비밀번호 도둑에게서 내 ID 안전히 지키기

\r\n

\r\n

[시큐리티월드=엔시큐어 장원근 이사] 개인정보 유출, 사이버 침해 등 여러 가지 IT 보안 이슈가 발생하고 있는 가운데, 기업들은 기업 내에서 사용되는 계정에 대해 보안 조치를 취하고 있다. 이러한 보안 조치는 기업의 내부 사용자뿐만 아니라 인터넷을 사용하는 모든 개인에게도 필요한 상황이다.

\r\n

\r\n\r\n\r\n

\r\n

기업은 개인들이 기업의 시스템을 사용하는 만큼 그 기업의 보안 시스템을 신뢰하도록 해야 하며, 개인 또한 자신이 보유한 계정에 대해 최소한의 관리가 필요하다. 이에 기업 내부 계정과 기업 시스템에 로그인하는 개인 계정의 효율적 관리 방법을 여러 가지 예를 들어 살펴보고자 한다.

\r\n

\r\n

매일 인터넷을 사용하는 대부분의 사람들은 최소 1개 이상의 사이트에 로그인 계정을 갖고 있을 것이다. 필자 또한 모두 세어보지는 않았지만 적어도 20개 이상의 사이트에 로그인 할 수 있는 계정을 보유하고 있는 것 같다. 우리의 계정을 보호하기 위해, 가장 먼저 수행되어야 할 보안 조치는 계정의 비밀번호를 관리하는 것이다.

하지만 20개 이상의 비밀번호를 관리한다는 것은 쉬운 일이 아니다. 포털 사이트 등은 사용자 계정 보호를 위해 로그인 시 주기적으로 비밀번호 변경에 대한 권고 메시지를 보여주고 있다. 그러나 대부분의 사용자는 비밀번호 변경 메시지를 무시하고 다음 화면으로 넘어간다. 바꾼 비밀번호가 기억나지 않아 로그인에 애를 먹었던 경험 때문이다.

\r\n

비밀번호의 중요성 비밀번호의 중요성은 따로 말하지 않아도 모두 알고 있을 것이다. 필자 아들이 초등학교 때 겪은 일화를 토대로 살펴보자. 게임을 좋아하는 요즘 아이들은 개인의 게임 등급을 높이기 위해 친구들과 게임 ID를 서로 공유해 사용한다.

한번은 필자가 기분 좋은 일이 있어, 아들에게 1만원의 게임머니를 결재해 주었다. 아들은 어떤 아이템을 구입해야 하는지 고민했고, 약 10분 뒤 특정 아이템을 구매하기로 결정해 게임 사이트에 로그인 했다. 하지만 1만원의 게임머니는 사라지고 없었다.

게임머니는 어디로 갔을까. 결론부터 말하자면 아들의 게임 ID와 비밀번호를 알고 있던 아들의 친구 녀석이 게임머니를 선물하는 방식으로 이를 모두 사용했다. 이 경우 게임 ID와 비밀번호를 공유해 발생한 피해였지만, 만일 중요한 ID와 비밀번호가 다른 사람에게 탈취 당했다면 그 결과는 상상 이상이었을 것이다. 이 일을 계기로 필자의 아들은 일찍부터 ID와 비밀번호 관리의 중요성을 느꼈다고 한다.

\r\n

이러한 피해를 당하지 않기 위해 전문가들은 주기적으로 비밀번호를 변경할 것과 대소문자, 숫자, 특수문자 등을 조합한 8자리 이상의 비밀번호를 사용할 것을 권고했다. 몇몇 기업에서는 비밀번호 관리의 어려움과 개인의 편의를 위해 특정 사이트의 계정과 비밀번호를 통합 관리하고, 자동으로 로그인하도록 하는 무료 툴을 제공하기도 한다. 하지만 이러한 툴을 사용하더라도 주기적으로 비밀번호를 변경하지 않거나, 쉬운 비밀번호를 사용한다면 효과는 반감된다.

\r\n

개인 계정과 비밀번호의 효율적인 관리 방법 해킹을 하기는 어렵지만 기억하기 쉬운 비밀번호를 사용하기 위해 개인이나 기업들은 자신들만의 노하우를 갖고 있다. 예전에 다녔던 회사의 경우, 1월에는 ‘골뱅이 하나 주세요’ 2월에는 ‘골뱅이 두 개 주세요’를 영문으로 치환해 ‘@1wntpdy’, ‘@2wntpdy’를 내부 서버 비밀번호로 사용한 적 있다. 모 지인은 ‘포털 이름+아이디+월별 자신만 아는 문구’의 규칙을 사용해 비밀번호를 관리한다고 한다.

\r\n

기업들은 ID와 비밀번호 관리를 위해 여러 가지 보안 솔루션을 도입하고 있다. 계정을 통합 관리하기 위한 통합계정 관리 솔루션, 비밀번호 관리 솔루션, 일회용 비밀번호 솔루션 등을 사용한다. 비밀번호 관리 솔루션은 ID 사용 시 마다 새로운 비밀번호를 발급받아 사용하도록 하는 일회용 비밀번호 솔루션의 개념과 달리, 실제 사용하는 비밀번호를 변경하는 방식이다. 현재는 주로 기업의 내부 시스템에 적용하고 있다. 통합계정관리 솔루션은 일회용 비밀번호, 비밀번호 관리 솔루션 등과 통합해 다양한 계정관리 기능을 사용할 수 있다.

\r\n

특히 기업 내 서버, 네트워크, 데이터베이스, 보안장비 등과 같은 모든 시스템 계정을 취합해 실사용자와 매핑하고 스마트 폰 OTP 인증, 계정의 권한, 로그관리 등을 통합하고 있다. 통합계정 권한 관리는 기업 전체에서 사용자의 역할 및 접근 권한을 효율적으로 관리할 수 있도록 한다. 그리고 접근 통제를 통해 인가된 사용자만을 중요 시스템과 애플리케이션에 접근할 수 있도록 허용할 수 있다.

\r\n

로그관리는 인가된 사용자가 중요 정보를 부적절하게 사용하는 것을 감시할 수 있도록 지원하므로 매우 중요하다. 이는 권한 부여 관리, 역할 관리, 감사 관리, 접근 관리 기능이 통합돼 있어 사용자 역할에 따른 계정의 발급과 동시에 접근 권한 부여와 감사가 자동화 되도록 구현된다. eNgenIM Appliance와 CA IM은 금융권에 구축한 노하우를 통해 다양한 기능의 통합계정 권한 관리를 제공한다. 이렇게 수많은 계정의 비밀번호를 관리하기 위해 패턴 기반의 변경 기능을 제공하고, 사용자와 관리자를 구분해 효율성을 만족하는 통합계정 권한 관리 방법을 제공한다.

\r\n

계정과 비밀번호 사후 관리 앞서 우리는 계정 및 비밀번호 효율적 관리 방법에 대해 살펴봤다. 그 중 설명하지 않은 부분이 로그관리다. 필자의 아들에게는 미안하지만, 아들과 관련된 또 다른 일화를 소개하고자 한다. 필자의 중학생 아들은 친구들과 어울려 PC방에 드나들기 시작했다.

필자는 아들의 PC방 출입 횟수를 조절하고자 1달에 1번만 갈 수 있도록 허락했다. 그러나 이러한 약속이 제대로 지켜지지 않고 있다고 의심한 필자는 아들의 게임 계정으로 접속해 로그인 기록을 살펴봤다. 당시 해당 사이트는 로그인한 시간과 IP Address 등을 로그 기록으로 남겨두고 있었다.

아들의 게임 계정 로그 기록에는 집 이외의 IP가 찍혀 있어, 아들이 약속을 제대로 지키고 있지 않음을 확인할 수 있었다. 이처럼 로그를 통한 모니터링이 사후관리라고 할 수 있다. 모든 포털과 웹사이트에서 로그 기록을 확인할 수는 없지만 로그 기록을 확인할 수 있는 사이트에서는 자신의 계정 현황을 주기적으로 확인해 보는 것이 좋다.

\r\n

기업에서는 로그인 시점부터 로그아웃 시점까지 세션 기반으로 로그를 관리·모니터링 하고 있다. 최근 필자는 고객사와 함께 다양한 로그 정보를 통합해 관리하고, 계정들의 활동을 분석·통계화함으로써 위험평가를 하는 방법을 설계한 바 있다.

이것은 단순 로그관리만으로는 불가능한 것으로 중간에 상관관계 분석을 위한 SIEM(Security Information & Event Management) 솔루션을 사용했다. 다양한 포맷의 대용량 로그를 정형화하고 분석 룰을 적용해 원하는 결과를 얻도록 하는 방식이다. 이를 통해 부서 별, 서버 별, 계정 별로 위험도를 도출해 취약한 부분을 줄여 나갈 수 있도록 했다.

\r\n

효율적인 계정과 비밀번호 관리 정책 수립 많은 기업들, 특히 금융권은 계정과 비밀번호 관리를 위해 많은 예산을 고려하며 사용하고 있다. 이것은 기업 보안 수준을 향상시킬 수 있을 뿐만 아니라, 기업 시스템을 사용하는 개인의 보안 수준을 높이기 위한 보안 조치이기도 하다. 정리하자면 효율적인 계정과 비밀번호 정책 수립을 위해 우리는 몇 가지 사항을 고려해야 한다.

첫째로 어려운 비밀번호 사용을 위한 방안 마련, 둘째로 추가 인증 사용 및 통합관리, 셋째로 로그를 통한 사후 관리다. 각각의 솔루션을 도입해 사용하는 기업도 있을 것이다. 잘못된 방법이라고는 말할 수 없지만 여러 가지 솔루션을 통합하는 정책을 수립하고, 기술적 구현을 통해 관리한다면 보안이 향상되는 결과가 나타날 것이다.

기업의 시스템을 사용하는 개인 또한 솔루션 사용과 통합 사용에는 한계가 있지만, 앞에서의 예로 보안적인 의식을 강화하고 적용 한다면 개인정보보호에 많은 도움이 될 것이다. 이외에도 인터넷을 통해 가입한 계정을 확인하고 사용하지 않는 계정을 삭제하거나 주민등록번호 클린센터(clean.kisa.or.kr)를 방문해 자신의 주민번호 이용 내역을 확인해 보는 것도 좋은 방법이다.

\r\n

[글_엔시큐어 장원근 이사]

\r\n

[월간 시큐리티월드 통권 218호 (sw@infothe.com)]

\r\n

\r\n

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>