주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

▶ BaroSolution/기술문서

보안강화를 위한 네트워크 장비 운영체제 계정 접속 시 2차 인증의 필요성

누리아이티 2018. 1. 22. 06:52

 

개인정보보호 및 정보유출 피해 최소화를 위해서는 주기적인 서버의 비밀번호 변경이 중요하다. 그러나 이에 못지 않게 중요한 게 바로 비밀번호를 어떻게 설정하고 관리하느냐라는 게 보안전문가들의 의견이다.

 

개인정보 유출사고 피해를 입은 업체들 중에서 외우기 쉬운 비밀번호 또는 쉽게 유추가 가능하도록 비밀번호를 설정하는 경우가 많기 때문이다. 더욱이 여러 서버에 대해 동일한 비밀번호를 사용하는 경우도 많기 때문이다.

 

현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 ‘개인정보의 기술적·관리적 보호조치 기준(고시)’ 제4조 접근통제 항목에서 서버의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성해야 한다고 규정하고 있다.

 

또한, 개인정보보호법의 ‘개인정보 안전성 확보조치 기준’ 제5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성하도록 명시했다.

 

이처럼 서버에서 비밀번호 설정이나 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 패스워드를 잘 기억하지 못해 혼란을 겪는 ‘패스워드 증후군’이라는 말까지 생겨났다.

 

최근 수년간 빈번하게 발생하고 있는 금융사 내부망에 위치한 서버의 고객 금융정보 유출사고가 빈발하자 금융감독원이 그에 대한 보안 대책을 제시하고 나섰다. 네트워크, 개인 업무용 컴퓨터의 보안을 강화하고 또 강화했지만 서버에 접근 권한을 부여 받은 관리자, 개발자, 외부 인력에 의한 개인정보 유출사고가 발생하자 이제서야 서버에 대한 보안 대책의 필요성을 느끼고 있는 모양이다.

 

정보보호시스템 및 네트워크 장비에 대한 ‘국가용 보안요구사항 우선 적용’ 원칙

정보보호시스템 및 네트워크 장비에 대한 ‘국가용 보안요구사항 우선 적용’ 원칙에 따라 ‘적용하지 않는다’고 명시한 경우를 제외하고 제품 단위로는 국가용 보안요구사항에 정의된 동일 기능을 우선 식별하여 적용해야 합니다.

1.1.2 제품은 사용자 식별 및 인증을 위해 1.1.1과 병행하여 추가적인 식별 및 인증 기능을 자체 또는 외부 IT실체와 연동하여 제공해야 한다.

① 추가적인 식별 및 인증 기능 제공을 위해 △FIDO 표준을 준수한 2FA 지원 기기 △인증서 △일회용 비밀번호 생성기(OTP) 등을 활용할 수 있다.

인증실패 대응은 1.2.1 제품에서 사용자 인증이 설정된 횟수만큼 연속적으로 실패하면, 식별 및 인증 기능이 비활성화 되어야 한다.

 

 

금융감독원 전자금융감독규정 2013년 12월 개정안 내용

 

일단 2013년 12월에 공지된 금융감독원의 전자금융감독규정을 보면, 제14조에 다음과 같은 내용이 추가 되었다.

 



9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것<신설 2013.12.3>

 

위의 제14조 9항은 서버에 Telnet, FTP, SSH 등의 방법을 통해 운영체제의 계정인 root, oracle, jeus 등 시스템관리자 계정 및 서비스관리자 계정으로의 접속 시 OTP, ARS, PKI 등의 추가적인 인증 수단을 마련하도록 의무화한 것이라 볼 수 있다.

 

이러한 조치는 외부 인력 및 내부 인력의 무분별한 서버 직접 접속을 제한하고 접속할 때 실제 접속자가 누구인지를 인증하고 접속함으로써 보안사고 발생 시 감사 추적을 용이하게 하고 사고 발생 시점에 서버에 접속한 사용자(개발자, 운영자, 외부 인력 등)를 식별 함으로써 개인정보 및 중요 정보의 유출을 차단할 수도 있다.

 

서버 Telnet, FTP, SSH 접속 시 2차 인증 구현 방안

 

서버 운영체제의 계정 접속에 대한 2차 인증 구현을 위해서는 서버 운영체제의 기능만으로는 불가능하다. 이는 운영체제의 인증과정이 추가적인 인증모듈을 강제로 삽입함으로써 구현하여야 하는데, 이는 운영체제에 대한 심오한 이해가 있어야 가능한 기술이다.

 

Unix/Linux의 경우 운영체제에서 PAM(Pluggable Authentication Module)이라는 2차 인증을 적용할 수 있는 모듈을 제공하며, Windows의 경우 GINA/CP라는 추가 인증을 적용할 수 있는 모듈을 제공하고 있다.

   

네트워크 장비 Telnet, FTP, SSH 접속 시 2차 인증의 필요성

 

그 동안 네트워크 장비에 연결되어 있는 서버에 대한 2차 인증은 "금융감독원 전자금융감독규정"에 의하여 그나마 진행되어 왔는데, 네트워크 장비는 NOS라는 운영체제를 사용한다는 업체의 말만 믿고, 계정 관리는 서버에 밀려서 관리의 사각지대에 놓이게 된 게 현실이다.

 

확인 결과 네트워크 장비의 운영체제는 대부분 Open Linux를 사용하며, NOS은 Open Linux 환경하에서 운영되는 네트워크 장비를 제어하는 하나의 어플리케이션이다.

 

그래서 "네트워크 장비"에 대한 지식이 많이 부족한 정책 입안자들의 입장에선 그나마 쉽게 접근할 수 있는 서버의 보안을 우선시할 수 밖에 없었을 것이고 네트워크 장비에 접속하는 운영자 입장에선 스스로의 발목을 잡는 네트워크 장비에 대한 보안 이슈는 쉽게 제기하지 않을 수 밖에 없었을 것이다.

 

하지만 네트워크 장비가 해커에 노출될 경우 네트워크 장비에 연결된 서버에 미칠 영향은 그동안 발생한 서버 해킹보다 상상할 수 없는 피해를 발생할 수 있으므로 "네트워크 장비"의 보안을 강화하여야 한다는 이슈는 언젠가는 터져나올 당연한 이슈라고 할 수 있다.

 

최근 들어, 금융권에서 네트워크 장비에 대한 보안의 중요성을 인지하고 이에 대비하기 위하여 스스로 네트워크 장비에 2차 인증을 도입하려는 계획을 수립하고 시행하는 업체가 늘어나고 있다.

 

네트웍스 장비 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일회용 인증키를 생성합니다. 생성한 일회용 인증키와 비밀번호를 입력하여 네트웍스 장비에 로그인한다.

 

 

정보자산 접근제어 2차 인증 솔루션인 BaroPAM을 이용한 네트워크 장비에 로그인 시 비밀번호에 대한 적용 방법은 다음과 같이 3개 안이 있다.

 

 

1안: 로그인-ID, 비밀번호 이외의 추가 인증(2차 인증)으로 일회용 인증키 적용(ID/PW/OTA)

 

2안: 비밀번호를 제거하고 일회용 인증키로 대체(ID/OTA)

 

3안: 비밀번호와 일회용 인증키 결합하여 비밀번호를 일회용 인증키 생성주기별로 새로운 비밀번호를 적용(ID/PW+OTA)

 

BaroPAM은 보안성도 뛰어나지만, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있고, 비용도 저렴하고, BaroPAM을 도입할 때 서버나 DB 같은 추가 도입이 필요 없다.

 

한마디로 BaroPAM외부의 해커나 내부 사용자의 불법적인 네트워크 장비에 접근하는 상황을 제한(접속차단)하여 네트워크 장비의 보안을 강화하는 솔루션이다.

 

이처럼 정보보안을 위하여 각종 네트워크 장비에 대한 2차 인증은 반드시 필수로 적용되어야 할 보안 대비책이며, 이를 통하여 각종 네트워크 장비에 대한 해킹 위협으로부터 안전해질 것이다.

 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.