실시간
뉴스

기획

[미리보는 NES2017] 기업보안 첫 걸음, 계정·권한 관리

[디지털데일리 최민지기자] 기업의 보안 정책을 집행하는 과정에서 우선적으로 고려해야 할 부분으로 계정·권한 관리를 꼽을 수 있다.

기업들은 내·외부로부터 다양한 위협에 노출돼 있다. 해킹 등 외부로부터 침입하는 사이버 위협에 주로 신경을 쓰게 마련이다. 하지만 실제로 더 큰 위협은 내부에서 존재한다.

포스포인트에 따르면 해킹으로 인한 보안사고는 전체의 9.7%에 불과했다. 고의적이든, 악의가 없는 실수든, 내부에서 발생하는 보안 위협은 증가하는 추세다.

이 때문에 내부자에 대한 계정 접근관리 솔루션을 사전에 구축해야 한다는 움직임이 나타나고 있다. 기업의 데이터를 지키기 위해 더 이상 경계선 방어에만 집중할 수 없다. 기업의 IT 환경도 클라우드로 확장되고 있다. 결국 내부 단속부터 실시해야 하는 상황이다.

이에 기업들은 계정과 접근권한에 대한 보안정책을 수립하고 이상행위 등을 탐지해 제어하는 방안을 강구하고 있다.

기본적으로는 식별된 사용자만 권한을 가진 IT 자원에 접근할 수 있도록 통제하는 것이다. 이 때 임직원은 각자의 직무에 따라 부여된 권한 내에서 허용된 범위만큼만 접근해 업무를 수행할 수 있게 된다. 예를 들어, 구매팀 직원이 인사팀에서 관할하는 신입사원 데이터에 접근할 수 없도록 하는 것이다.

또한, 퇴사자나 인사이동 때 계정을 제대로 변경하지 않아 발생하는 보안사고도 종종 발생하고 있다. 허술한 계정관리는 사이버보안의 구멍을 만들고 있다.

해커들은 데이터베이스 서버 제어권을 탈취하기 위해 해당 직원을 눈여겨보고 있다. 실제로, 국내 온라인 쇼핑몰 해킹사건 때 공격자는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용한 바 있다.

이러한 위협으로부터 방어하기 위해 IBM, CA테크놀로지, 오라클 등은 계정 및 접근관리 솔루션(IAM)을 내놓고 있다. 이들은 통합적인 IAM 솔루션을 제공하며 기업의 보안정책 관리를 용이하게 해 비즈니스의 효율성을 돕고 있다.

이 중에서도 IBM은 지난 2015년 ‘프로스트 앤 설리번 베스트 프랙티스 어워드’에서 전세계 IAM 시장점유율 1위를 인정받은 바 있다. 앞서, 2014년 클라우드 기반 IAM 서비스 업체인 ‘라이트하우스’를 인수하며 클라우드와 모바일 시대에서의 IAM 서비스 준비를 진행했었다.

이제 IBM은 계정 권한 관리를 고도화해야 한다고 강조했다. 현재 수준의 진단에서는 ▲불필요 권한 유지 ▲퇴사 때 적시에 삭제되지 않거나 누락 ▲예외 관리 미흡 등의 문제점이 나타나고 있고, 많은 부분을 수작업에 의존하고 있다는 것이다.

이를 해결하려면 먼저 계정 및 권한 관리 프로세스를 정리해야 한다. 불필요한 프로세스가 존재하는지, 근거와 증적이 있는지 등을 살펴봐야 한다.

또한, 기업 내에서 비즈니스 중심으로 소통의 방식이 필요하다. 보안팀과 ▲최고경영자(CEO), 최고재무책임자(CFO), 정보보호최고책임자(CISO) ▲애플리케이션 관리자 ▲감사팀 ▲비즈니스 관리자 간 적절한 접근권한에 대한 소통이 중요하다.

IDP(Identity Provider)를 구축하고, 생체인식 기반의 인증 강화를 모색할 수도 있다. 머신러닝을 통한 사용자 이상행위 분석도 필요하다.

사용자가 클라우드 서버 또는 개인 계정에 접속해 민감한 데이터를 업로드하고, 높은 중요도의 자산에 접근하는 빈도가 증가하는 것을 확인할 수 있어야 한다. 사용자 행위가 비교적 짧은 시간에 평상시와 차이가 많거나 시간이 지남에 따라 점차적으로 달라지는 것도 포착해야 한다.

이 외에도 계정 권한이 변경되고 로그인의 반복적인 실패, 접근하는 자산 수가 급격히 늘어나는 등 사용자 이상행위에 대한 다양한 시나리오에 맞춘 대응방안이 요구된다. 이러한 부분은 IAM 솔루션을 통해 통합적으로 해결 가능하다는 설명이다.

<최민지 기자>cmj@ddaily.co.kr

[안내] 최고 수준의 정보보호(보안) 컨퍼런스 ‘NES 2017’에 여러분을 초대합니다.

<디지털데일리>는 국내외 최고 보안전문가들과 함께 오는 4월20일(목) 쉐라톤 서울 디큐브시티 호텔 그랜드볼룸에서 '차세대 엔터프라이즈 보안전략 컨퍼런스(NES 2017)를 개최합니다.

올해로 12회째를 맞은 이번 NES 행사에서는 ‘디지털라이제이션 시대의 정보보호’ ‘새로운 시대, 보안 어떻게 대응할 것인가’라는 주제로 차세대 사이버보안 전략이 제시될 예정입니다.

인공지능, 빅데이터, 사물인터넷(IoT) 환경에서의 보안 패러다임 변화와 대응 방안에 대한 논의도 활발히 이뤄질 예정입니다. 독자 여러분들의 많은 참관을 부탁드립니다.

‘NES 2017’ 안내 페이지 바로가기

디지털데일리 네이버 메인추가
x