check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

크로니아이티, 시급한 전산시스템 패스워드관리체계 구축 필요

2018년 03월 21일(수)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

▲ 크로니아이티 보안컨설팅팀 이태훈 팀장
▲ 크로니아이티 보안컨설팅팀 이태훈 팀장
모든 전산자원에서 가장 중요한 요소 중에 하나가 패스워드일 것이다. 패스워드는 전산자원의 접근을 허가해주는 반면 비밀을 유지하도록 하는 두 가지 상반되는 기능을 담고 있다. 이러한 패스워드관리의 중요성은 아무리 강조해도 지나치지 않은데, 실제로 전산자원탈취를 위해 가장 먼저 진행되는 공격이 패스워드를 탈취하기 위한 공격(Brute Force Attack, Dictionary Attack, Guessing Attack 등)이다. 

문제는 외부공격에 의한 패스워드 탈취 위협 보다 현업의 업무 프로세스에서 발생되는 패스워드 공유, 패스워드 관리의 위임, 패스워드 재사용 등 내부적인 관리의 한계가 더 큰 위협이라는 점이다. 실제로 보안컨설턴트로 현장에서 일하다 보면 담당자의 업무과중, 운영상의 편의성 등으로 인해 유지보수업체, 시스템납품 및 개발사 등과 패스워드를 공유하거나 관리를 맡기는 것을 심심치 않게 접할 수 있다.

해당기관은 물론, 정부 측에서도 보안컴플라이언스 마련을 통해 패스워드관리에 대한 강제성을 부여하고 있지만 보다 근본적인 해결을 위해서는 프로세스가 더해진 ‘패스워드관리체계’가 우선적으로 마련되어야 한다. 특히, 패스워드관리체계는 뚜렷한 방향성을 만족해야 하며, 어느 것 하나도 충족할 수 없다면 현업에서의 패스워드 관리는 엄목포작(掩目捕雀)의 현상을 해소할 수 없고 나아가 사이버안보에도 큰 위협이 될 것이다.

그렇다면 패스워드관리체계가 만족시켜야 할 필요조건은 무엇일까?

▲패스워드관리체계는 ‘패스워드공유’ 문제를 해결할 수 있어야 한다
패스워드 유출은 담당자, 개발사, 유지보수업체 등 다수의 인원이 패스워드를 공유하는 과정에서 발생한다. 따라서, 지원조직이라 하더라도 담당자 외에는 그 누구와도 패스워드가 공유되지 않도록 하는 것이 패스워드관리체계의 최우선 과제이다.

▲‘편리하게’ 패스워드를 관리할 수 있어야 한다
패스워드 공유는 업무의 편리성을 추구하는 과정에서 발생한다. 이는 편리성이 보장되지 않는다면 패스워드관리체계를 실무에 적용하기는 어렵다는 것을 의미한다. 따라서 패스워드관리체계는 관리자의 패스워드 변경 및 운영 시 추가적인 업무 노드를 발생시키지 않고, 시스템 운영 및 관리 시 불편함이 없도록 운영되어야 할 것이다.

▲패스워드관리체계는 현재 ‘개인정보보호법 등 관련법과 정부보안규정’에 부합하도록 마련, 준수하도록 운영되어야 한다
개인정보보호법, 정보통신보안업무 규정 등에는 분기 1회 이상 비밀번호를 변경-유지-관리하도록 규정되어 있다. 따라서 정부와 공공성을 띈 기업의 전산자원의 모든 패스워드는 규정에 맞춰 운용되어야 한다.

업무프로세스 정립과 운영을 위해서 단순한 관리적 보안상의 규칙으로는 한계점이 있다. 따라서 위의 3가지 요건이 갖춰진 패스워드관리체계 마련은 관리체계의 틀을 공고히 하면서 나아가 전산자원의 보안성과 신뢰성, 안전성을 확보하는데 디딤돌 역할을 할 것이다.

★정보보안 대표 미디어 데일리시큐!★

길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기