공지사항

"취약한 보안홀 '최고권한계정패스워드관리 APPM' 으로 보안성 확보 !!"

페이지 정보

작성일날짜 2015-04-24 조회조회 4,059

본문

http://www.datanet.co.kr/news/articleView.html?idxno=82462 

 

 %25EB%258D%25B0%25EC%259D%25B4%25ED%2584%25B0%25EB%2584%25B7%25EA%25B8%25B0%25EC%2582%25AC.jpg

 

지난해 드러난 신용카드 개인정보 유출사고는 외주직원이 최고권한계정으로 DB서버에서 고객정보를 불법으로 유출한 것으로, 이 사고 이후 최고권한계정 관리가 금융기관을 중심으로 높은 관심사로 떠올랐다.

방학재 시큐어가드테크놀러지 대표이사는 “기업은 최고권한계정이나 공용계정의 비밀번호를 주기적으로 변경하는 방식으로 계정을 보호하지만, 실제로는 공용계정을 이용해 접속하는 사람들이 바뀐 비밀번호를 공유하는 과정에서 유출되기 쉬우며, 때로 시스템 내에 바뀐 비밀번호를 메모하는 일도 있어 사실상 비밀번호 관리가 거의 이뤄지지 않고 있다고 봐야 한다”며 “공격자는 관리가 소홀한 최고권한계정을 이용해 얼마든지 침투할 수 있다”고 설명했다.

 

비밀번호 관리 업무 획기적으로 줄어

시큐어가드테크놀로지의 ‘APPM’은 최고권한계정과 공용계정의 비밀번호를 관리하는 솔루션으로, 보안을 강화하면서 관리 편의성을 높일 수 있는 기술로 꼽힌다. 이 제품은 API를 제공하지 않는 장비에도 적용할 수 있으며, 중앙 콘솔에서 다수의 장비를 관리할 때에도 편리하게 사용될 수 있다. 비밀번호는 일방향 암호화를 적용해 유출시에도 안전하게 보호될 수 있도록 한다.

APPM이 적용된 예를 들어보면, 국내 최대 전자회사의 네트워크 장비의 관리자 계정에 적용됐다. 이 회사에는 600대의 네트워크 장비가 있으며, 각 장비마다 5개의 관리자 계정이 운영돼 총 3000개의 계정을 관리해야 했다. 이 회사는 보안을 위해 3개월마다 비밀번호를 변경해야 했는데, 3000개의 계정에 대해 일일이 비밀번호를 변경하는 것이 매우 어려운 일이었다. APPM은 매번 다른 비밀번호를 부여하기 때문에 비밀번호를 변경하지 않아도 안전하게 계정을 관리할 수 있다.

방 대표는 “기존에는 수많은 비밀번호를 엑셀 파일로 관리하는 등의 방법을 사용했는데, 많은 관리자가 접근하기 때문에 파일이 유출될 가능성을 배제할 수 없다. 또한 일부 관리자들은 자신의 단말기에 비밀번호를 저장해 보안위협을 높이기도 하다”며 “APPM은 통합 콘솔에서 수많은 장비를 관리할 수 있으며, 접근제어 시스템과 연동해 주요 시스템을 안전하게 보호할 수 있다”고 말했다.

 

앱 내 하드코딩된 PW 찾아 제거

APPM에는 애플리케이션에 하드코딩된 비밀번호를 찾아 제거하는 기능도 함께 제공한다. 서버에서 애플리케이션에 접근할 때에도 ID/PW를 이용해 적법한 권한을 기반으로 한 요청인지 확인해야 하는데, 오래 전 개발된 애플리케이션은 소스코드에 비밀번호를 내장하고 있어 비밀번호 변경이 불가능하며 유출시 불법적인 사용자가 접근할 수 있다.

APPM은 하드코딩된 비밀번호를 제거한 후 자체적으로 비밀번호를 발급해 적법한 권한을 가진 사람만 접근할 수 있도록 한다. 이 기술은 지난해 금융기관에서 도입을 시작했으며, 최근 제2금융권으로 확대됐다. 향후 공공시장과 일반 기업으로 확대될 예정이다.

방 대표는 “이 기술은 핵심적인 DB서버에도 적용돼야 하므로 장비의 안정성이 매우 중요하게 요구된다. APPM은 국내 주요 금융기관에 공급해 운영하면서 높은 안정성을 입증받았다”고 강조했다.

방 대표는 “사물인터넷 환경으로 접어들면 비밀번호 관리 요구는 더욱 높아질 것이다. 현재 많은 기업들이 이 시장에 뛰어들고 있지만, 높은 안정성과 일방향 암호화, 다양한 환경 지원 등 APPM의 장점을 따라오지 못한다”며 “후발주자들보다 1년 앞선 기술을 공급하면서 시장을 리드해가겠다”고 말했다.

최근 시큐어가드테크놀러지는 하드웨어 장비의 설정값을 백업하고 설정이 변경됐을 때 알람을 주는 ‘백업박스’를 개발했다. 이 제품과 APPM을 연동시켜 하드웨어 장비 변경이 필요할 때 안전하게 관리자 권한을 부여받아 변경하고, 불법적인 사용자에 의한 변경 시도는 관리자가 즉시 알 수 있게 한다.

방 대표는 “시큐어가드테크놀러지는 기술중심 기업으로, IT 시스템의 관리와 보안에 대한 기술을 지속적으로 개발해 업무 시스템을 보다 안전하게 운영할 수 있도록 돕겠다”며 “이를 통해 국내는 물론 해외에서도 인정받는 기업으로 성장시킬 것”이라고 말했다.  

목록보기