접근 권한 및 제어. 계정관리, 인증체계 구축, 패스워드 관리 등의 중요성 강조
[보안뉴스 김경애 기자] 최근 보안업계는 제로트러스트 ‘열풍’이 불고 있다. 미국은 연방정부의 보안수준을 높이기 위해 제로트러스트 아키텍처를 도입했고, 국내는 지난 6월 ‘제로트러스트 가이드라인 1.0’을 발표했다.
▲ISEC 2023에 참가한 넷앤드 부스[사진=보안뉴스]
제로트러스트는 ‘아무도 신뢰하지 않는다’는 개념 아래 검증과 인증, 최소한의 접근 권한 및 제어 등으로 보안 강화를 주문하고 있다. 미국 NIST SP 800-207 ‘제로트러스트 아키텍처(Zero Trust Architecture’)에서는 제로트로스트를 네트워크가 이미 침투당했다는 관점에서 정보 시스템 및 서비스에서 ‘정확한’, ‘최소 권한의’, ‘요청 단위 접근 결정’을 강제함으로써 불확실성을 최소화해 설계된 개념과 아이디어 모음이라고 정의하고 있다
이에 따라 접근 권한 및 제어, 계정관리, 인증 등에 대한 보안 강화가 요구되고 있다. 하지만 보안담당자 입장에서는 제로트러스트 구현을 위해 어디서부터 어디까지 어떻게 해야 할지 보안업무를 정립하기가 쉽지 않다. 이에 본지는 ISEC 2023에 참가한 넷앤드 부스를 방문해 접근제어, 계정관리, 인증 강화 방안에 대해 들어보고, 솔루션 시연을 통해 체계적인 통합관리 방안을 살펴봤다.
넷앤드 김슬기 차장은 제로트러스트 관점에서의 체계적인 통합관리 방안으로 △시스템 접근통제 △DB 접근통제 △시스템 계정관리 △DB 계정관리 △AD 계정관리 △CCTV패스워드 관리 △모바일 OTP 등 접근 권한 및 제어 등 계정관리, 인증체계, 패스워드 관리의 중요성을 강조했다.
시스템 접근통제는 접근 권한 및 명령어 통제, 실시간 세션 통제, 작업 로그 및 감사 등을 통해 통제하고 제어해야 한다. DB 접근통제 역시 접근 권한 통제, 쿼리 통제, 데이터 조회 결과 제어, 작업 로그 및 감사를 통해 관리해야 한다.
이와 관련 김슬기 차장은 “접근제한 정책은 사용자별, 장비별로 분류해 운영해야 한다. 사용자별은 관리자, 부서별 사용자 등으로 세분화해 체계적으로 운영돼야 한다”며 “장비별 접근제한 정책은 IP/MAC 제한, 허용기간, SU Only, 요일 제한, 2차 인증, 명령어 제한, 접속사유, 제한 정책 설정 등을 통해 기록, 보관, 인증 과정 등을 거쳐 운영돼야 한다”고 설명했다.
이어 계정관리는 라이프사이클 관리, 패스워드 관리, 정책 관리, 불법 계정 탐지, 전체 계정 관리부터 개인 계정 관리, 회수 권한 관리, 계정 이력 등에 대한 계정 보안 정책을 설정해야 한다고 덧붙였다.
특히, 시스템 계정관리에 대해 그는 “DB 계정관리, AD 계정관리를 포함한 계정 라이프사이클(Life-Cycle)에 따라 관리해야 하고, 패스워드 관리, 통합 계정 정책 관리, 불법 계정 탐지 등을 통한 촘촘한 관리가 이뤄져야 한다”고 강조했다.
인증체계는 ID/PW, IP/MAC, 이중 인증, 외부 인증 등 인증체계를 강화해야 하고 인사 DB, SMS 서버, OTP 서버, 결재 서버와 연동되도록 지원돼야 한다.
위협 분석은 딥러닝 기술을 활용한 패턴 자동 업데이트와 함께 이상 패턴을 탐지하고 알림을 제공할 수 있어야 한다. 또한, 통제/감사는 관리자, 직원, 외주 인력, 불법 사용자에 대해 접근통제, 세션 통제, 명령어 통제, 로그 감사 등이 가능해야 한다.
CCTV 패스워드 관리는 CCTV 계정 정책 관리, 관리 대상 CCTV/VMS(영상관제 솔루션)를 통해 통합 관리하고, 모바일 OTP는 모든 접속 일원화, 오프라인 환경 지원, 다양한 인증 조합 지원, 다중 토큰 관리 등으로 세밀하게 관리돼야 한다.
▲ISEC 2023에 참가한 넷앤드 부스[사진=보안뉴스]
넷앤드 김슬기 차장은 “패스워드 관리의 경우 패스워드 보안 설정, 패스워드 보안 규칙, 패스워드 사용기간, 패스워드 변경, 패스워드 자동 변경, 패스워드 확인 방법 설정 등을 통해 관리해야 한다”며 “특히, 패스워드 사용 기간을 설정하고, 패스워드 사용 만료 여부를 구분해야 한다. 패스워드 변경은 사용자 입력 방식과 시스템 자동 입력 방식 등을 통해 구분하고, Provisioning 확인 알림, 패스워드 자동 변경 사용 여부 설정 등을 통해 관리해야 한다”고 설명했다.
이어 김슬기 차장은 “기업 각각의 고유 특성과 환경에 따라 통합 운영하거나 필요한 솔루션만 선택적으로 운영할 수 있도록 보안 솔루션을 유연하게 구성해야 한다”며 “특히, 통합 구축으로 업무 효율성을 극대화하고, 통합 관리로 보안 구멍을 원천 봉쇄해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 최근 보안업계는 제로트러스트 ‘열풍’이 불고 있다. 미국은 연방정부의 보안수준을 높이기 위해 제로트러스트 아키텍처를 도입했고, 국내는 지난 6월 ‘제로트러스트 가이드라인 1.0’을 발표했다.
▲ISEC 2023에 참가한 넷앤드 부스[사진=보안뉴스]
제로트러스트는 ‘아무도 신뢰하지 않는다’는 개념 아래 검증과 인증, 최소한의 접근 권한 및 제어 등으로 보안 강화를 주문하고 있다. 미국 NIST SP 800-207 ‘제로트러스트 아키텍처(Zero Trust Architecture’)에서는 제로트로스트를 네트워크가 이미 침투당했다는 관점에서 정보 시스템 및 서비스에서 ‘정확한’, ‘최소 권한의’, ‘요청 단위 접근 결정’을 강제함으로써 불확실성을 최소화해 설계된 개념과 아이디어 모음이라고 정의하고 있다
이에 따라 접근 권한 및 제어, 계정관리, 인증 등에 대한 보안 강화가 요구되고 있다. 하지만 보안담당자 입장에서는 제로트러스트 구현을 위해 어디서부터 어디까지 어떻게 해야 할지 보안업무를 정립하기가 쉽지 않다. 이에 본지는 ISEC 2023에 참가한 넷앤드 부스를 방문해 접근제어, 계정관리, 인증 강화 방안에 대해 들어보고, 솔루션 시연을 통해 체계적인 통합관리 방안을 살펴봤다.
넷앤드 김슬기 차장은 제로트러스트 관점에서의 체계적인 통합관리 방안으로 △시스템 접근통제 △DB 접근통제 △시스템 계정관리 △DB 계정관리 △AD 계정관리 △CCTV패스워드 관리 △모바일 OTP 등 접근 권한 및 제어 등 계정관리, 인증체계, 패스워드 관리의 중요성을 강조했다.
시스템 접근통제는 접근 권한 및 명령어 통제, 실시간 세션 통제, 작업 로그 및 감사 등을 통해 통제하고 제어해야 한다. DB 접근통제 역시 접근 권한 통제, 쿼리 통제, 데이터 조회 결과 제어, 작업 로그 및 감사를 통해 관리해야 한다.
이와 관련 김슬기 차장은 “접근제한 정책은 사용자별, 장비별로 분류해 운영해야 한다. 사용자별은 관리자, 부서별 사용자 등으로 세분화해 체계적으로 운영돼야 한다”며 “장비별 접근제한 정책은 IP/MAC 제한, 허용기간, SU Only, 요일 제한, 2차 인증, 명령어 제한, 접속사유, 제한 정책 설정 등을 통해 기록, 보관, 인증 과정 등을 거쳐 운영돼야 한다”고 설명했다.
이어 계정관리는 라이프사이클 관리, 패스워드 관리, 정책 관리, 불법 계정 탐지, 전체 계정 관리부터 개인 계정 관리, 회수 권한 관리, 계정 이력 등에 대한 계정 보안 정책을 설정해야 한다고 덧붙였다.
특히, 시스템 계정관리에 대해 그는 “DB 계정관리, AD 계정관리를 포함한 계정 라이프사이클(Life-Cycle)에 따라 관리해야 하고, 패스워드 관리, 통합 계정 정책 관리, 불법 계정 탐지 등을 통한 촘촘한 관리가 이뤄져야 한다”고 강조했다.
인증체계는 ID/PW, IP/MAC, 이중 인증, 외부 인증 등 인증체계를 강화해야 하고 인사 DB, SMS 서버, OTP 서버, 결재 서버와 연동되도록 지원돼야 한다.
위협 분석은 딥러닝 기술을 활용한 패턴 자동 업데이트와 함께 이상 패턴을 탐지하고 알림을 제공할 수 있어야 한다. 또한, 통제/감사는 관리자, 직원, 외주 인력, 불법 사용자에 대해 접근통제, 세션 통제, 명령어 통제, 로그 감사 등이 가능해야 한다.
CCTV 패스워드 관리는 CCTV 계정 정책 관리, 관리 대상 CCTV/VMS(영상관제 솔루션)를 통해 통합 관리하고, 모바일 OTP는 모든 접속 일원화, 오프라인 환경 지원, 다양한 인증 조합 지원, 다중 토큰 관리 등으로 세밀하게 관리돼야 한다.
▲ISEC 2023에 참가한 넷앤드 부스[사진=보안뉴스]
넷앤드 김슬기 차장은 “패스워드 관리의 경우 패스워드 보안 설정, 패스워드 보안 규칙, 패스워드 사용기간, 패스워드 변경, 패스워드 자동 변경, 패스워드 확인 방법 설정 등을 통해 관리해야 한다”며 “특히, 패스워드 사용 기간을 설정하고, 패스워드 사용 만료 여부를 구분해야 한다. 패스워드 변경은 사용자 입력 방식과 시스템 자동 입력 방식 등을 통해 구분하고, Provisioning 확인 알림, 패스워드 자동 변경 사용 여부 설정 등을 통해 관리해야 한다”고 설명했다.
이어 김슬기 차장은 “기업 각각의 고유 특성과 환경에 따라 통합 운영하거나 필요한 솔루션만 선택적으로 운영할 수 있도록 보안 솔루션을 유연하게 구성해야 한다”며 “특히, 통합 구축으로 업무 효율성을 극대화하고, 통합 관리로 보안 구멍을 원천 봉쇄해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
