10여년 전 글로벌 소프트웨어 회사에서 개발하여 판매하려던 보안솔루션 제품이 판매 중단되었다. 사유는 너무 이른 시장 때문으로 기록되었다. 온라인상의 출입과 오프라인상의 출입을 비교하여 위반사항(퇴근을 했는데 온라인접속을 하는 사용자 계정)을 찾아 알려주는 시스템으로 미 국방성에서도 사용할 만큼 유용해 보이는 보안솔루션이었다. 그런데 시장이 형성이 되기 전에 출시되어 판매처가 없어 판매를 중단할 수 밖에 없었다. 이러한 예에서 보안솔루션이라도 시기가 잘 맞아 떨어져야 지속적으로 사용된다는 것을 알 수 있다. 필자도 어떤 제품이든 시의 적절해야 지속적인 사용이 보장된다는 것에는 같은 생각이지만 보안의 본질은 변하지 않아야 한다.

기술이 발전하고 환경이 달라지면서 여러 솔루션들이 유행처럼 등장하고 보안 관리자들은 이를 따라가지 못하면 보안에 큰 문제가 생길 것처럼 여긴다. 필자도 보안 솔루션을 개발하여 공급하고 있지만 우리의 솔루션이 모든 보안의 문제를 해결한다고 이야기 하지는 않는다. 물론 다수의 보안관리자들은 지속적인 솔루션의 도입으로 보안을 차츰 강화해야 한다 생각하지만 막상 문제가 발생되고서야 솔루션을 도입하게 되는 경우가 많다.

일반적으로 보안관리자들은 여러 보안 솔루션에 대해 다음과 같이 생각한다.
계정관리 : 많은 비용이 들면서 효과 없는 솔루션
서버보안 : 각종 규제 때문에 필요하며, CC인증이 필요한 솔루션
서버접근제어 : 서버보안이 에이젼트 기반이라 서버 운영에 문제를 일으킬 수 있어 네트워크 기반의 사용자 통제솔루션으로 조금 더 쉽게 사용자를 통제하려는 솔루션
패스워드관리 솔루션: 각종 규제 관련 사항 중에 패스워드변경관리에 초점을 맞춘 부분솔루션

이 솔루션 중 과거에 많은 보안관리자들이 사용자 접근제어 솔루션에 열광했고 최근에는 패스워드관리 솔루션에 관심이 많다. 보안적인 측면에서 볼 때 과거 도입된 대부분의 네트워크 기반의 사용자 접근제어 솔루션은 N depth의 쉘기반의 위험명령어를 통제하지 못하며 히스토리 기반의 명령어 실행도 제어하지 못하는 것이 많다. 즉 일반적인 사용에 대해서 감사/통제 모니터링을 할 뿐이다. 네트워크 기반의 사용자 접근제어 솔루션이라 어쩔 수 없다고 말하지만 실제 기능을 수행하는 네트워크기반의 사용자 접근제어 솔루션도 존재한다. 이렇게 기업에서 필요한 솔루션을 제대로 도입하지 못하는 이유 중의 하나가 유행만을 추구한 결과라고 본다.

위에서 언급한 솔루션 외에도 NAC, DRM등의 모든 보안솔루션은 사용자, 또는 대상장비, 대상장비의 계정을 이용하여 통제를 하는 솔루션으로 ID(Identity)에 의해서 관리된다. 또 모든 보안솔루션 뿐만 아니라 ERP, 그룹웨어, 서버, 네트워크, DBMS등 IT리소스 관리의 본질은 계정관리에 있다. 사용자의 입사/퇴사/전보/휴가/출장, 사용자계정의 생성/소멸, 권한부여(회수), 정책에 의한 잠금 처리, 비밀번호 변경관리 등은 바로 계정관리에 의한다.

그런데 일부 기업에서는 계정관리, 접근제어 솔루션을 도입한 후 패스워드 관리를 도입하는 경우가 있다. 이는 기존에 도입했던 계정관리, 접근제어 솔루션이 제 기능을 발휘하지 못하거나 다른 명분으로 패스워드관리 솔루션을 도입하여 이미 도입된 솔루션의 문제점을 덮기 위한 경우가 많다. 그런데 사실 계정 관리 안에는 패스워드 관리 기능이 포함되어 있는 경우가 많다

보안 문제를 해결하는 것은 솔루션의 도입으로 모두 해결할 수 없다. 중요한 것은 보안 정책의 수립 및 이행이다. 솔루션을 계속 도입해가는 것보다는 기업에 맞는 정책을 수립하는 것이 중요하며, 정책을 자동으로 하느냐, 일부 사람이 개입하여 수동으로 하느냐를 정하는 것이다. 그래서 이 두 가지를 선택할 수 있는 변화관리(정책,절차변경 등)에 유연한 솔루션이 필요하다고 생각한다. 그러나 대부분의 보안솔루션들이 단품, 단 기능을 제공하고 있을 뿐이라 보안관리자들은 고민이 된다.

그래서 과거에 계정관리솔루션을 도입했던 관리자들은 “비싸고 어렵고 유지하기 힘드니 도입하지 마라. 그냥 간단히 패스워드관리 솔루션을 사용하라.”고 한다. 하지만 이는 보안의 본질에서 벗어난 생각이다. 패스워드관리솔루션을 도입한다고 다수의 문제가 해결되는 것은 아니다.

과거의 계정관리솔루션은 컨설팅을 통해서 프로세스를 정리한 후에 솔루션을 프로세스에 맞추어 설정하는 것이었다. 특히 계정정제를 하는 과정에 담당자의 노력이 필요하다. 그러나 경험이 많은 업체에서는 다양한 절차로 시간과 노력을 줄일 수 있지만 지금도 이러한 절차가 개선된 것은 아니다. 한 번의 노력으로 여러 가지 자동화 및 관리의 편리성을 제공하는 계정관리솔루션에 비해서 패스워드관리솔루션은 관리대상시스템의 계정을 지정하면 잘 관리될 것 같지만 대상 시스템의 계정을 지정하는 일, 해제하는 일 등을 관리자가 일일이 해야 한다. 또 대상시스템 계정에 대한 권한을 가지지 않은 사용자가 패스워드를 요구하면 정책에 의해 거부된다는 번거로움이 있다. 또 솔루션이 사용자가 지정 또는 해제할 수 있도록 돼 있어도 솔루션관리자가 일일이 지정∙해제하는 일에서 자유로울 수는 없다.

이는 접근제어 솔루션도 사용자와 대상장비간의 IP,시간 등에 의한 단순접근 통제의 정책은 동일 장비의 다른 계정에 대한 권한통제를 하지 못하는 것도 마찬가지인 것이다. 그래서 도입한 접근제어 솔루션에 대상장비의 계정에 대해서도 접근통제가 가능하도록 요구하고 있으며, 계정관리솔루션과의 연동을 필요로 하고 있다.

필자는 보안관리자들이 초기에 보안의 본질을 잘 이해하고 솔루션을 도입했었다면 사후 대처하는 일이 없었을 것이라고 생각한다. 아니 도입 당시에는 놓칠 수 있는 부분을 시인하고 지금이라도 보완한다면 늦지 않다고 생각한다.

보안관리자는 시스템 운영자, 개발자와 많은 부분에서 타협하거나 때로는 강제화를 통해서 사용자의 불편함을 감수해야 한다. 각 사의 운영환경이 다르듯이 동일한 솔루션이라도 운영환경에 따라서 편리함과 보안성을 동시에 추구할 수 있어야 한다. 보안관리자 및 시스템 운영자에게 당부하고 싶은 것은 솔루션을 도입하지 않더라도 내부 계정관리 프로세스를 체크하여 문제점을 진단하고 인적 프로세스 개선을 통해서 시스템 운영을 원활하게 되도록 해야 한다는 것이다.

윤종선 jsyoon@gitcosoft.com 지코소프트 대표이사. 대림산업(주) 정보시스템부, 대림정보통신, 한국CA 등을 거쳐 다양한 SM/SI/솔루션 경험을 토대로 2008년 지코소프트(주)를 창업하여 통합계정관리 솔루션을 개발하고, 다수의 금융/공공/기업고객을 확보하였으며, 해외 특허출원 등 2017년은 해외시장 공략을 목표로 하고 있다.