.gif)
해커들, 어디를 통해 들어오든 결국 권한이 높은 계정 노려
권한 부여는 조심스럽게, 한정적으로, 여차하면 세션 종료 가능케
▲ 자네 목소리, 높은음자리표가 가능한가?
[보안뉴스 문가용] 높은 권한 접근 관리(Privileged Access Management, PAM)가 보안에서 매우 중요한 요소로 떠오르고 있다. 사이버 범죄자들이 ‘권한이 높은 사용자에게 데이터가 있다’는 걸 알아차렸기 때문이다. 하지만 PAM은 아직 정보 보안의 주류는 아니다. 최근 비욘드트러스트(BeyondTrust)에서 실시한 조사에 의하면 상위 티어에 속하는 기업들 중 76%는 암호 관리를 철저히 하지만 하위 티어에 속하는 기업들 중에 암호 관리를 하는 곳은 14%에 불과했다.
포네몬(Ponemon)과 포스포인트(Forcepoint)도 최근 합동으로 비슷한 조사를 실시했다. 704명의 응답자들 중 91%가 ‘권한이 높은 자들에 대한 공격이 앞으로 더 많아지거나 현상을 유지할 것이다’라고 답했다. 그러나 PAM 기능을 제대로 갖추고 있다고 자신 있게 말한 응답자는 18%에 그쳤다. “아직도 어떤 계정에서 어떤 문제가 발생하고 있는지 파악도 못하는 보안 팀이 대부분입니다. 그게 현실이죠.” 포스포인트의 마이클 크루즈(Michael Crouse) 기술 디렉터의 설명이다.
비욘트트러스트와 포스포인트, 그리고 포네몬은 “누군가에게 권한을 준다는 게 한 집단을 얼마나 위험하게 할 수 있는지, 그 가능성에 대해 별다른 고민이 없는 것 같다”며 PAM 도입을 위한 몇 가지 사항들을 제시했다.
1. 권한 부여 자체를 최소화하라
높은 권한을 사용한 사람이라고 해서 ‘모든 권한’을 가질 수 있게 해서는 안 된다. 높은 권한의 사용자에게도 부여된 업무가 있을 것이고, 그에 맞는 권한만을 허락해야 한다. 포스포인트와 포네몬이 실시한 연구에서, 응답자의 74%가 “권한이 높은 사용자들은 회사의 모든 정보에 접근할 수 있어야 한다고 믿고 있다”고 답했다. 66%는 “권한이 높은 사용자가 ‘호기심’만으로도 기밀에도 접근할 수 있다”고 답했고, 58%는 “높은 권한 사용자는 보통 권한 남용을 한다”고 답했다.
2. 높은 권한 계정의 가시성을 확보하기 위해 취약점 평가를 실시하라
비욘드트러스트의 연구에서 상위 티어에 속하는 기업의 91%가 취약점 평가를 실시한다고 나타났으며 하위 티어 기업들 중에서는 20%만이 이를 하고 있는 것으로 나타났다. 기업이 가지고 있는 리스크가 무엇인지, 어떤 약점을 가지고 있는지 제대로 파악하고 있지 못하면 방어가 막연해질 수밖에 없다.
3. 중앙에서 암호를 관리하는 정책을 도입하라
비욘드트러스트의 연구에서 상위 티어에 속하는 기업의 92%가 권한이 높은 계정의 암호를 중앙에서 관리하는 것으로 나타났다. 하지만 하위 티어에서 이런 시스템이 도입된 건 25%에 불과했다. 암호는 주기적으로 바꿔주는 것도 매우 중요하다. 이 주기는 짧아야 효과적이다. 10일에 한 번, 20일에 한 번, 30일에 한 번 정도 바꾸는 것이 좋다.
4. 권한이 높은 계정으로부터의 활동을 모니터링하라
비욘드트러스트의 연구에서 상위 티어에 속하는 기업의 71%가 높은 계정을 가진 사용자의 세션을 모니터링하는 기능을 갖추고 있다고 답했고, 하위 티어에서는 49%가 이런 기능을 발휘하고 있었다. 모니터링 하다가 세션을 강제 종료할 수 있는 기능을 갖춘 곳은 상위 티어의 기업에서도 45% 정도뿐이었고, 하위 티어에서는 3%에 그쳤다. 모니터링만으로는 충분하지 못하다. 권한이 높은 계정에서 이상한 행동이 탐지되면 바로 종료할 수 있는 기능이 필요하다.
5. 높은 권한을 부여하기 전에 배경 확인을 하라
포스포인트와 포네몬이 동시에 실시한 연구에 의하면 응답자의 63%가 권한을 부여하기 전에 배경 확인을 한다고 했다. 2014년에 실시한 똑같은 연구에서 57%의 결과가 나왔는데, 약 6% 포인트 오른 수치다. 하지만 여전히 권한을 배경 지식 없이 부여하는 기업이 37%에 달한다는 건 간과할 수 없는 문제다.
6. 높은 권한 계정 사용자들을 훈련시키라
포스포인트/포네몬 연구에서 응답자의 60%가 ‘높은 권한 계정 사용자의 교육을 주기적으로 실시한다’고 답했으나 ‘이런 교육 프로그램이 실질적인 효과를 가지고 있다’고 답한 응답자는 27%에 그쳤다. “보통은 그냥 30분짜리 뻔하고 재미없는 교육 영상 틀어주는 것으로 구성되어 있죠. 요즘처럼 사람들의 집중 시간이 짧은 때에 수동적으로 가만히 앉아서 뭔가를 지켜보라고 하는 프로그램만으로는 큰 효과를 거두기 어렵습니다.”
7. 권한에는 책임도 따르게 하라
포스포인트/포네몬의 연구에서 응답자의 46%가 ‘권한이 높은 사용자보다 그 권한을 부여한 사람에게 더 큰 책임이 따른다’고 했다. 이렇게 사용자 자체보다 권한을 부여하는 정책 및 행위에 더 큰 책임을 부여하는 흐름은 좋은 현상이지만, 아직 제대로 자리 잡았다고 볼 수는 없다. 보안은 개인의 역량에 기댈 것이 아니라 시스템적으로 운영되어야 하는 분야가 되고 있다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
권한 부여는 조심스럽게, 한정적으로, 여차하면 세션 종료 가능케
▲ 자네 목소리, 높은음자리표가 가능한가?
[보안뉴스 문가용] 높은 권한 접근 관리(Privileged Access Management, PAM)가 보안에서 매우 중요한 요소로 떠오르고 있다. 사이버 범죄자들이 ‘권한이 높은 사용자에게 데이터가 있다’는 걸 알아차렸기 때문이다. 하지만 PAM은 아직 정보 보안의 주류는 아니다. 최근 비욘드트러스트(BeyondTrust)에서 실시한 조사에 의하면 상위 티어에 속하는 기업들 중 76%는 암호 관리를 철저히 하지만 하위 티어에 속하는 기업들 중에 암호 관리를 하는 곳은 14%에 불과했다.
포네몬(Ponemon)과 포스포인트(Forcepoint)도 최근 합동으로 비슷한 조사를 실시했다. 704명의 응답자들 중 91%가 ‘권한이 높은 자들에 대한 공격이 앞으로 더 많아지거나 현상을 유지할 것이다’라고 답했다. 그러나 PAM 기능을 제대로 갖추고 있다고 자신 있게 말한 응답자는 18%에 그쳤다. “아직도 어떤 계정에서 어떤 문제가 발생하고 있는지 파악도 못하는 보안 팀이 대부분입니다. 그게 현실이죠.” 포스포인트의 마이클 크루즈(Michael Crouse) 기술 디렉터의 설명이다.
비욘트트러스트와 포스포인트, 그리고 포네몬은 “누군가에게 권한을 준다는 게 한 집단을 얼마나 위험하게 할 수 있는지, 그 가능성에 대해 별다른 고민이 없는 것 같다”며 PAM 도입을 위한 몇 가지 사항들을 제시했다.
1. 권한 부여 자체를 최소화하라
높은 권한을 사용한 사람이라고 해서 ‘모든 권한’을 가질 수 있게 해서는 안 된다. 높은 권한의 사용자에게도 부여된 업무가 있을 것이고, 그에 맞는 권한만을 허락해야 한다. 포스포인트와 포네몬이 실시한 연구에서, 응답자의 74%가 “권한이 높은 사용자들은 회사의 모든 정보에 접근할 수 있어야 한다고 믿고 있다”고 답했다. 66%는 “권한이 높은 사용자가 ‘호기심’만으로도 기밀에도 접근할 수 있다”고 답했고, 58%는 “높은 권한 사용자는 보통 권한 남용을 한다”고 답했다.
2. 높은 권한 계정의 가시성을 확보하기 위해 취약점 평가를 실시하라
비욘드트러스트의 연구에서 상위 티어에 속하는 기업의 91%가 취약점 평가를 실시한다고 나타났으며 하위 티어 기업들 중에서는 20%만이 이를 하고 있는 것으로 나타났다. 기업이 가지고 있는 리스크가 무엇인지, 어떤 약점을 가지고 있는지 제대로 파악하고 있지 못하면 방어가 막연해질 수밖에 없다.
3. 중앙에서 암호를 관리하는 정책을 도입하라
비욘드트러스트의 연구에서 상위 티어에 속하는 기업의 92%가 권한이 높은 계정의 암호를 중앙에서 관리하는 것으로 나타났다. 하지만 하위 티어에서 이런 시스템이 도입된 건 25%에 불과했다. 암호는 주기적으로 바꿔주는 것도 매우 중요하다. 이 주기는 짧아야 효과적이다. 10일에 한 번, 20일에 한 번, 30일에 한 번 정도 바꾸는 것이 좋다.
4. 권한이 높은 계정으로부터의 활동을 모니터링하라
비욘드트러스트의 연구에서 상위 티어에 속하는 기업의 71%가 높은 계정을 가진 사용자의 세션을 모니터링하는 기능을 갖추고 있다고 답했고, 하위 티어에서는 49%가 이런 기능을 발휘하고 있었다. 모니터링 하다가 세션을 강제 종료할 수 있는 기능을 갖춘 곳은 상위 티어의 기업에서도 45% 정도뿐이었고, 하위 티어에서는 3%에 그쳤다. 모니터링만으로는 충분하지 못하다. 권한이 높은 계정에서 이상한 행동이 탐지되면 바로 종료할 수 있는 기능이 필요하다.
5. 높은 권한을 부여하기 전에 배경 확인을 하라
포스포인트와 포네몬이 동시에 실시한 연구에 의하면 응답자의 63%가 권한을 부여하기 전에 배경 확인을 한다고 했다. 2014년에 실시한 똑같은 연구에서 57%의 결과가 나왔는데, 약 6% 포인트 오른 수치다. 하지만 여전히 권한을 배경 지식 없이 부여하는 기업이 37%에 달한다는 건 간과할 수 없는 문제다.
6. 높은 권한 계정 사용자들을 훈련시키라
포스포인트/포네몬 연구에서 응답자의 60%가 ‘높은 권한 계정 사용자의 교육을 주기적으로 실시한다’고 답했으나 ‘이런 교육 프로그램이 실질적인 효과를 가지고 있다’고 답한 응답자는 27%에 그쳤다. “보통은 그냥 30분짜리 뻔하고 재미없는 교육 영상 틀어주는 것으로 구성되어 있죠. 요즘처럼 사람들의 집중 시간이 짧은 때에 수동적으로 가만히 앉아서 뭔가를 지켜보라고 하는 프로그램만으로는 큰 효과를 거두기 어렵습니다.”
7. 권한에는 책임도 따르게 하라
포스포인트/포네몬의 연구에서 응답자의 46%가 ‘권한이 높은 사용자보다 그 권한을 부여한 사람에게 더 큰 책임이 따른다’고 했다. 이렇게 사용자 자체보다 권한을 부여하는 정책 및 행위에 더 큰 책임을 부여하는 흐름은 좋은 현상이지만, 아직 제대로 자리 잡았다고 볼 수는 없다. 보안은 개인의 역량에 기댈 것이 아니라 시스템적으로 운영되어야 하는 분야가 되고 있다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)