주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

▶ 회사소개/보도자료

[군사저널]정보자산 접속 시 보안강화를 위한 2차 인증(추가 인증)의 필요성

누리아이티 2019. 4. 22. 04:53

IT와 관련된 업무를 하거나, IT 기기를 다루는 모든 사람에게 "보안(Security)"은 매우 중요하다.

 

많은 IT 담당자들이 생각하고 있듯이 서버접근제어(SAC, System or Server Access Control) 솔루션은 제대로 된 보안 솔루션으로 보기에는 무리가 있다. SAC가 일부 계정통합관리 및 접근제어(Access Control)와 감사(Audit) 기능을 갖고 있다지만 그 기능이라는 것이 대부분 우회와 인젝션(Injection)이 매우 쉽게 가능하기 때문에 단독으로는 어떠한 기능도 제대로 된 수준으로 구현할 수 없음에도 불구하고 그러한 단점을 감추며 승승장구 하고 있는 모습을 보면서 우리나라 IT 종사자들의 기초체력의 부실함이 여실히 드러나는 것 같아 안타까운 마음이 들곤 한다.

 

실제로 SAC 솔루션을 도입한 대부분의 대기업이나 공공기관에서 SAC를 이용해 계정통합관리와 서버보안 그리고 시스템접근제어를 한번에 해결하려 시도하지만 프로젝트 기간이 지나면 지낼 수록 한계를 절감하고 서버보안SW를 별도로 도입하기로 하거나 이미 도입되어 있는 서버보안SW를 대체할 수 없음을 절감하게 된다.

 

특히나 군에서의 보안은 더욱 더 중요할 것이다.

 

중국군의 해킹 침입으로 미국 군수업체의 컴퓨터 데이터베이스에 침입해 F-22, F-35 전투기와 C-17 수송기 등의 부품 정보를 빼돌렸으며, 미국 연방인사관리처(OPM)의 전산 시스템이 해킹을 당해 전·현 연방공무원 400만명의 정보가 유출되었다라는 언론 보도도 있었다.

 

최근 가상화폐를 노린 해킹 사고의 잇따른 발생으로 투자자들이 불안에 떨고 있는 가운데 정부가 피해 확산 방지를 위해 현장 보안 점검을 실시한 가상화폐 취급업소에서도 해킹이 발생한 것으로 밝혀졌다.

 

과기정통부와 한국인터넷진흥원(KISA)은 계속해서 발생하고 있는 가상화폐거래소의 해킹사고 예방과 피해 확산 방지를 위해 지난해 9월부터 12월까지 10개사, 올해 1월부터 3월까지는 21개사의 보안 점검을 실시한 바 있다. 

 

문제는 정부가 취급업소의 보안 수준을 점검한 업체에서도 해킹사고가 발생한 것이다. 정부의 보안 점검일자와 해킹사고 발생일자를 확인한 결과 유빗은 지난해 10 26일과 27일에 정부의 점검을 받았지만 12 19일에 해킹사고가 발생해 259억원 상당의 해킹사고가 발생했다.

 

마찬가지로 코인레일은 올해 2 8~9일에 점검을 받았지만 6 10일에 해킹이 발생해 530억원 상당의 피해를 당했으며, 빗썸은 지난해 11 29~30, 올해 2 22~23일 등 2차례의 점검에도 불구하고 6 19일에 해킹사고가 발생해 350억원 상당의 피해를 당했다.

 

가상통화 취급업소의 특성상 사이버사고 위협에 항상 노출돼 있어서 보안에 더욱더 신경 써야 하는 이유가 여기에 있다.

 

지금 이 글을 읽고 있는 보통의 평범한 사람들도 스마트폰을 사용하고 있다면 "보안"이라는 두 글자를 반드시 기억해야 한다. 일반 사용자들까지 "보안"에 신경 써야 하는 이유는 온라인 상에서 ""를 나타내는 작은 정보들이 내가 아닌 다른 사람에게 노출(유출) 되는 순간 온라인상에서의 "" "내가 아닌 나"로써 스스로 제어할 수 없게 되기 때문이다.

 

강력한 보안을 위해서는 2,3 단계의 과정을 더 거치게 되기 때문에 번거롭고 복잡하다는 생각을 할 수도 있다. 그러나 이러한 보안과정이 해킹이나 정보 유출로부터 자신의 정보를 안전하게 지켜줄 수 있다. 그래서 "최신 기술"들은 복잡하고 번거로운 과정을 조금 더 간단하고 쉬우면서도 안전하게 개인의 정보를 지킬 수 있도록 하기 위한 방법으로 발전하고 있다.

 

개인 정보 보호 및 정보 유출의 피해를 최소화 하기 위해서는 정보자산의 주기적인 비밀번호 변경이 중요하다. 그러나 보안 전문가들은 정기적인 번호변경 못지 않게 비밀번호를 설정하고 관리하는 방법이 더욱 중요하다고 말한다. 개인정보 유출사고 피해를 입은 사람들 중에는 외우기 쉽거나 유추가 가능하도록 비밀번호를 설정하거나 또는 여러 정보자산에 대해 동일한 비밀번호를 사용하는 경우가 많았기 때문이다.  

 

 [그림1-비밀번호 사용 현실 및 그로 인해 발생할 수 있는 사고]

 

현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)개인정보의 기술적·관리적 보호조치 기준(고시)’ 4조 접근통제 항목에서 서버의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성해야 한다고 규정하고 있다.

 

개인정보보호법의개인정보 안전성 확보조치 기준5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 비밀번호를 구성하도록 명시하고 있다.

 

이처럼 서버에서 비밀번호 설정이나 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 비밀번호를 잘 기억하지 못해 혼란을 겪는비밀번호 증후군및 일정기간이 지나면 비밀번호 재설정에 대한 비밀번호 리셋 증후군이라는 말까지 생겨났다.

 

최근 수년간 금융사 내부 망에 위치한 서버의 고객 금융정보 유출사고가 빈번하게 발생하자 금융감독원이 그에 대한 보안 대책을 제시하고 나섰다. 네트워크, 개인 업무용 컴퓨터의 보안을 강화시켜도 서버에 접근 권한을 부여 받은 관리자, 개발자, 외부 인력에 의해 대량의 개인정보가 유출되는 사고들이 발생하자 늦었지만 서버에 대한 보안의 중요성을 깨달았기 때문이다.

 

금융감독원 전자금융감독규정 2013 12월 개정안 내용

 

일단 2013 12월에 공지된 금융감독원의 전자금융감독규정을 보면, 14조에 다음과 같은 내용이 추가 되었다.

 

9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것<신설 2013.12.3>

 

위의 제14 9항은 서버에 Telnet, FTP, SSH 등의 방법을 통해 운영체제의 계정인 root, oracle, jeus 등 시스템 관리자 계정 및 서비스 관리자 계정으로의 접속 시 OTP, ARS, PKI 등의 추가적인 인증 수단을 마련하도록 의무화한 것이라 볼 수 있다.

 

이러한 조치는 외부 및 내부 인력의 무분별한 서버 직접 접속을 제한하고 실제 접속자가 누구인지를 인증하기 위해서 취해졌다. 이렇게 함으로써 보안사고 발생 시 감사 추적을 용이하게 하고 사고 발생 시점에 서버에 접속한 사용자(개발자, 운영자, 외부 인력 등)를 식별 함으로써 개인정보 및 중요 정보의 유출 피해를 줄일 수 있다.

 

정보자산의 Telnet, FTP, SSH 접속 시 2차 인증 구현 방안

 

국가정보자원관리원의 "정보자산 관리지침"의 제3 1항에서 다음과 같이 정보자산을 정의하고 있다.

 

"정보자산"이란 제6조의 분류기준에 따른 하드웨어, 소프트웨어, 네트워크 등으로 증설 부품ㆍ유지보수용 부품을 포함한다.

 

정보자산 중 하드웨어나 네트워크 운영체제의 계정 접속에 대한 2차 인증 구현을 위해서는 운영체제의 기능만으로는 불가능하다. 이는 운영체제의 인증과정이 추가적인 인증모듈을 강제로 삽입하여 구현하여야 하는데, 이는 운영체제에 대한 깊은 이해가 있어야 가능한 기술이다. 

 

[그림2-PAM 아키텍처]

 

그러나, Mac/Linux/Unix의 경우 운영체제에서 “PAM(Pluggable Authentication Module)”이라는 2차 인증을 적용할 수 있는 모듈을 제공하며, Windows/NT-Server의 경우 “GINA/CP”라는 추가 인증을 적용할 수 있는 모듈을 제공하고 있다.

 

 [그림3-Windows CP 아키텍처]

 

정보자산의 Telnet, FTP, SSH 접속 시 2차 인증의 필요성

 

그 동안 네트워크에 연결되어 있는 서버의 2차 인증은 "금융감독원 전자금융감독규정"에 의하여 그나마 금융기관은 진행되어 왔으나, 서버 이외의 네트워크 장비, 스토리지 같은 폐쇄적인 운영체제를 사용하는 정보자산은 제공업체의 말만 믿고, 계정 관리는 서버에 밀려서 관리의 사각지대에 놓여 있다.

 

조사 결과 폐쇄적인 운영체제를 사용하는 정보자산은 대부분 공개 소스 기반의 임베디드 리눅스(Embedded Linux)를 기본으로 하며, 임베디드 리눅스 환경하에서는 정보자산의 제어 및 관리가 하나의 시스템 S/W로 운영되고 있는 것이 확인 되었다.

 

폐쇄적인 운영체제를 사용하는 정보자산에 대해서 전문적 지식이 부족한 정책 입안자들의 입장에서는 그나마 쉽게 접근할 수 있는 서버의 보안을 우선 시 할 수 밖에 없었을 것이고, 정보자산에 접속하는 운영자 입장에서는 스스로의 발목을 잡는 보안 이슈는 쉽게 제기할 수 없었을 것이다.

 

하지만 정보자산이 해커에게 노출될 경우 이와 연결된 정보자산에 미칠 영향은 그 동안 발생한 서버 해킹보다 상상할 수 없이 큰 피해를 발생시킬 수 있다. 그러므로 정보자산의 보안에 대한 중요성을 자각하는 데서 그치지 않고 보안강화를 위한 조치가 신속하게 취해져야 한다.

 

최근 들어, 금융권에서 네트워크 장비에 대한 보안의 중요성을 인지하고 이에 대비하기 위하여 스스로 네트워크 장비에 2차 인증을 도입하여 시행하는 업체가 늘어나고 있다.

 

이는 업체들이 내부적으로는 정보자산의 계정도용 방지, 정보자산 보호, 해킹 및 정보유출을 방지하고 이용자들에게는 비밀번호를 주기적으로 변경하고 기억해야 하는 불편함을 해소시키고, 대외적으로는 업체의 신뢰도를 높이기 위해서다.

 

모든 정보자산에 대한 2차 인증 정책은 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다. 

 

[그림4-정보자산의 2차 인증 정책]

 

Windows 환경에 대한 BaroPAM 솔루션의 보안 전략은 3단계로 구성되며, 1단계는 Windows 부팅 시 CMOS 보안(Password), 2단계는 전형적인 기본 보안(ID/Password), 3단계는 일회용 인증 키를 적용한 보안 전략으로 구성되어 있다.

 

[그림5-Windows 환경의 보안전략]

 

Mac/Linux/Unix 환경에 대한 BaroPAM 솔루션의 보안 전략은 3단계로 구성되며, 1단계는 전형적인 기본 보안(ID/Password), 2단계는 일회용 인증키를 적용한 보안, 3단계는 이상접속 탐지 및 차단을 통한 불법적인 정보자산의 접속 제어로 구성되어 있다.

 

[그림6-Mac/Linux/Unix 환경의 보안전략]

 

데이터베이스 환경에 대한 BaroPAM 솔루션의 보안 전략은 3단계로 구성되며, 1단계는 전형적인 기본 보안(ID/Password), 2단계는 일회용 인증키를 적용한 보안, 3단계는 데이터베이스 접속 시 일회용 인증키를 적용한 보안으로 구성되어 있다. 

 

[그림7-데이터베이스 환경의 보안전략]

 

이처럼 정보보안을 위하여 각종 정보자산에 대한 2차 인증은 반드시 필수로 적용되어야 할 보안 대비책이며, 이를 통하여 각종 정보자산에 대한 해킹 위협으로부터 안전해질 것이다. 

 

[그림8-지문인식인증카드]

 

주식회사 누리아이티는 기존 플라스틱 인증카드에 지문인식 모듈(BTP)을 내장한 제품을 2018.8.8~10일 삼성동 코엑스에서 열리는 소프트웨이브 2018”에서 야심차게 공개했다. 금융 거래는 물론 신분 확인 등 보안 및 인증이 필요한 모든 영역에서 활용할 수 있다. 휴대가 간편하고 카드를 분실하거나 비밀번호가 노출되더라도 지문인증이 필요하기 때문에 타인이 사용할 수 없다는 장점을 갖췄다.

 

시장 조사 기관인 ABI 리서치(ABI Research)는 국제 카드결제 표준규격(EMV)을 만족하는 스마트카드(IC카드)의 글로벌 출하량이 지난해 약 27억 개에서 2020 35억 개로 급증할 것으로 내다봤다. 이런 추세에 따라 전자 지문인식 카드의 수요도 빠르게 확대될 전망이다.

 

[그림9-솔루션 구성도]

 

주식회사 누리아이티 이종일 대표는 "세계 최초로 지문을 카드에서 직접 등록하는 방식을 적용하여 카드의 편리함을 유지하면서도 생체 인식으로 보안성을 강화한 제품이기 때문에 시장의 반응이 뜨거울 것으로 본다" "앞으로 생체인식 기술을 국내외는 물론 강력한 보안이 필요한 중요시설 및 기업의 정보자산의 접근제어 뿐만 아니라 신용/체크카드, 사원증/출입증/보안카드 등 다양한 분야로 확대해 나갈 것"이라고 강조했다.

 

-유도전류를 이용한 무충전 방식의 지문카드

 

-충전방식의 지문인식 OTP카드