“내부 접근통제 위한 서버 접근경로 철저히 분석해야”

[보안뉴스 김태형] “최근의 국내 정보유출 사건에서 알 수 있듯이 외주인력과 내부 조직의 보안위협에 대한 보안대책이 중요하다. 특히 내부 접근통제를 위한 서버의 접근경로를 철저히 분석할 필요가 있다.”

레드비씨 김태범 이사는 24일 서울 삼성동 코엑스에서 개최된 ‘제20회 정보통신망 정보보호 컨퍼런스’에서 ‘효과적인 내부 및 외주인력의 서버 접근통제 구현방안’을 주제로 한 발표에서 이같이 말했다.

김태범 이사는 “지난 2011년 농협 전산망 마비 사건을 보면, 외주 인력의 단말기에 의한 악성코드 전파로 인해 은행 서버 270여대가 동시에 사이버테러 피해를 입었다”면서 “이 사건은 APT 공격을 통해 270여대의 서버에 dd 명령어(모든 파일 삭제 명령어)를 통한 파일 시스템 파괴로 추정된다”고 말했다.

당시 농협은 내·외부 인력의 IT 기기 반·출입 관리가 허술했고 서버의 계정·비밀번호 관리 부실과 함께 2팩터·2채널 인증이 없었다는 것. 특히 금융사의 통합관리 솔루션, 백업·성능/장애모니터링·배치스케줄러 등의 취약성으로 인해 공격을 당했다는 것이다.

김 이사는 “지난 3.20 사이버테러도 농협 사건과 마찬가지로 APT 공격을 통해 백신 통합관리 서버의 관리자 권한을 획득했고 악성코드 업데이트 파일로 위장한 악성코드가 내부망에 들어와 업무용 시스템을 파괴했다”고 말했다.

지난해 12월 미국에서는 대형 유통할인 마트 타겟(Target)에서 POS 단말기 해킹으로 약 1억 1,000만건 이상의 카드결제 정보(고객이름, 카드번호, 카드만료 날짜, CVC·CVV 비밀번호 등)가 유출되는 사고가 발생했다.

이 사건의 경우에도 시스템 관리 SW 취약점 공격을 통한 해킹 피해였다. 또한 서버 및 서드 파티 솔루션의 관리자계정·비밀번호 관리 부실과 서버 운영체제에 대한 접근제어, 명령어 통제, 파일접근 통제의 미적용과 백신과 같은 통합관리 솔루션의 취약성이 그 원인이었다.

이러한 사건 사례에서 보듯이 보안 강화를 위해서는 관리자계정·비밀번호 관리와 서버 접근통제 등과 같은 내부접근 통제기술이 필요하다.

김 이사는 “IT 보안 관점에서 내부 접근통제를 위한 기술은 IT 자산에 대한 접근경로와 자산의 종류에 따라 직접 접근제어, 원격 접근제어, 서버내부 접근제어로 구분된다”고 말했다.

직접 접근제어는 내·외부 인력의 서버 네트워크 장비에 대한 직접 접근통제 기술로직접 접근에 대한 신뢰구간 확보를 위한 기법(Console 보안 기술)이다. 이는 서버 및 네트워크 장비의 콘솔실로 집중 구성해 외부 방문 작업자 및 콘솔에서의 작업이 필요한 경우 작업 신청후 승인 요청이 필요하다. 승인 후에는 보안 솔루션 적용이 완료된 단말기와 보안토큰을 수령해 콘솔실에서 접속하게 된다.

원격접근 제어는 내부 인력의 서버/네트워크 장비에 대한 원격 접근 경로의 단일화 기술로, 이를 통해 네트워크 접근통제의 관리 편의성이 증대된다. 이는 내부 네트워크를 통해 텔넷·FTP·SSH 등의 방법으로 서버 및 네트워크 장비 접속을 통제하고 접근경로 단일화를 통한 접속 및 작업 내역 모니터링이 가능하다.


    
또한 서버 내부 접근제어는 가장 강력한 접근제어로 서버 내부에 접근한 사용자(서비스)의 주요 정보 파일에 대한 접근통제 기술이라고 할 수 있다. 서드파티 솔루션에 에이전트, 웹 DB 서비스 데몬 등의 취약성을 공격해 위협 명령어를 실행하거나 중요 정보 파일에 접근하는 것을 통제하게 된다.

김 이사는 “개인정보보호법에 따른 개인정보의 안전성 확보 조치 기준 고시 및 해설서, IT내부 접근통제 시스템 구성방안에 따라 적절한 내부접근 통제기술을 적용함으로써 내부 통제 및 보안을 강화해야 한다”고 말했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>