시스템 운영자 위한 '비밀번호' 관리 가이드

[SNC2015]방학재 시큐어가드테크놀러지 대표

일반입력 :2014/11/30 13:32    수정: 2014/12/01 08:42

손경호 기자

일반 사용자는 물론 기업 및 기관들에게 비밀번호는 골칫거리다.

복잡한 비밀번호를 쓰자니 해당 기업/기관 IT관리자가 불편하고, 쉬운 비밀번호를 쓰려고 하면 보안성이 떨어질까 불안하다.

지난해 3.20 사이버테러 때 등장했던 악성코드는 FTP 파일전송용 프로그램인 파일질라3 사이트 매니저에서 관리자 접속포트, IP, 계정정보와 함께 비밀번호까지 유출되기도 했었다. 이후 정보통신망법 상 비밀번호에 대해 보다 엄격한 관리를 요구하도록 법 개정이 이뤄졌다.

27일 잠실 롯데호텔에서 개최된 '시큐리티 넥스트 컨퍼런스(SNC) 2015'에 참석한 방학재 시큐어가드테크놀러지 대표는 3.20 사이버테러 이후 모든 중요한 서버의 관리자용 비밀번호는 일회용으로 발급하는 방식으로 전환됐다며 앞으로도 체계적인 비밀번호 관리방안이 절실하다고 밝혔다.방 대표에 따르면 시큐어가드테크놀러지는 이러한 문제를 해결하기 위해 'APPM(Automated Process Policy Management for Password)'이라는 솔루션을 통해 서버, 네트워크 장비, 보안장비, DB를 포함한 주요 장비 관리자나 기타 시스템에 접근이 필요한 사람들에게 일회용 비밀번호를 발급하고 있다.

관련기사

방 대표는 따로 서버에 비밀번호가 저장되거나 주기적으로 변경해야할 필요가 없도록 했다며 관리자가 퇴사했을 때 따로 비밀번호를 변경할 필요가 없고, 유지보수인력이 작업을 할 때도 그때마다 필요한 비밀번호를 요청/승인 발급할 수 있게 했다고 말했다.

8월 개정된 정보통신망법 제15조(개인정보의 보호 조치)에 따르면 보안을 위해 사용되는 비밀번호나 생체정보를 일방향 암호화 저장해야 한다고 규정하고 있다. 비밀번호를 따로 관리용 서버에 저장하지 않도록 방침을 내리고 있는 것이다.