전자신문 |
발행일시 : 2016-11-22 00:10 |
원문보기 |
http://www.etnews.com/20161121000492 |
|
http://www.nextdaily.co.kr/news/article.html?id=20161121800040 |
칼럼 |
[윤종선의 시큐리티 인사이트] 보안 솔루션 도입은 유행보다 본질에 우선순위를 두자 |
|
|
| 10여년 전 글로벌 소프트웨어 회사에서 개발하여 판매하려던 보안솔루션
제품이 판매 중단되었다. 사유는 너무 이른 시장 때문으로 기록되었다. 온라인상의 출입과 오프라인상의 출입을 비교하여 위반사항(퇴근을
했는데 온라인접속을 하는 사용자 계정)을 찾아 알려주는 시스템으로 미 국방성에서도 사용할 만큼 유용해
보이는 보안솔루션이었다. 그런데 시장이 형성이 되기 전에 출시되어 판매처가 없어 판매를 중단할 수
밖에 없었다. 이러한 예에서 보안솔루션이라도 시기가 잘 맞아 떨어져야 지속적으로 사용된다는 것을
알 수 있다. 필자도 어떤 제품이든 시의 적절해야 지속적인 사용이 보장된다는 것에는 같은 생각이지만
보안의 본질은 변하지 않아야 한다. 기술이 발전하고 환경이 달라지면서 여러 솔루션들이 유행처럼 등장하고 보안 관리자들은 이를 따라가지 못하면 보안에 큰 문제가 생길 것처럼 여긴다. 필자도 보안 솔루션을 개발하여 공급하고 있지만 우리의 솔루션이 모든 보안의 문제를 해결한다고 이야기 하지는 않는다. 물론 다수의 보안관리자들은 지속적인 솔루션의 도입으로 보안을 차츰 강화해야 한다 생각하지만 막상 문제가 발생되고서야 솔루션을 도입하게 되는 경우가 많다. 일반적으로 보안관리자들은 여러 보안 솔루션에 대해 다음과 같이 생각한다. 계정관리 : 많은 비용이 들면서 효과 없는 솔루션 서버보안 : 각종 규제 때문에 필요하며, CC인증이 필요한 솔루션 서버접근제어 : 서버보안이 에이젼트 기반이라 서버 운영에 문제를 일으킬 수 있어 네트워크 기반의 사용자 통제솔루션으로 조금 더 쉽게 사용자를 통제하려는 솔루션 패스워드관리 솔루션: 각종 규제 관련 사항 중에 패스워드변경관리에 초점을 맞춘 부분솔루션
이 솔루션 중 과거에 많은 보안관리자들이 사용자 접근제어 솔루션에 열광했고 최근에는 패스워드관리 솔루션에
관심이 많다. 보안적인 측면에서 볼 때 과거 도입된 대부분의 네트워크 기반의 사용자 접근제어 솔루션은 N depth의 쉘기반의 위험명령어를 통제하지 못하며 히스토리 기반의 명령어 실행도 제어하지 못하는 것이
많다. 즉 일반적인 사용에 대해서 감사/통제 모니터링을
할 뿐이다. 네트워크 기반의 사용자 접근제어 솔루션이라 어쩔 수 없다고 말하지만 실제 기능을 수행하는
네트워크기반의 사용자 접근제어 솔루션도 존재한다. 이렇게 기업에서 필요한 솔루션을 제대로 도입하지
못하는 이유 중의 하나가 유행만을 추구한 결과라고 본다. 그런데 일부 기업에서는 계정관리, 접근제어 솔루션을 도입한 후
패스워드 관리를 도입하는 경우가 있다. 이는 기존에 도입했던 계정관리, 접근제어 솔루션이 제 기능을 발휘하지 못하거나 다른 명분으로 패스워드관리 솔루션을 도입하여 이미 도입된
솔루션의 문제점을 덮기 위한 경우가 많다. 그런데 사실 계정 관리 안에는 패스워드 관리 기능이 포함되어
있는 경우가 많다 보안관리자는 시스템 운영자, 개발자와 많은 부분에서 타협하거나 때로는 강제화를 통해서 사용자의 불편함을 감수해야 한다. 각 사의 운영환경이 다르듯이 동일한 솔루션이라도 운영환경에 따라서 편리함과 보안성을 동시에 추구할 수 있어야
한다. 보안관리자 및 시스템 운영자에게 당부하고 싶은 것은 솔루션을 도입하지 않더라도 내부 계정관리
프로세스를 체크하여 문제점을 진단하고 인적 프로세스 개선을 통해서 시스템 운영을 원활하게 되도록 해야 한다는 것이다. |