세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
강력한 내부통제 위한 계정관리가 필요한 이유
  |  입력 : 2015-10-14 23:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안사고 대부분 내부자에 의해 발생...계정·권한관리 필수

[보안뉴스 김태형] 최근 기업 내부의 중요 정보와 자료가 유출되거나 기업이 관리하는 고객정보가 유출되는 보안사고가 빈번하게 발생하면서 계정관리(IAM : Identity & Access Management)가 보안 이슈가 되고 있다. 클라우드, 스마트워크, 소셜네트워크 등 IT 환경이 다양화되면서 계정관리는 기업의 내부통제 및 보안강화에도 필수 요소가 되고 있다.


아울러 계정관리는 개인정보보호법을 준수하고 개인정보를 효과적으로 보호하기 위해서도 매우 중요하다. 내부정보 유출방지를 위해서는 보안 솔루션과 함께 각종 네트워크 솔루션 등 외부 환경과의 균형이 중요한데, 계정관리는 이를 위해서도 반드시 필요한 부분이다.

특히, 계정관리는 직원, 고객, 계약자 등 각 정보 시스템의 사용자를 식별하고 정의된 사용자 권한에 의해 정보 시스템에서 제공하는 자원에 대한 접근을 제어하기 위한 솔루션으로, 개인정보 관리를 위한 가장 기본적인 보호막이라고 할 수 있다. 다시 말해 식별된 사용자가 권한을 가진 IT 자원에 접근할 수 있도록 통제하는 사전조치 역할을 수행하는 것이다.

대부분의 기업에서는 IT 담당자 1~2명이 구두로 통보받거나 수작업으로 계정관리가 이루어지고 있어 가시성이 부족하다. 이렇게 되면 퇴직자나 내부 보직 변경자들의 계정이 제대로 관리되지 않거나 그대로 남아 있어 보안 리스크로 작용할 수 있다. 실제로 이를 이용한 정보유출 등의 보안사고가 발생하기도 한다.

또 하나의 문제는 누구의 요청이나 승인에 의해서 계정이 만들어졌는지 파악되지 않고 관리자 권한의 ID와 패스워드를 여러 명이 같이 사용하는 경우도 있는 등 계정관리가 허술하다는 점이다. 보안사고의 대부분이 임직원이나 외주인력 등 내부에서 발생하기 때문에 사용자와 단말, 앱에 대한 철저한 계정관리가 요구되고 있는 것. 이러한 계정 및 권한관리 솔루션은 다양한 국내외 업체에서 솔루션이나 플랫폼 형태로 제공하고 있다.

국내 계정관리 전문 기업 시큐어가드테크놀러지 방학재 대표는 “패스워드 관리는 서버의 지속적인 증가와 다양한 운영체제에 대한 최고권한 계정 패스워드 관리의 현실적인 어려움을 해결하기 위한 솔루션이다. 개인정보보호법, 전자금융감독규정 등의 정보보안 관련 법규를 준수하기 위해 관련 시장은 더욱 확대될 것으로 보인다”고 말했다.

이어서 그는 “최고권한 계정의 패스워드는 유출시 막대한 손실과 심각한 장애를 유발할 수 있다. 이에 패스워드 통합관리를 통해 최고권한 계정의 패스워드를 주기적·일괄적으로 변경·관리하고 워크플로우를 통해 권한이 부여된 사용자에게 패스워드를 자동으로 생성·발급하는 통합 패스워드 관리 솔루션을 통해 계정관리 및 패스워드 보안을 강화할 수 있다”고 말했다.

시큐어가드테크놀러지의 패스워드 관리 솔루션 APPM은 다른 패스워드 관리 솔루션들이 간과하고 있는 대상 시스템 접근을 위한 접속 계정의 비밀번호를 관리 서버 내부에 저장하며, 비밀번호 발급을 위해 내부 데이터베이스에 대상 서버 계정의 패스워드 기록 등에 대해 비밀번호를 남기지 않는 일방향 암호화를 적용함으로써 패스워드 보안이 보다 철저하다. 특히, APPM은 최고권한 계정의 패스워드를 주기적·일괄적으로 변경·관리하고 워크플로우를 통해 권한이 부여된 사용자에게 승인관리를 거쳐 패스워드를 자동으로 생성·발급하는 것은 무론 사용 후 재사용이 불가능하도록 발급된 패스워드를 자동 회수하는 기능까지 제공한다.

또한, 글로벌 업체인 델 소프트웨어의 TPAM은 내부보안 강화의 핵심인 최고권한 계정 패스워드의 안전한 보존과 효율적인 관리를 자동화한 솔루션이다. 특히, 사용자에게 비밀번호를 자동으로 발급해주고 해당 기간 동안 제공받은 비밀번호로 여러 번 접속할 수 있도록 한다. 이를 통해 권한 있는 사용자가 업무상 필요한 정보에 대한 원활한 관리와 활용을 보장하면서도 불필요한 정보의 접근 및 변경 유출 의도를 차단할 수 있다. 이와 함께 TPAM은 사용자의 접속 여부와 상관없이 비밀번호가 주기적으로 변경되며, 사용자는 비밀번호 없이 OTP와 연동이 가능하다.

이와 함께 최근 온프레미스·클라우드·하이브리드 IT 환경을 보호하는 권한계정관리 솔루션 기업 엑시디움(Xceedium)을 인수한 한국CA의 강하라 이사는 “내부정보 유출방지를 위해서는 내부자에 대한 인식이 근본적으로 바뀌어야 한다. 지금까지 내부보안을 강조해 왔지만 실상은 우리 사람들은 믿을 수 있다는 전체가 은연중에 깔려 있었다”면서 “하지만 최근 일어난 모든 보안사고는 이런 전제를 완전히 깨뜨리고 있다. 결국 철저한 계정 및 역할 관리에 기초한 접근제어가 정책 및 프로세스에 시스템적으로 구현되어 사용자들이 해당 틀 안에서 IT 시스템을 사용해야 한다”고 말했다.

엑시디움은 권한계정관리 분야에서 4개의 특허를 보유하고 있는 기업으로, CA는 이번 인수를 통해 기존 소프트웨어형 PIM(Privileged Identity Manager: 특권 계정 관리) 제품을 보완하는 새로운 ‘엑스스위트’ 제품군을 선보이게 됐다. 이를 통해 권한을 가진 계정의 인증정보를 보호하고, 역할기반 접근제어를 실행할 수 있다. 특히, 권한을 가진 사용자 세션을 감시·기록하는 기능가 함께 중앙집중식 인증 지점을 지원함으로써 일원화된 계정권한관리 정책을 적용할 수 있다.

기존 CA의 IAM(Identity Access Management)은 고유한 비즈니스 역할과 프로세스를 고려해 계정 정보를 체계화하고, 확장 및 구성 가능한 계정관리 기반을 제공해 IT 조직의 운영 효율성을 높여준다. 또한, 사용자의 업무 시작 및 종료 과정을 간소화하고 기업이 액세스 요청을 관리할 수 있도록 하며, 계정 규정 준수 프로세스를 자동화한다. 특히, 사용자의 전체 수명 주기에 맞게 계정 생성, 변경, 제거 및 접근 권한을 부여하고 계정과 권한 정보에 대한 통합 및 통제 기능을 제공하게 된다.

또한, DB 전문기업 오라클의 계정관리 솔루션 ‘오라클 아이덴티티 매니지먼트(Oracle Identity Management)’는 △모바일 시큐리티 스위트(Mobile Security Suite) △클라우드 접근 포털 △모바일 인증기(Mobile Authenticator) △오쓰(OAuth) 지원 확장 △콘텐츠 관리 보안 △거버넌스 향상 △성능 향상 △향상된 라이프사이클 관리 등의 다양한 기능을 제공한다.

오라클 계정관리 솔루션은 개인용 모바일 디바이스(BYOD) 상에서 실행되는 업무용 앱과 데이터를 안전하게 보호할 수 있으며 기업의 아이덴티티 서비스(사기 탐지, 사용자 등록, 접근 요청, 셀프서비스 암호관리 및 인증관리 등)를 다양한 채널을 통해 사용할 수 있도록 해 기업 외부에서도 기업 내부와 동일한 일관된 업무환경을 직원들에게 제공할 수 있다.

올해 전 세계 계정 및 접근권한 관리 시장 1위 기업으로 선정된 IBM은 폭넓은 통합 IAM 솔루션을 제공하고 있다. 특히 웹, 모바일 서비스에 이르는 포괄적인 통합 접근 관리, 모바일 일회용 패스워드(One Time Password, OTP) 기반의 인증 강화, 전사 통합 단일 인증(Single Sign-On)과 권한관리, 계정 및 데이터 동기화, 디렉토리 서비스, 역할 분석 및 마이닝을 통한 아이덴티티 거버넌스, 계정 및 권한 감사 등을 비롯해 보안정책 관리영역에서의 다양한 비즈니스를 운영 중이다.

▲ 국·내외 주요 권한·계정관리 솔루션 업체와 솔루션(업체명 가나다순).


한편, 국내에서 가장 높은 IAM 솔루션 시장 점유율을 기록하고 있는 넷츠는 계정접근 관리 솔루션 ‘IAM(Identity&Access Management)’과 ‘SSO(Single Sign On)’, 그리고 시스템계정 관리 솔루션인 ‘IM(Identity Manager)’ 등을 서비스하고 있다. 이들 모두는 기업에 가장 중요한 계정관리를 통제하는 솔루션으로, 애플리케이션과 인프라를 통합한 계정과 접근권한 관리를 자동화하고 관리의 복잡성 없이 계정 및 권한 관리가 가능하도록 유연성을 갖췄다. 이 외에도 이니텍, 소프트포럼, EMC 등에서도 다양한 계정 및 권한관리 솔루션을 제공하고 있다.

최근 관리자 권한이나 계정을 획득해 정보를 빼내거나 해킹을 감행하는 보안위협이 증가하고 있는 만큼 체계적인 시스템 및 애플리케이션 계정·권한 관리가 더욱 중요해지고 있다. 이렇듯 사용자와 관리자 중심으로 시스템 자원의 이용 권한을 적절하게 배치하고 관리하기 위한 계정·권한 관리 솔루션은 기업 업무의 효율성을 높이면서도 강력한 내부통제 역할을 할 수 있다는 점에서 매우 효과적이다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)