엔터프라이즈 계정관리에 대하여

One-Time 패스워드 자동으로 생성

인사시스템과 자동으로 연결해 퇴사자 및 변경사항 관리

최근에 일어난 인터파크 개인정보 유출 보안 사고를 보면, 해커가 DB서버에 잠입해 고객정보 천만 여건을 탈취한 경우였다. 기업의 서버 패스워드 및 계정관리는 매우 중요하다. 침입자가 내부 핵심자산을 훔치겠다는 목표를 이루기 위해선 반드시 접근하고야 마는 지점이기 때문이다. 과연 엔터프라이즈들은 어떻게 계정을 관리하고 있는지에 대해 알아봤다.

결론적으로 보면 기업 데이터센터는 서버를 적게는 수천 대 많게는 수 십 만대를 보유하고 있기 때문에 대부분 계정관리 솔루션을 통해 비밀번호 문제를 해결하고 있었다. 일일이 정기적으로 패스워드를 변경하고 패스워드 룰을 변경하기란 현실적으로 어려운 일이기 때문이다. 또한 국내 글로벌 기업이나 매출 규모가 상대적으로 작은 기업은 대부분 아웃소싱으로 계정을 관리하고 있다.


계정관리, 무엇을 가졌는지부터 확인해야

C그룹의 CIO는 서버 2500대, 30만개의 계정수를 관리한다고 전했다. 그는 “관리는 내가 무엇을 가지고 있는지에 대한 파악부터가 시작이다”고 강조했다. 먼저 지켜야할 최고의 데이터와 시스템이 무엇인지, 그 우선순위를 정해야 한다는 의미이다.
C그룹은 패스워드 일괄변경이 가능한 계정관리 시스템을 도입했다. 모CIO는 “퇴사자, 파트너, 협력회사의 엔지니어 패스워드 관리가 문제였다. 퇴사자 계정을 확인하고 각 직원정보와 현장 직원정보가 일치하는지 확인하는 데에 1년여가 걸렸다. 팀별계정, 개인계정 등을 모두 확인하며 구축하는 데에 가장 많은 시간이 소요됐다”고 말했다.

그는 “이를 해결하기 위해 1회용 패스워드 지급하는 방식을 도입해 효과를 봤다. 이에 따라 각 서버와 계정별 패스워드, 협력사 패스워드 관리방식을 개선하면서 보안정책을 강화했다”고 전했다.

계정 보안문제 90%는 서드파티

A전자 B보안담당자 역시 보안문제의 90%는 서드파티에서 발생한다고 말했다. 이유는 서드파티가 매우 자주 바뀌기 때문이다. B보안담당자는 “서드파티가 임의로 계정관리를 관리하게 두어선 안 되고 관리하는 전담자가 필요하다. 퇴사한 후에 관리되는 자동화 시스템으로 운영되어야 한다”고 말했다.
그는 보안은 편리해야 한다고 강조했다. 그 의미는 예외가 없는 보안이어야 함을 뜻한 것으로, 임원들을 예외사항으로 두거나 전산실 관리자가 구멍이 되기 쉽기 때문에 더 주위가 필요하다는 것을 강조한 것이다. A전자는 접근권한을 One-Time 패스워드를 자동으로 생성하고 불출하는 시스템을 사용하면서 해결하고 있었다.
신청과 승인 경로를 통해 권한이 부여된 사용자에게만 일회성 패스워드를 사용하게 하면서 계정관리 리스크가 줄었다고 했다.
 

인사시스템 연동으로 계정관리 자동 업데이트

C통신사는 서버 13000대를 보유하고 있었다. 계정관리 및 DB접근제어 솔루션을 도입하고 있었다. 보안담당자는 “협력사는 아예 내부 인프라에 들어올 수 없게 했다. 모든 계정은 90일 지나면 자동으로 변경 메시지가 뜨게끔 했다. 모든 승인은 팀장이 하도록 조치했다”고 했다. C통신사는 인사시스템과 계정관리 시스템이 자동으로 연동하도록 했다. 따라서 퇴사자 및 부서를 이동하는 경우, 업무가 바뀌는 경우도 자동으로 업데이트 된다.
보안담당자는 “예외사항을 무조건 무시할 수 없다. 예외사항에 대해선 보안팀의 판단의 매우 중요하다. C통신사는 예외사항에 대한 별도관리 시스템을 마련해 관리하고 있다”고 말했다.
 

클라우드 사용시, CIO역할 IT와 비지니스 연결로 변화

필립스는 본사의 방향대로 대부분의 IT운용을 클라우드를 통해 해결하고 있었다. 모든 계정관리 역시 아웃소싱으로 해결하고 있었다. 김경석 상무(CIO)는 “운용비용의 절감, 안정성을 고려한 결정”이라고 설명하며 “향후 국내 기업들도 클라우드로 이동할 경우 CIO의 역할은 보다 진화될 것으로 예상한다”고 했다.

김경석 상무는 보안 분야도 아웃소싱으로 이뤄지고 있기 때문에 필립스의 큰 보안이슈는 없다고 설명했다. 그 결과 IT리소스를 많이 가져갈 필요가 없어져 장비 비용은 없고 운용비용만 들뿐이라고 부연적으로 설명했다. 이 경우 문제가 발생하면 AS속도가 문제가 되는 경우가 있을 수 있다. 경우에 따라 업무에 즉각적인 영향을 받을 수도 있기 때문이다.

김 상무에게 대부분의 IT를 클라우드로 지원받으면서 CIO역할은 어떻게 바뀌었는지 질문했다. 그는 “종전 CIO의 역할에서, IT와 프로젝트(비지니스)의 연결로 진화했다”라고 답했다.
“운영비용이 늘고 있는 현실에서 각 국가에서 책임져야할 IT의 역할은 줄고 있으나 반면 영업 프로젝트별 IT와의 접목을 담당하는 역할로 발전했다. 이에 CIO는 더욱 마켓의 트랜드를 읽고 대응하는 실력을 갖춰야 한다”고 강조했다.
필립스의 경우와 마찬가지로 연매출 2조원대의 식료품 분야 B엔터프라이즈도 역시 아웃소싱으로 계정관리를 관리하고 있었다. 보안담당자는 문제점이 발생하지 않도록 지속적으로 감시 및 관리하는 것이 관건이라고 설명했다.

서드파티 보안 관리, 수시 점검 중요

엔터프라이즈 계정관리의 공통이슈는 서드파티 패스워드 관리였다. 해커들이 협력업체를 통해서 잠입하는 보안현실이기 때문이다.
회사의 규모가 크면 클수록 서드파티의 수도 많다. 그러나 수많은 서드파티들을 열정적으로 관리하는 건 현실적으로 불가능하다. 드는 비용도 만만치 않기 때문이다.
A전자의 보안담당자는 “기업은 피드백 그룹을 만들어 서드파티의 보안 상태를 수시로 점검하는 등의 노력이 더욱 필요하다고 본다. 서드파티의 네트워크에서 비정상적인 트래픽이 감지되었을 때 접근 권한을 낮추거나 차단하는 속도가 빨라야 하기 때문”이라고 말했다.
 

DB보안, 심층적 보안 체계 필요

최근 삼성전자의 정보유출자는 고위임원이었다. 유출사고는 대부분 내부 사용자 또는 내부 관리자에 의한 것들이 많다. 계정관리의 중요성에 대해 경각심을 가져야할 때이다.
패스워드를 소홀히 할 경우 지금까지 일궈온 기업의 중요자산들이 경쟁사의 손아귀에 들어갈 수 있기 때문이다. 사용자 별로 업무에 맞는 계정만 발급하고, 부서 이동 및 퇴사 시에 바로 대응할 수 있는 적합한 계정관리 프로세스를 확립하는 것이 중요하다.