, 해당 작업 완료 후에는 사전 허가된 대로만 작업이 제대로 수행됐는지 확인하게 된다. 이를 통해 불필요한 행위와 접근 시간을 단축해 권한의 오남용을 방지할 수 있게 된다.
JIT는 가트너가 2022년 주목해야 할 인프라&운영 트렌드(The Gartner Top 6 Trends for Infrastructure & Operations in 2022)로 꼽혔고, 마이크로소프트가 정의한 제로트러스트 보안 모델의 3가지 원칙(명시적인 확인, 최소 권한 액세스, 침해 예측) 중 하나로 꼽히기도 했다.
물론 이처럼 JIT 최소 권한 관리를 접근통제에 적용할 경우 사용자가 권한을 아주 조금이라도 벗어난 행위를 하기 위해서는 그것이 불법 행위가 아닐지라도 일일이 신청 및 허가 절차를 거쳐야 하는 번거로움이 있을 수 있다. 따라서 최근에는 이와 같은 절차상 불편함을 최소화할 수 있도록 JIT 최소 권한 관리를 자동화해 제공하는 솔루션들이 제공되고 있다.
넷앤드의 HIWARE 솔루션, JIT 최소 권한 관리 기능 제공
글로벌 보안 업체인 사이버아크와 비욘드트러스트가 접근권한관리(PAM) 솔루션에 JIT를 구현해 국내 접근통제 시장을 공략하고 있다. 국내 제품의 경우 넷앤드의 통합 접근 및 계정관리 솔루션 HIWARE가 JIT 최소 권한 관리 기술을 적용해 제공하고 있다. HIWARE는 사용자별로 시스템 접근과 작업 권한을 각각 필요에 따라 최소한으로 차등 부여하는데, 고객사의 정책에 따라 권한 신청과 부여 프로세스를 일원화·자동화해 높은 업무 효율성을 보장한다. 특히, 이 같은 기능을 온-프레미스와 클라우드 환경에 모두 지원해 최근 하이브리드 업무 환경 확산에 따른 고객의 다양한 니즈를 충족하고 있다.
[글_ 이재국 넷앤드 솔루션기술본부 이사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
