Offcanvas

CIO / 라이프 / 리더십|조직관리 / 보안 / 비즈니스|경제

기업 80%, 계정 관리 프로세스 있으나 잘 지키지 않는다... 조사 결과

2015.11.19 Thor Olavsrud  |  CIO
대다수의 기업들에는 운영자 계정과 다른 특별 계정들을 관리하기 위한 적절한 프로세스가 있다. 지난 몇 년 동안 발생한 대규모 데이터 유출 사고들을 보면, 바로 이 계정 관리에 소홀한 데서 비롯된 경우가 종종 있었다.


이미지 출처 : Thinkstock

최근 글로벌 보안 조사에 따르면, 운영자 계정이나 권한 계정에 대한 무계획적인 프로세스가 기업을 보안 위험에 빠지게 하는 것으로 나타났다.

델의 후원을 받아 다이멘셔널리서치(Dimensional Research)가 진행한 이 조사에서 응답자 83%는 계정 관리와 관리 비밀번호에 대해 많은 문제에 직면해 있는 것으로 파악됐다. 약 80%는 그것을 관리하기 위해 정립된 프로세스가 있다고 답해 이를 보호하기 위한 절차가 부족하다고는 말할 수 없지만, 문제는 그것들을 잘 따르지 않는다는 데 있었다.

예를 들어, 응답자의 37%는 하드웨어와 소프트웨어의 기본 관리자 비밀번호를 변경하지 않고 계속 사용한다고 말했다. 또다른 응답자 37%는 여러 관리자가 크리덴셜을 공유하며, 31%는 관리자 활동을 일관되게 담당하는 직원들을 파악하지 못한다고 각각 밝혔다.

응답자의 75% 이상은 새로운 자원을 도입할 수 있도록 하드웨어와 소프트웨어에 기본 관리자 암호를 변경하기 위해 정립된 프로세스를 가지고 있다고 말했지만, 26%는 매달 또는 더 자주 관리자 암호를 변경한다고 답했다. 응답자의 12%는 잠재적인 보안 위협이 발생하면 관리자 암호를 변경하고 4%는 관리자 암호를 한번 도 변경하지 않았다고 전했다.

사람의 실수로 발생하는 보안 사고
또 다른 요인은 계정 권한을 관리하는데 수동 프로세스를 사용하는데 있다. 조사 응답자의 약 30%는 자신들의 조직에는 아직 계정 권한을 관리하기 위해 스프레드 시트와 같은 수동 프로세스를 사용한다고 답했다. 이러한 수동 프로세스는 오류가 나기 쉽고, 쉽게 손상될 수 있다고 델 시큐리티에서 제품 관리 담당 시니어 디렉터인 잭슨 쇼는 말했다. 또 시급하게 처리해야 하는 상황에서 신속한 해결을 방해하기도 한다. 

"우리는 거의 매일 보안 유출 사고를 겪는 것은 아니다”라고 쇼는 말했다. "신원 정보를 이용하는 것은 새로운 공격 방법이다. 해커들이 기업 네트워크 안으로 침입하려 할 때 사용자 크리덴셜을 이용한다. 그 다음 권한 있는 계정 정보를 얻을 때까지 해커들은 주위를 맴돌고 있다"고 그는 덧붙였다. 

다이멘셔널의 조사는 보안을 책임지는 IT담당자 560명을 대상으로 진행됐으며 여기에는 미국, 영국, 독일, 호주, 뉴질랜드의 IT담당자들이 참여했다.

델 시큐리티에서 ID및 접근 관리 담당 제너럴 매니저 겸 전무인 존 밀번은 "해커가 찾고자 하는 것도 바로 계정 권한이며, 우리가 지난 몇 년 동안 봤던 유명한 보안 사고들도 바로 이 계정 권한을 탈취해서 발생한 것이었다. 때문에 계정 권한은 어떤 회사 안으로 들어가는 열쇠다”라고 성명서에서 밝혔다. "이러한 위험을 완화하고 이 계정들을 확실히 통제하고 보호하기 위해서는 기업에 이들을 보호할 보안 감사 프로세스가 있다는 게 절대적으로 중요하다. 훌륭한 계정 권한 관리 전략에는 안전한 비밀번호뿐 아니라 기업 자산을 정보 유출 사고로부터 지키기 위한 최소한 권한 통제도 있어야 한다"고 밀번은 전했다.

계정 권한 관리 전략을 수립하는 방법
다음은 쇼가 제안한 계정 권한 관리 전략 수립 팁이다. 

• 계정 권한 관련 정보에는 사용자와 그 사용자가 사용하는 시스템이 포함돼 있어야 한다. 
• 계정 권한 암호가 안전하게 저장돼 있는지 확인하고 접근방법을 까다롭게 만들며 암호 관리 프로세스를 변경한다.
• 가능하다면, 개개인의 책임과 최소 접근 권한을 분명히 해야 한다.
• 모든 접근 권한에 로그인 하거나 이를 모니터링 한다. 
• 정기적으로 접근 권한 사용을 감사한다.

ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.