2016.07.26

엑셀로 관리하고 시스템 계정 간과하고... "특권 계정 관리, 기업 50% 이상이 부실"

Thor Olavsrud | CIO
최근 한 조사에서 절반 이상의 조직이 고급 계정(privileged account) 보안과 관련해 하위 등급을 받았다. 해커들은 이러한 특권 계정을 악용함으로써 네트워크 곳곳에 침투할 수 있다. 



최근 한 조사에 의하면 대부분의 기업들이 '왕국으로의 열쇠'를 안전하게 지키지 못 하고 있는 것으로 드러났다.

지난주 고급 계정 관리 전문 업체 사이코틱(Thycotic)과 보안 연구 기업 사이버시큐리티 벤처스는 2016년 고급 계정 관리 실태 보고서를 발표했다. 이번 조사는 고급 계정 비밀번호 취약점 조사에 참여한 500명 상당의 IT보안 전문가를 대상으로 실시됐다.

고급 계정 관리, 절반 이상이 부적격
해당 조사에 따르면 응답자의 약 80%가 고급 계정 관리의 우선순위를 높게 설정하고 있었고 응답자의 60%는 정부 규제에 따라 고급 계정 관리와 관련해 컴플라이언스 조치를 마련해야 하는 조직이었다. 그럼에도 불구하고 응답자 소속 기업의 52%가 고급 기밀 관리와 관련해 부적격 등급을 받았다.

사이코틱에서 EMEA 제품 마케팅 및 글로벌 전략적 협력 업무를 담당하고 있는 조셉 카슨CISSP(Certified Information Systems Security Professional)는 고급 계정 정보가 저장된 기기 및 시스템의 수가 급격하게 증가하고 있다는 점이 특히 문제라고 강조했다. 그럼에도 불구하고 고급 계정을 관리할 때 아직도 엑셀과 같은 비전문적인 방식에 의존하는 조직이 무려 66%에 달해 문제가 더 심각하다는 지적이다. 

그는 "(직원들이) 더 많은 기기를 자주 이용하게 되다 보니, 조직들은 간단한 기본 조치만 실시한다"라면서 "조직들이 네트워크 장비, 스위치, 사물인터넷 기기 등 모든 기기들을 비전문적으로 관리하고 있다. 만약 이런 관리조차 없었다면 기본값 상태로 방치됐을 것"이라고 말했다.

고급 계정에는 기계도 포함
조직은 고급 계정을 말할 때 '사용하는 직원들'로 한정하는 경향이 있다. 그러나 고급 계정에는 이들이 상호작용하는 기계나 시스템도 포함되어야 한다. 

카슨은 "고급 계정의 수가 조직이 현재 사용 중인 시스템 수의 2~5배일 때도 있다"라면서 "가령 어느 조직에 1,000개의 시스템이 있다면, 2,000~5,000개의 고급 계정을 존재하는 것이다. 그리고 사용되는 모든 시스템에는 기본 계정이 하나씩 부여된다"라고 말했다.

고급 계정은 시스템을 운영하기 위해 사용하는 다른 서비스 계정과도 연동되는 경우가 흔하다. 사용 중인 가상머신는 각각 권한을 받는데, 안타깝게도 연동된 다른 기계에 스핀다운 현상이 발생했을 때 자동으로 차단 처리되지 않는 때가 많다. 가상머신이 복제되면 이러한 권한도 복제된다. 결국 고급 계정이 쉽게 복제도록 함으로써 해커들에게 네트워크 환경에 접근할 수 있는 길을 열어주는 것이다.

이번 조사에 의하면 조직의 20%가 고급 계정에 설정된 기본 비밀번호를 한 번도 변경하지 않은 것으로 드러났다. 그 외 다른 심각성은 아래와 같다.

* 조직의 30%가 계정과 비밀번호를 직원들이 공유해도 방치
* 조직의 40%가 고급 계정에 일반 계정과 같은 보안 방식을 적용
* 조직의 70%가 새로운 고급 계정 생성 시 승인 절차를 요구하지 않음
* 조직의 50%가 고급 계정의 활동 사항을 감사하지 않음

공격자 입장에서 보면 고급 계정은 좋아할 만한 목표물이다. 이를 이용함으로써 네트워크의 전 영역에 자유롭게 접근한 수 있기 때문이다.

사이버시큐리티 벤처스의 설립자이자 CEO인 스티븐 모건은 "고급 계정을 허술하게 관리하는 분위기가 대기업과 정부 등에 전세계적으로 퍼져 있다"라고 지적하며 다음과 같이 말했다.

"고급 계정은 'IT 왕국으로 들어가는 열쇠'나 다름없으며, 이는 곧 사이버 범죄자들이나 고용된 해커들의 핵심 목표물임을 뜻한다. 기업을 상대로 벌이는 이들의 교묘한 사이버 공격이 증가하는 추세로, 이로 인해 세계 경제가 수십 조 달러의 손실을 입고 있다. 자동 고급 계정 관리 솔루션이 기업 분야에 빠르게 확산돼, 2년 후에는 채택율이 50%대에 진입할 것으로 예상한다"라고 말했다.

한편 해당 보고서는 고급 계정을 잘 관리할 수 있는 5가지 방법을 아래와 같이 소개했다.

1. 핵심 관계자 교육 : 핵심 관계자들은 고급 계정 및 접근성 관리 보안이 왜 시급하고 필수적인지 알아야 한다. 소속 조직을 다른 조직과 비교하고 싶다면 고급 비밀번호 취약점 조사를 활용하면 좋다.

2. 고급 계정 위치 확인 : 무언가를 보호하고 싶어도 어디 있는지 모르면 보호할 수가 없다. 전체 기업 네트워크 환경에서 고급 계정이 어느 위치에 있는지 확인시켜 주는, 윈도우 및 유닉스 전용 툴이 있다.

3. 고급 계정 비밀번호 자동 관리 및 보안 : 비전문적인 방식으로는 고급 계정을 철저히 관리하기가 어렵다. 사이코틱의 부사장인 스티브 칸은 기업들이 회사 규모에 관계없이 이용할 수 있는 좋은 고급 계정 관리 솔루션이 많다고 소개했다.

4. 보안 정책 수립 및 실행 : 해당 보고서는 확실한 고급 계정 접근성 전략을 원한다면 보안 정책을 수립하고 실행할 것을 권했다. 권한 범위가 넓고 권한 사항을 많이 부여 받은 계정이 지나치게 많기 때문에, 계정에 이상이 생기면 전체 IT인프라가 공격받는 상황이 발생할 수도 있다. 소프트웨어 툴로 업무를 방해하지 않으면서 접근 권한을 제한할 수 있다.

5. 네트워크 감독 가능 : 자동 고급 계정 관리 솔루션은 CISO들이 네트워크 환경을 전체적으로 잘 살펴볼 수 있게 해주며, 감사와 관련해 컴플라이언스를 세울 때도 도움을 준다. 사이코닉은 고급 계정 보안 정책 템플릿을 무료로 제공하고 있다. ciokr@idg.co.kr 



2016.07.26

엑셀로 관리하고 시스템 계정 간과하고... "특권 계정 관리, 기업 50% 이상이 부실"

Thor Olavsrud | CIO
최근 한 조사에서 절반 이상의 조직이 고급 계정(privileged account) 보안과 관련해 하위 등급을 받았다. 해커들은 이러한 특권 계정을 악용함으로써 네트워크 곳곳에 침투할 수 있다. 



최근 한 조사에 의하면 대부분의 기업들이 '왕국으로의 열쇠'를 안전하게 지키지 못 하고 있는 것으로 드러났다.

지난주 고급 계정 관리 전문 업체 사이코틱(Thycotic)과 보안 연구 기업 사이버시큐리티 벤처스는 2016년 고급 계정 관리 실태 보고서를 발표했다. 이번 조사는 고급 계정 비밀번호 취약점 조사에 참여한 500명 상당의 IT보안 전문가를 대상으로 실시됐다.

고급 계정 관리, 절반 이상이 부적격
해당 조사에 따르면 응답자의 약 80%가 고급 계정 관리의 우선순위를 높게 설정하고 있었고 응답자의 60%는 정부 규제에 따라 고급 계정 관리와 관련해 컴플라이언스 조치를 마련해야 하는 조직이었다. 그럼에도 불구하고 응답자 소속 기업의 52%가 고급 기밀 관리와 관련해 부적격 등급을 받았다.

사이코틱에서 EMEA 제품 마케팅 및 글로벌 전략적 협력 업무를 담당하고 있는 조셉 카슨CISSP(Certified Information Systems Security Professional)는 고급 계정 정보가 저장된 기기 및 시스템의 수가 급격하게 증가하고 있다는 점이 특히 문제라고 강조했다. 그럼에도 불구하고 고급 계정을 관리할 때 아직도 엑셀과 같은 비전문적인 방식에 의존하는 조직이 무려 66%에 달해 문제가 더 심각하다는 지적이다. 

그는 "(직원들이) 더 많은 기기를 자주 이용하게 되다 보니, 조직들은 간단한 기본 조치만 실시한다"라면서 "조직들이 네트워크 장비, 스위치, 사물인터넷 기기 등 모든 기기들을 비전문적으로 관리하고 있다. 만약 이런 관리조차 없었다면 기본값 상태로 방치됐을 것"이라고 말했다.

고급 계정에는 기계도 포함
조직은 고급 계정을 말할 때 '사용하는 직원들'로 한정하는 경향이 있다. 그러나 고급 계정에는 이들이 상호작용하는 기계나 시스템도 포함되어야 한다. 

카슨은 "고급 계정의 수가 조직이 현재 사용 중인 시스템 수의 2~5배일 때도 있다"라면서 "가령 어느 조직에 1,000개의 시스템이 있다면, 2,000~5,000개의 고급 계정을 존재하는 것이다. 그리고 사용되는 모든 시스템에는 기본 계정이 하나씩 부여된다"라고 말했다.

고급 계정은 시스템을 운영하기 위해 사용하는 다른 서비스 계정과도 연동되는 경우가 흔하다. 사용 중인 가상머신는 각각 권한을 받는데, 안타깝게도 연동된 다른 기계에 스핀다운 현상이 발생했을 때 자동으로 차단 처리되지 않는 때가 많다. 가상머신이 복제되면 이러한 권한도 복제된다. 결국 고급 계정이 쉽게 복제도록 함으로써 해커들에게 네트워크 환경에 접근할 수 있는 길을 열어주는 것이다.

이번 조사에 의하면 조직의 20%가 고급 계정에 설정된 기본 비밀번호를 한 번도 변경하지 않은 것으로 드러났다. 그 외 다른 심각성은 아래와 같다.

* 조직의 30%가 계정과 비밀번호를 직원들이 공유해도 방치
* 조직의 40%가 고급 계정에 일반 계정과 같은 보안 방식을 적용
* 조직의 70%가 새로운 고급 계정 생성 시 승인 절차를 요구하지 않음
* 조직의 50%가 고급 계정의 활동 사항을 감사하지 않음

공격자 입장에서 보면 고급 계정은 좋아할 만한 목표물이다. 이를 이용함으로써 네트워크의 전 영역에 자유롭게 접근한 수 있기 때문이다.

사이버시큐리티 벤처스의 설립자이자 CEO인 스티븐 모건은 "고급 계정을 허술하게 관리하는 분위기가 대기업과 정부 등에 전세계적으로 퍼져 있다"라고 지적하며 다음과 같이 말했다.

"고급 계정은 'IT 왕국으로 들어가는 열쇠'나 다름없으며, 이는 곧 사이버 범죄자들이나 고용된 해커들의 핵심 목표물임을 뜻한다. 기업을 상대로 벌이는 이들의 교묘한 사이버 공격이 증가하는 추세로, 이로 인해 세계 경제가 수십 조 달러의 손실을 입고 있다. 자동 고급 계정 관리 솔루션이 기업 분야에 빠르게 확산돼, 2년 후에는 채택율이 50%대에 진입할 것으로 예상한다"라고 말했다.

한편 해당 보고서는 고급 계정을 잘 관리할 수 있는 5가지 방법을 아래와 같이 소개했다.

1. 핵심 관계자 교육 : 핵심 관계자들은 고급 계정 및 접근성 관리 보안이 왜 시급하고 필수적인지 알아야 한다. 소속 조직을 다른 조직과 비교하고 싶다면 고급 비밀번호 취약점 조사를 활용하면 좋다.

2. 고급 계정 위치 확인 : 무언가를 보호하고 싶어도 어디 있는지 모르면 보호할 수가 없다. 전체 기업 네트워크 환경에서 고급 계정이 어느 위치에 있는지 확인시켜 주는, 윈도우 및 유닉스 전용 툴이 있다.

3. 고급 계정 비밀번호 자동 관리 및 보안 : 비전문적인 방식으로는 고급 계정을 철저히 관리하기가 어렵다. 사이코틱의 부사장인 스티브 칸은 기업들이 회사 규모에 관계없이 이용할 수 있는 좋은 고급 계정 관리 솔루션이 많다고 소개했다.

4. 보안 정책 수립 및 실행 : 해당 보고서는 확실한 고급 계정 접근성 전략을 원한다면 보안 정책을 수립하고 실행할 것을 권했다. 권한 범위가 넓고 권한 사항을 많이 부여 받은 계정이 지나치게 많기 때문에, 계정에 이상이 생기면 전체 IT인프라가 공격받는 상황이 발생할 수도 있다. 소프트웨어 툴로 업무를 방해하지 않으면서 접근 권한을 제한할 수 있다.

5. 네트워크 감독 가능 : 자동 고급 계정 관리 솔루션은 CISO들이 네트워크 환경을 전체적으로 잘 살펴볼 수 있게 해주며, 감사와 관련해 컴플라이언스를 세울 때도 도움을 준다. 사이코닉은 고급 계정 보안 정책 템플릿을 무료로 제공하고 있다. ciokr@idg.co.kr 

X