퀘스트 ‘TPAM’, 유일 솔루션으로 각광 받아

최근 잇따르는 보안사고의 근본적인 예방을 위해 금융회사 스스로 정책적 아이디 패스워드 관리 나서야 한다는 주장이 나와 관심을 끌고 있다.

특히 이같은 주문은 이미 안전행정부 규정, 전자금융감독규정의 ‘사용자 계정관리’ 등 규정준수와 맥을 같이해 관련 시장이 들썩이는 중이다.

◆최고권한 계정 관리 ‘허술’ = APT(지능형지속공격)의 특성은, 공격 대상의 PC에 있거나 접근한 IT시스템내 아이디(ID) 또는 패스워드를 탈취하려는 시도를 하게 된다.

이렇게 탈취된 아이디/패스워드는 서버에 접근, 악성코드가 목적으로 한 목표물을 공격하는데 유용하게 쓰이게 된다.

그런데 통상 서버에 접근이 가능한 ‘최고권한의 아이디-패스워드’에 대한 관리는 메모 또는 텍스트 파일 형태로 저장되거나, 수작업으로 이뤄지는 경우가 많다.

카네기 멜론, DOD 조사 결과 IT보안 전문가 5명 중 2명은 패스워드를 종이에 기록해 관리하는 것으로 조사됐다.

또 관리해야 할 아이디 및 패스워드의 수가 많다. 개인계정 외에 공용계정의 경우, 아이디-패스워드 관리자가 적게는 50개에서 많게는 100여개까지 관리하고 있다.

아이디는 그렇다해도, 패스워드 알고리즘을 수시로 변경한다는 것은 현실적으로 어려운 일이다.

아울러 아이디-패스워드 관리자가 외주업체 등 직원에게 업무를 위해 대여한 아이디 및 패스워드는 회수조치가 되지 않는 경우가 허다하다.

예를 들어, 외주업체 직원이 서버 작업을 위해 오늘부터 향후 2~3일간 작업이 이뤄진다고 할 때, 아이디-패스워드 관리자는 편리에 의해 ‘그날 사용한 비밀번호 변경 조치’를 이행하지 않는 경우가 있다.

◆현행 법규는 = 현재 안전행정부 정보통신 보안 업무규정 제27조 ‘사용자 계정관리’ 3항에 따르면, ‘관리자 계정은 관리자로 지정된 자 만이 사용할 수 있으며, 그 외의 자에게는 대여할 수 없다’고 돼 있다.

이어 ‘다만, 업무상 필요에 의해 부득이 하게 타인에게 대여한 경우에는 회수 후 즉시 비밀번호 변경 등 보안조치를 해야 한다’고 밝히고 있다.

제28조 비밀번호관리 3항에 따르면, ‘시스템 관리자는 다음 각 호의 사항을 반영해 정보시스템의비밀번호를 설정하고 분기1회 이상 주기적으로 변경해야 한다’고 정해놓고 있다.

각호의 내용 중 6호 ‘동일 비밀번호를 여러사람이 공유해 사용하지 말 것’, 7호 ‘응용프로그램등을 이용한 자동 비밀번호 입력기능 사용금지’ 등 규정이 명확하게 나와 있다.

이 밖에도 4항 ‘시스템 관리자는 정보시스템에 등록돼 있는 비밀번호를 암호화해 보관해야 한다’는 규정도 마련돼 있다.

전자금융감독규정 제12조 단말기 보호대책, 제13조 전산자료 보호대책, 제14조 정보처리시스템 보호대책, 제16조 해킹 등 방지대책 등에 ‘접속자 로그기록’까지 남기도록 규정하고 있다.

이같은 법 규정에도 대체적으로 인적인 관리에 의존하면서, 서버에 접근할 수 있는 ‘최고권한’ 아이디-패스워드는 부실하게 관리됐다.

한편, 업계에서는 비밀번호를 분기당 1회 변경 규정은 지나치게 완곡한 규정이라고 보고, 1개월 이내 변경으로 바꿔야 한다는 주장도 설득력을 얻고 있다.

◆퀘스트 ‘TPAM’, “열쇠-자물쇠를 관리하는 금고” = 지난 3.20 대란 중에도 일부 은행이 본 혜택 중 최고권한 계정의 아이디 패스워드를 시스템적으로 관리했기 때문에 가능했다는 주장도 있다.

현재 ‘수퍼유저, 즉 최고권한 계정 및 패스워드’를 관리하는 솔루션은 퀘스트소프트웨어 코리아(대표 우미영)의 ‘TPAM(Quest Total Privileged Access Management)’이 대표적이다.

퀘스트 코리아 유형선 부장은 “루트, 즉 최고권한 및 관리자 계정은 공용계정 성격”이라며 “외주직원에게 일일이 계정을 발급하기 어렵기 때문에 공용계정이 존재할 수 밖에 없다”고 밝혔다.

유 부장은 이어 “해커나 외부 공격은 개인 계정이 아닌 최고권한이 부여된 루트계정을 가지고 공격한다”며 “은행들이 사용하는 개인 계정관리(IAM) 관리와 차이점을 보인다”고 최근 업계 분위기를 전했다.

특히, 기업내 소수의 관리자가 최고권한 계정은 아이디 및 비밀번호를 자주 변경하기 어렵다. 계정의 보안 수준을 높이는 방안 비밀번호를 자주 변경해 줘야 하는데 현실적 한계에 부딪힌다.

결국, 최고권한 계정 및 패스워드 관리자가 소수라는 점, 외주업체가 수시로 서버 작업에 나서야 하는 점, 아이디-패스워드 수시변경 어려움, 법규 준수 등 관점에서 IT솔루션 기반에 관리가 절실해 지고 있다.

‘TPAM’은 계정 패스워드를 저장하는 역할, 즉 ‘열쇠를 보관하는 금고’로 보면 된다. <그림1 ‘TPAM 사용방식’ 참조>

▲ 그림1 ‘TPAM 사용방식’

계정 패스워드는 ‘AES256 암호화 프로토콜’을 사용해 보관하고, 패스워드는 일정시간을 두고 자동으로 변경된다.

기존 인적인 관리에 의존해 계정 사용자 로그 추적이 어렵다는 점에서 ‘TPAM’은 발급 이력을 저장하고 관리된다.

콘솔 접근을 차단하기 위해 하드웨어 일체형, 어플라이언스 형태의 제품으로 공급된다.<그림2 ‘TPAM 구성 및 동작 방식’ 참조>

▲ 그림2 ‘TPAM 구성 및 동작 방식’

‘TPAM’은 아울러 보고서 기능을 통해 서버 사용 이력을 철저히 관리할 수 있다.

애플리케이션 사용현황, 사용자 행동(일간), 로그인 실패(일간), 패스워드 변경 결과(일간), 패스워드 변경 요약(일간), 패스워드 발급(일간, 주간), 패스워드 테스트 결과(일간), 패스워드 테스트 결과 요약(일간), 보안로그(일간), 시스템 관리활동(일간) 등 항목에 대해 보고서 형태로 관리한다.

TPAM의 가장 큰 장점은 기존 기업에서 사용중인 접근통제 또는 계정관리(IAM) 제품과 호환, 사용이 가능하다.

퀘스트소프트웨어 코리아 유형선 부장은 “방식은 두가지가 될 수 있다”며 “사용자가 TPAM에서 아이디와 패스워드를 얻어 로그인하고, 접근제어 솔루션에 한 번 더 로그인 하는 방법과 접근제어 솔루션이 자동으로 TPAM에서 시스템 계정 패스워드를 얻어 서버 접근을 허락하는 방법이 있다”고 전했다. <그림3 ‘기존 계정관리와 TPAM 연계 구축’ 참조>

▲ 그림3 ‘기존 계정관리와 TPAM 연계 구축’

유 부장은 이어 “최근 한글화 작업도 완료, 이달말부터 시장 공급이 가능해 질 것”이라고 덧붙였다.

퀘스트는 이미 지난해부터 제1금융권, 제2금융권을 넘나들며 영업에 한창이고, 금융감독당국도 이같은 ‘정책적’ 자동화 된 관리를 권장중이다.

금융 피싱-파밍, 3.20 대란 등 더 이상 보안기술이나 기법에 의존하기 보다, ‘아이디-패스워드 관리’ 같은 기본에 충실한 적극적인 관리 측면의 ‘정책’으로 문제를 풀어야 때가 된 것이다.

<김동기 기자>kdk@bikorea.net