과거에는 인증이나 접근통제 기준을 모든 직원들에게 공평하게 적용하면 간단하게 제어할 수 있었다. 사용자 ID와 패스워드, 권한에 따라 적용되는 허가증 등에 대해 일률적인 규칙을 만들 수 있다. 그러나 지금은 이러한 방법으로 해결되지 않는다.

해리스(Harris)의 정보시스템보안을 책임지고 있는 마이크 로베르티(Mike Roberti)는 1만여 명의 직원들이 필요한 정보에 안전하게 접근할 수 있도록 지원하는 방법을 알고 있다.  

네트워크에 접근해야 하는 파트너나 고객을 위한 인증, 접근통제 시스템을 어떻게 다루어왔는가? 우리는 회사 전역에 ID와 패스워드를 동기화하기위해 노력했다. 10-plus 패스워드를 기억하려고 하는 사람이 있으며, 사용자에게 도움을 요청하지 않고 패스워드를 다시 지정할 능력을 갖고자 하는 사람이 있었다.

이와 관련된 시스템을 제공하는 에이버티어(Avatier)는 해리스의 분석가를 한 시간 동안 빌려주면 자신들이 한 시간 안에 원하는 기능을 갖춘 시스템을 생산할 수 있을 것이라고 장담했다. 그들이 무모한 도전을 했다고 생각했으나 한 시간 내에 시스템이 작동하는 것을 본 순간, 내부적으로 매우 강한 접근통제 시스템을 갖게 되었다는 사실을 알 수 있었다.

토큰이나 스마트카드는 매우 강한 인증정책으로 평가받는다. 이러한 방법은 고려해보지 않았는가? 그 방법도 생각해 보았다. 회사의 특정 구역에서는 토큰을 사용하기도 한다. 그러나 외부 뿐만 아니라 내부로 작동하는 해결책이 필요하다. 스마트카드도 좋은 해결책이 되기는 하지만, 사용자가 어머니의 집이나 그 외 어딘가에 있다면 소용없는 물건이 되고 만다.

시스템 중 몇 곳과 일부 구간에서는 토큰도, 스마트카드도 사용하지 못해 패스워드를 유지해야 할 것으로 생각된다. 사용자가 자신의 사무실로 걸어 들어가면 카드가 자동으로 로그인 시키는 스마트카드가 가장 이상적인 해결책이 될 것이다. 물리적인 보안정책과 병행하면 크게 효과를 볼 수 있었을 것이다.

물리적인 보안과 IT보안을 통합시킬 의사는 없나? 아직 때가 아니라고 생각한다. PL의 통합은 반드시 필요하지만, 지금은 너무나 많은 비용이 소요된다. 네트워크 보안과 물리적인 보안을 상대적으로 분리하고 있지만, 모든 보안은 물리적인 부분에서 시작한다. 물리적으로 접근했을 때 데이터를 얻을 수 있기 때문에 통합은 적절한 투자와 조정정책이 갖추어졌을 때 이루어지는 것이 좋다고 생각한다.

<글: 데니스 피셔(Dennis Fisher)>

Copyright ⓒ 2006 Information Security and TechTarget

[월간 정보보호21c 통권 제87호(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>