Offcanvas

How To / 데이터센터 / 보안 / 클라우드

‘서버 접속 제어’ 자동화가 필요한 이유

2012.03.21 Thor Olavsrud  |  CIO

많은 기업들이 아직까지 자동화된 서버 접속 제어를 도입하지 않았기 때문에 내부자 배신 및 산업 스파이로부터 규제 준수 문제 및 타국 정부의 지원을 받는 공격 등에 이르기까지 다양한 위험에 노출되어 있다. 정보보안 연구기업 에켈론 원(Echelon One)과 기업 접속 관리 전문기업 폭스 테크놀로지스(Fox Technologies)가 최근에 공개한 보고서에서 도출된 결론이다.

디지털 보안과 관련해 많은 기관/기업들은 보더 라우터(Border Router), 방화벽, VPN 등을 이용해 주변 경계를 강화하는데 초점을 맞추고 있다. 이런 솔루션이 보안의 필수적인 요소이기는 하다. 그러나 경계를 넘어 침입할 수 있는 공격자를 저지하거나 내부의 배신자를 막아줄 수는 없다. 다음 단계는 사용자의 접속을 업무에 필요한 기업 서버와 데이터로 한정하는 등의 ‘사용자 접속 권한 제어’를 점진적으로 도입하는 것이다.

현재 많은 기관들이 사용자의 접속을 제한하기 위해서 일부 조치를 취하고 있기는 하다. 그러나 대부분의 기관들이 자체 기업 서버에 대한 접속을 통제하기 위해서 사용하는 수단으로는 자체적인 솔루션(12%), 스도(Sudo, 10%), 사용자 접속 권한 및 암호의 수동 실행(37%) 등에 그쳤다.

에켈론 원의 CEO 밥 웨스트는 이 모든 방법이 기관을 내부자 배신, 기업 간첩행위, 타국 정부 차원의 공격 등에 노출시킨다고 강조했다. 또한 해당 설문조사에 응답한 기업들은 구식 접속관리 기술을 사용하고 있어 네트워크에 침입이 있을 때 지적 재산과 고객의 데이터를 도난 당하고 오용할 소지가 있는 것으로 조사됐다고 전했다.

웨스는 “관리의 규모가 거대할 때 과정을 자동화하지 않으면 정보를 일관되게 보호할 수 없다. 수천 개의 서버를 관리할 때 수동 절차에 의존하고 있다면 모든 것을 일관되게 관리하는 것은 거의 불가능하다"라고 말했다.

사용자 권한 암호의 실행을 수동으로 관리하게 되면 사용자들이 권한 암호를 공유하는 등 관리 편의성을 도모하게 마련이다. 이에 따라 IT 부서가 계정을 소유하고 있는 특정 사용자의 행동을 추적할 수 없게 된다. 따라서 침입이 발생했을 때 추적이 불가능하며 준수성 감사 시 민감한 정보가 적절히 보호되었다는 사실을 증명하기가 대단히 힘들어진다.

수동 실행은 액세스 크립(Access Creep) 야기
수동 실행은 또한 한 기관에서 오랫동안 근무했던 직원이 현재의 직위와 전혀 상관없는 권한을 부여 받는 "액세스 크립"이 발생시킬 수도 있다. 자동화된 접속 관리와 중앙 접속 관리 정책 없이는 직원이 기관 내에서 자리를 이동할 때 권한을 적절히 관리하는 것이 불가능하다.

이번 보고서에 따르면 기관의 76%가 복수의 서버에서 사용자 계정을 자동으로 관리할 수 없는 것으로 나타났다. IT 부서에 이런 능력이 없다면 기관 내 개별 사용자 계정을 수동으로 관리할 수 있는 자원과 인력이 부족한 상황에서 액세스 크립은 불가피하다.

웨스트는 프랑스 은행 소시에테 제네랄(Société Générale)의 주식 중개인이자 2008년 초 사리 거래를 진행하여 소속 은행에 70억 달러 이상의 손실을 입힌 제론 케르비엘(Jérôme Kerviel)을 언급했다. 케르비엘은 해당 은행의 감사국과 연구 그룹을 거쳐 거래 그룹으로 인사 이동되었다. 그는 자신이 거쳐온 직위에 부여된 접속 권한을 보유하고 있었기 때문에 이를 이용해 자신의 사기 거래를 숨길 수 있었다고 웨스트는 설명했다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.