• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“기업 계정관리의 불편한 진실, 가시성 부족” 2013.12.24

[인터뷰] 한국오라클 미들웨어사업부 정 광 연 상무
소셜·모바일·분석학·클라우드 등 새로운 환경에 대응할 수 있어야 


[보안뉴스 김경애] 기업의 중요 내부 자료 및 정보가 유출되거나 기업이 관리하는 고객정보가 유출되는 등의 사건이 발생하면서 계정관리가 보안의 주요 화두로 떠오르고 있다. 더욱이 소셜네트워크, 다양한 디바이스 환경이 조성되면서 계정관리는 기업의 비즈니스에도 지대한 영향을 미치고 있다.

이에 본지는 한국오라클 미들웨어사업부 정광연 상무와의 인터뷰를 통해 기업의 계정관리 실태와 패러다임 변화에 따른 향후 보안방향에 대해 들어봤다. 

Q. 기업 계정관리에 있어 보안 측면에서 가장 큰 문제점은 무엇인지?

가시성이 부족하다. 대부분의 기업들을 보면 IT 담당자 1~2명이 구두로 통보받거나 수작업으로 계정관리가 이뤄지고 있는 실정이다. 이를테면 회사 내부 시스템과 기업의 인사시스템이 연동되지 않은 상태에서 계정·권한 관리를 수행하고 있는 것이다. 이로 인해 퇴직자 계정이 남아있거나 보직이 변경된 사람들의 권한이 남아있는 등의 문제가 발생하고 있다. 또한, 누구의 요청 및 승인에 의해 계정이 만들어졌는지 모르는 경우가 비일비재하고, 관리자 권한의 ID와 Password를 여러 명이 같이 사용하는 등 계정관리가 제대로 이뤄지지 않고 있다.


특히, 주인 없는 계정이나 불필요한 권한 부여는 내부자에 의한 해킹의 주요 통로로 악용되고 있다. 이러한 체계화 및 자동화되지 못한 계정·권한 관리는 내부 직원에 의한 횡령, 퇴직자의 내부정보 유출, 직원의 조작 오류로 인한 투자 손실 등 대형 보안사고로 연결되기도 한다.


Q. 기업에서의 계정관리시 담당자들이 가장 어려워하는 부분은?

기업내 다양한 시스템, 어플리케이션에 산재해 있는 계정·권한에 대한 거버넌스(Governance)가 구축되지 않았다는 점을 많은 기업과 담당자들이 가장 어려워하고 있다. 특히, 자동화 계정·권한 관리 시스템이 없는 경우 계정·권한 정보에 대한 가시성이 떨어지게 된다. 이를 개선하려고 해도 어떤 계정이 실제 사용 중인 계정인지 또는 문제 있는 계정인지 구분조차 어려운 상황이다.


따라서 누가 어떤 계정과 권한을 가지고 있는지에 대한 가시성 확보가 최우선 과제이며, 확보한 정보를 기반으로 회사 정책과 원칙에 맞게 계정·권한을 부여하거나 회수할 수 있도록 지속적인 유지관리가 관건이다.


Q. 다양한 디바이스 환경 등 IT 변화에 따른 기존 정보보안 시스템의 한계는 무엇인지?

글로벌 IT 기업 뿐 아니라 포브스, 와이어드 등 주요 언론들이 내놓는  2014년 IT 환경에서의 최고 화두는 ‘스맥(SMAC)’이다. 스맥은 소셜(Social), 모바일(Mobile), 분석학(Analysis), 클라우드(Clould)를 뜻한다. 이는 새로운 변화의 기회를 이끄는 화두로 기업의 비즈니스 환경을 바꾸는 중요한 역할을 할 수 있다. 그러나 이에 맞는 보안체계가 갖추어지지 않은게 많은 기업의 현실이다.


보안관점에서 기존 비즈니스 환경과 새로운 환경의 가장 큰 차이는 보안장치들이 ‘방화벽 안쪽에 있느냐 바깥쪽에 있느냐’이다. 기업의 기존 네트워크는 SMAC과 같이 새로운 비즈니스 환경에 적합한 보안장치들이 상대적으로 미흡하다. 따라서 새로운 비즈니스 환경에 빠르게 대응할 수 있는 보안환경을 제대로 갖추고 있느냐 아니냐가 2014년의 가장 큰 보안 화두가 될 것이다.


▲한국오라클 미들웨어사업부 정광연 상무

Q. 이러한 환경 변화에 따른 효율적인 계정관리에 대한 가이드를 제시한다면?

새로운 패러다임에 맞춘 보안정책과 시스템이 준비돼야 한다. 특히 곧바로 비즈니스가 실행될 수 있도록 모든 시스템에 보안이 뒷받침돼야 비즈니스가 경쟁력이 될 수 있다.


이를테면 내부적으로는 모든 계정관리에 있어 개개인별로 접근권한 관리가 가능하도록 One Identity Platform 방식으로 접근해야 한다. 이는 접근 차별화 시스템으로 계정을 만들 때 사원/중간관리자/임원급 등 단계별 또는 차등으로 계정이 관리돼야 하고, 계정을 직군별로 세분화해야 하는 것을 의미한다. 이에 따라 승인자가 누구인지 계정 추적과 감시 등이 가능하도록 보안 프로세스가 구축돼야 한다. 또한, IP 주소의 실시간 탐지와 사용자 조회에 따른 행동 패턴 분석 등 이상 징후 분석을 통해 효율적인 계정관리가 이루어질 수 있도록 해야 한다.


외부 통제 관리의 경우, 외부 파트너 서비스와의 통합과정에서 부정 및 이상 탐지 기능 등을 강화해야 한다. 이를테면 페이스북 또는 게임사이트 등과의 연동시 계정 및 보안관리를 좀더 철저히 해야 한다는 것이다. 특히, 모바일, 소셜 커머스, 물류/재고관리/방판/재무설계 관련 개인정보의 보호가 매우 중요하다. 기업간의 서비스 연동이 필요한 경우, 연동에 따라 보호해야 할 정보에 대해 자동으로 보안이 이뤄져야 하고, 매출 발생시 추가 인증 등 비즈니스 모델 다양화에 따라 보안기능도 추가될 수 있도록 해야 한다.


Q. 오라클이 추구하는 향후 보안방향은?

Security Platform Approach라고 보고 있다. 이는 기존 Enterprise 차원의 보안을 Security Platform화 하는 것을 의미한다. 새로운 요구가 나올 때마다 새로운 시스템을 만드는 것이 아니라 기존 Security Platform을 새로운 환경으로 확장하는 것이 중요하기 때문에 여기에 중점을 둘 계획이다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>