2018.01.08

500개 앱 비번이 모두 '같다'··· 암호 관리가 필요한 이유

Maria Korolov | CSO

암호 관리 툴은 소비자를 위한 무료나 저가 앱으로 시작했다. 웹사이트 및 애플리케이션의 암호와 로그인 정보를 추적해 줌으로써 사용자 계정에 길고 추측하기 어려운 고유한 암호를 만들어 관리하는 것이 가능해졌다. 대부분의 암호 관리는 암호 목록을 사용자만 알고 있는 마스터 암호 하나로 암호화하는 방식을 사용한다. 따라서 암호 관리 회사 직원들이나 해커들도 암호 목록 내용을 알 수 없다.



주요 암호 관리 툴이라면 모바일 앱도 제공하므로 사용자는 어느 기기에서나 쉽게 자신의 계정에 로그인할 수 있다. 보안 강화를 위한 다단계 인증도 지원된다.

기업 싱글사인온(SSO) 및 클라우드 접속 솔루션의 허점
반면, 기업은 대체로 내부 암호 관리에 자체 시스템을 이용한다. 직원의 온라인 서비스 접속 관리에는 싱글사인온(SSO) 업체들과 클라우드 접속 보안 중개업체를 활용한다. 그래도 많은 기업은 핵심 접속 시스템을 보완하기 위해 암호 관리를 사용한다.

그런데 기업용 솔루션의 보안 문제점 중 하나는 직원들이 업무에 사용하는 계정을 모두 다 보호하지는 못한다는 점이다. 쿠델스키 시큐리티(Kudelski Security)의 CIO 앤드류 하워드는 “SSO가 계속해서 확대되고 있지만 아직 어디에나 있는 것은 아니다”고 지적했다.

따라서 기업은 지원되지 않는 시스템의 모든 암호 관리는 사용자에게 맡긴다. 관리 담당 직원과 같은 중요한 직원들은 다른 많은 시스템에 여러 개의 계정을 보유할 수 있다. 하워드는 “고객 중에서 관리자가 500~600개의 인증 정보를 가진 경우를 흔하게 본다. 최악의 상황은 600개의 애플리케이션의 암호가 모두 같은 것이다. 만일 그 한 개의 암호가 유출되면 600개 시스템 전체가 위험해진다”고 경고했다.

오범(Ovum)의 설문조사에 따르면 56%의 기업에 SSO 자체가 없으며 22%는 SSO가 일부 기업 시스템에만 적용되는 것으로 나타났다. 규모가 작은 회사들은 전면적인 SSO 시스템을 구축할 자원이 없는 경우가 많다.

뉴욕에 있는 소규모 광고 회사 인텐트 미디어(Intent Media)의 경우 구글과 깃허브(GitHub)의 인증 서비스를 사용하지만 기업 SSO 시스템은 구축되어 있지 않다고 이 회사의 엔지니어링 부사장 롭 파크는 밝혔다. 그 대신 원패스워드(1Password) 플랫폼을 이용해 직원들의 개인용 및 업무용 암호 관리를 돕고 있다. “암호 관리는 앱 및 기기의 가용성은 물론이고 유연성 덕분에 모든 상황에서 활용할 수 있다”고 전제한 파크는 “우리에게 중요한 것은 활용 범위”라고 설명했다.

회사에 SSO 시스템이 구축되어 있다 하더라도 개인 계정에는 적용되지 않는다. 사람들은 기억하기 쉽도록 같은 암호를 반복해서 사용하는 경향이 있기 때문에 회사 계정에도 다른 웹사이트 로그인 정보를 그대로 쓰는 경우가 많다.

직원들은 드롭박스(Dropbox)나 에버노트(Evernote)와 같은 서비스에 개인 계정을 만든 후 업무에 사용하기도 한다. 오범 설문조사를 후원한 라스트패스(LastPass)의 제품 마케팅 책임자 레이첼 스톡튼은 “최근에 했던 설문 조사 결과 직원들이 직장에서 사용하는 상위 36개 도메인 중에 최소한 50%가 널리 사용되는 개인용 솔루션”이라고 밝혔다.

“기업에서 사용되는 가장 인기 있는 웹사이트와 서비스를 살펴보면 절반 가량이 SSO에 대한 즉각적인 지원이 없고 SAML 기반이 아니라는 것도 알게 되었다”고 스톡튼은 설명했다. 이어서 “링크드인, 페이팔, 아메리칸 익스프레스(American Express), 박스(Box), 메일침프(Mailchimp) 등이 그 예이다. 따라서 50% 정도의 창문이 열린 채 통제되지 않고 있다”고 덧붙였다. 또한, 오범 설문 조사에 따르면, 23%의 직원들이 개인 SNS 로그인 정보를 이용해 업무용 시스템 및 애플리케이션에 로그인하고 있는 것으로 나타났다.

그렇다면 사람들은 어떤 식으로 암호를 관리할까? 일반 텍스트 파일에 저장하는 경우가 너무 많다. 기업 SSO 및 ID 관리 제품은 물론 암호 관리를 제공하는 업체인 원 아이덴티티(One Identity LLC)의 제품 관리 부사장 잭슨 쇼는 “소니 해킹 사례를 보면 파일명이 ‘password.doc’인 파일만 노린 것을 알 수 있다”고 밝혔다. 쇼에 따르면, 이들은 암호가 포함된 3,000개 정도의 파일을 발견했으며, 이제는 넘쳐나는 암호를 감당하지 못하고 지경에 이르렀다.

원 아이덴티티가 11월에 발표한 디멘셔널 리서치(Dimensional Research)의 전세계 IT 보안 전문가 대상 설문조사 결과에 따르면, 54%의 기업이 관리 계정 등 중요 계정에 대한 암호 보관소가 있지만 36%는 스프레드시트에, 18%는 종이에 암호를 보관하고 있는 것으로 나타났다. 일반 사용자의 경우 암호 보관소가 있는 회사는 42%에 불과했다. 리버만 소프트웨어(Lieberman Software Corp.) 대표 필립 리버만은 “편리함과 근본적인 보안을 위해 중앙 집중화된 암호 관리가 필요해졌다”고 말했다.
 




2018.01.08

500개 앱 비번이 모두 '같다'··· 암호 관리가 필요한 이유

Maria Korolov | CSO

암호 관리 툴은 소비자를 위한 무료나 저가 앱으로 시작했다. 웹사이트 및 애플리케이션의 암호와 로그인 정보를 추적해 줌으로써 사용자 계정에 길고 추측하기 어려운 고유한 암호를 만들어 관리하는 것이 가능해졌다. 대부분의 암호 관리는 암호 목록을 사용자만 알고 있는 마스터 암호 하나로 암호화하는 방식을 사용한다. 따라서 암호 관리 회사 직원들이나 해커들도 암호 목록 내용을 알 수 없다.



주요 암호 관리 툴이라면 모바일 앱도 제공하므로 사용자는 어느 기기에서나 쉽게 자신의 계정에 로그인할 수 있다. 보안 강화를 위한 다단계 인증도 지원된다.

기업 싱글사인온(SSO) 및 클라우드 접속 솔루션의 허점
반면, 기업은 대체로 내부 암호 관리에 자체 시스템을 이용한다. 직원의 온라인 서비스 접속 관리에는 싱글사인온(SSO) 업체들과 클라우드 접속 보안 중개업체를 활용한다. 그래도 많은 기업은 핵심 접속 시스템을 보완하기 위해 암호 관리를 사용한다.

그런데 기업용 솔루션의 보안 문제점 중 하나는 직원들이 업무에 사용하는 계정을 모두 다 보호하지는 못한다는 점이다. 쿠델스키 시큐리티(Kudelski Security)의 CIO 앤드류 하워드는 “SSO가 계속해서 확대되고 있지만 아직 어디에나 있는 것은 아니다”고 지적했다.

따라서 기업은 지원되지 않는 시스템의 모든 암호 관리는 사용자에게 맡긴다. 관리 담당 직원과 같은 중요한 직원들은 다른 많은 시스템에 여러 개의 계정을 보유할 수 있다. 하워드는 “고객 중에서 관리자가 500~600개의 인증 정보를 가진 경우를 흔하게 본다. 최악의 상황은 600개의 애플리케이션의 암호가 모두 같은 것이다. 만일 그 한 개의 암호가 유출되면 600개 시스템 전체가 위험해진다”고 경고했다.

오범(Ovum)의 설문조사에 따르면 56%의 기업에 SSO 자체가 없으며 22%는 SSO가 일부 기업 시스템에만 적용되는 것으로 나타났다. 규모가 작은 회사들은 전면적인 SSO 시스템을 구축할 자원이 없는 경우가 많다.

뉴욕에 있는 소규모 광고 회사 인텐트 미디어(Intent Media)의 경우 구글과 깃허브(GitHub)의 인증 서비스를 사용하지만 기업 SSO 시스템은 구축되어 있지 않다고 이 회사의 엔지니어링 부사장 롭 파크는 밝혔다. 그 대신 원패스워드(1Password) 플랫폼을 이용해 직원들의 개인용 및 업무용 암호 관리를 돕고 있다. “암호 관리는 앱 및 기기의 가용성은 물론이고 유연성 덕분에 모든 상황에서 활용할 수 있다”고 전제한 파크는 “우리에게 중요한 것은 활용 범위”라고 설명했다.

회사에 SSO 시스템이 구축되어 있다 하더라도 개인 계정에는 적용되지 않는다. 사람들은 기억하기 쉽도록 같은 암호를 반복해서 사용하는 경향이 있기 때문에 회사 계정에도 다른 웹사이트 로그인 정보를 그대로 쓰는 경우가 많다.

직원들은 드롭박스(Dropbox)나 에버노트(Evernote)와 같은 서비스에 개인 계정을 만든 후 업무에 사용하기도 한다. 오범 설문조사를 후원한 라스트패스(LastPass)의 제품 마케팅 책임자 레이첼 스톡튼은 “최근에 했던 설문 조사 결과 직원들이 직장에서 사용하는 상위 36개 도메인 중에 최소한 50%가 널리 사용되는 개인용 솔루션”이라고 밝혔다.

“기업에서 사용되는 가장 인기 있는 웹사이트와 서비스를 살펴보면 절반 가량이 SSO에 대한 즉각적인 지원이 없고 SAML 기반이 아니라는 것도 알게 되었다”고 스톡튼은 설명했다. 이어서 “링크드인, 페이팔, 아메리칸 익스프레스(American Express), 박스(Box), 메일침프(Mailchimp) 등이 그 예이다. 따라서 50% 정도의 창문이 열린 채 통제되지 않고 있다”고 덧붙였다. 또한, 오범 설문 조사에 따르면, 23%의 직원들이 개인 SNS 로그인 정보를 이용해 업무용 시스템 및 애플리케이션에 로그인하고 있는 것으로 나타났다.

그렇다면 사람들은 어떤 식으로 암호를 관리할까? 일반 텍스트 파일에 저장하는 경우가 너무 많다. 기업 SSO 및 ID 관리 제품은 물론 암호 관리를 제공하는 업체인 원 아이덴티티(One Identity LLC)의 제품 관리 부사장 잭슨 쇼는 “소니 해킹 사례를 보면 파일명이 ‘password.doc’인 파일만 노린 것을 알 수 있다”고 밝혔다. 쇼에 따르면, 이들은 암호가 포함된 3,000개 정도의 파일을 발견했으며, 이제는 넘쳐나는 암호를 감당하지 못하고 지경에 이르렀다.

원 아이덴티티가 11월에 발표한 디멘셔널 리서치(Dimensional Research)의 전세계 IT 보안 전문가 대상 설문조사 결과에 따르면, 54%의 기업이 관리 계정 등 중요 계정에 대한 암호 보관소가 있지만 36%는 스프레드시트에, 18%는 종이에 암호를 보관하고 있는 것으로 나타났다. 일반 사용자의 경우 암호 보관소가 있는 회사는 42%에 불과했다. 리버만 소프트웨어(Lieberman Software Corp.) 대표 필립 리버만은 “편리함과 근본적인 보안을 위해 중앙 집중화된 암호 관리가 필요해졌다”고 말했다.
 


X