기업 내부 보안의 출발점 `계정 관리`

　오늘날의 인터넷 환경은 언제 어디서든 비즈니스 시스템에 접근이 용이하기 때문에 기업에서는 데이터와 서비스를 보호하기 위해 정책 기반의 철저한 보안을 제공하는 것을 필수적으로 검토하게 된다. 지난해 모 인터넷 쇼핑몰과 대기업의 고객 개인 정보 유출 사건을 겪으면서 보안은 다시 한 번 큰 화두가 되었다. 지난해 12월 보다 강화된 개인정보보호법의 시행으로 이는 더 이상 안일하게 방치할 수 없는 고민거리가 되었다.

　그러나 아직도 기업 내 비즈니스 시스템의 보안 수준은 과거와 크게 달라진 게 없다. 방화벽, 데이터 암호화, 제한적 접근제어, 감사 등 단편적인 실행 방안에만 머물고 있다. 따라서 보안 중요성에 대한 인지 자체가 더욱 중시되어야 한다. 또 보안에 대한 인지만으로 보안과 관련된 다양한 문제를 해결할 수 없으므로, 예방 측면에서 기업을 위한 보안 정책을 만들고 이에 맞는 시스템을 구축하는 일이 그 어느 때보다 시급해졌다.

　그동안 기업에서는 외부로부터의 보안 위협을 방지하기 위한 네트워크 보안 위주의 투자가 우선시됐다. 기업 내부의 임직원을 위한 내부자 보안 측면에서는 체계적으로 구현할 수 있는 수단이나 명확한 대안을 만들지 못했던 것이 현실이다. 그러나 임직원, 고객, 파트너가 필요한 자원에 쉽게 접속할 수 있도록 하기 위해서는 사용자들의 계정이 필요하며, 그 계정에 대한 체계적이고 엄격한 관리가 필수다.

　계정을 제대로 관리하지 않을 경우, 자신의 업무와 관련이 없는 애플리케이션과 자원에 접속할 수 있기 때문에 고객과 파트너의 정보를 보호하기 힘들어지며, 그밖에 다른 여러 가지 보안 문제가 파생될 수 있다. 사용자 계정에 대한 관리가 바로 보안의 출발점이라고 할 수 있다.

　일반적으로 계정 관리는 크게 애플리케이션 계정 관리와 시스템 계정 관리로 나눌 수 있다.

　애플리케이션 계정 관리는 애플리케이션을 사용하는 일반 사용자가 대상이며, 시스템 계정 관리는 운용체계(OS) 시스템을 텔넷, ftp, 터미널, 콘솔 등을 거쳐 직접 접속하는 운영자와 개발자 등이 대상이 된다.

　비즈니스 시스템은 일반적으로 유닉스·리눅스·윈도 시스템 등으로 구성되는데, 대부분의 회사가 각 시스템의 계정을 개별적으로 관리·운영하고 있다. 이로 인해 시스템에 대한 권한 할당이나 계정 발급에서 통합적인 관리 체계가 미비하기만 하다.

　특히 운영자 부주의로 시스템 장애가 발생했을 때 사후에 추적할 수 있는 방안을 마련하지 못하고 있으며, 퇴사한 사용자의 계정이 시스템에 계속 남아 있어 타인이 악의적인 목적으로 사용할 가능성을 내포하고 있다.

　또 시스템 담당자들이 관리 편의를 위하여 하나의 관리 계정을 공용으로 사용하기도 하는데, 이렇게 여러 사용자가 공유해 사용하는 관리 계정은 개별적으로 세부적인 권한을 관리하기가 매우 어렵다. 계정의 생성·변경·삭제 및 시스템 접근이력 등의 데이터를 체계적으로 관리하지 않아 사용자의 시스템 사용 현황을 확인하거나 추적하기도 쉽지 않다.

　따라서 시스템에 대해 1인 1계정, 공유 계정의 사용금지, 시스템 접근 이력 관리 등으로 계정을 명확히 관리할 필요성이 매우 높은 편이다. 이때 중요한 것은 시스템이 아니라 사람을 중심으로 하는 통합된 계정 관리가 필요하다는 것이다.

　기존에는 시스템이나 애플리케이션의 관점에서 이를 사용하는 사람을 통제하거나 관리하려는 경향이 강했지만, 이제는 사용자가 업무를 가장 효율적으로 수행할 수 있도록 사용자 중심으로 IT 자원의 이용 권한을 적절하게 배치하는 데 초점을 두어야 하다.

　이에 따라 표준화된 관리와 모니터링 환경을 갖추되, 그 구현의 초점은 사용자들이 회사 업무의 목적에 맞게 정확한 접근 권한을 갖고 있는지, 적절한 대상에 적절하게 접근하는지, 퇴사한 직원이 제대로 관리되는지 등을 기준으로 삼아 관리하는 것이 필요하다.

　결국 보안의 시작이라 할 수 있는 계정 관리는 △시스템에 대한 계정 관리 및 감사가 필요하며 △시스템 계정 관리를 통해 분산돼 있는 시스템의 계정 저장소를 중앙으로 통합해 관리 포인트를 단일화하고 △발급 현황을 관리하는 것이 필요하다.

　과거 계정 관리 프로젝트를 진행한 사례를 보면 기업들은 계정 관리를 보안의 한 영역으로만 치부하고 관련 담당자 선에서 도입을 추진하는 경우가 많았다. 그러나 계정 관리 체계를 성공적으로 도입하기 위해서는 계정 관리에 대한 명확한 개념 인식과 분명한 도입 목적을 마련하고, 그 구현을 위한 실질적인 추진 및 관리 주체를 만드는 방법적인 보완이 필요하다.

　이제는 계정 관리가 내부 보안의 핵심임을 인지해 보안 사고의 70% 이상을 차지하는 내부자 보안 문제를 어떻게 해결할지 CIO 차원에서 대안을 마련해야 할 것이다.

　 Richard.Moseley@quest.com