“금융회사의 암호는 극비입니다. 담당자만 관리해야 합니다. 하지만 실제로는 관리편의상 `너만 알고 있어`라며 여러 사람에게 알려주게 되고 그 비밀번호는 누구나 다 아는 번호가 돼 버립니다.”
드라마 유령의 한 장면이다. 최고 권한 계정을 사용한 시스템 접근은 극히 비밀스럽게 제한돼야 하지만 관리편의상 여러 직원과 공유하고 아웃소싱 기업에도 이를 알려주다 보니 기밀이 아니게 된다는 뜻이다. 이 같은 문제를 해결하기 위한 방안이 나왔다.
지난 주말 제주도에서 열린 제10회 한국침해사고대응팀협의회(CONCERT) 정회원 워크숍에서 퀘스트소프트웨어코리아 유형선 부장은 “최고 권한 계정 패스워드를 열쇠처럼 한 장소에 놔두고 자격을 가진 사람만 꺼내 쓸 수 있도록 하자”는 의견을 제안했다. 물론 이 열쇠를 놔둔 곳을 여러 사람들이 알고 있어 너도 나도 꺼내 쓰면 위험하기는 마찬가지다.
이를 방지하기 위해 하드웨어 타입의 `패스워드 관리 솔루션`을 둔다. 최고 권한 계정 패스워드를 요청하는 사람이 사용시간과 사용목적 등을 패스워드 관리 솔루션을 통해 요청하면 승인권자가 요청사항을 확인 후 승인 또는 거절하는 방식이다. 해당되는 암호는 사용 후 다시 변경되기 때문에 저장 및 재사용이 불가능하다. 또 사용에 로그 기록이 남기 때문에 누가 언제 어디서 무슨 용도로 최고 권한 계정 패스워드를 사용했는지 증거가 남아 사고 발생 시 추적이 용이하다.
이외에도 한국침해사고대응팀협의회 정회원 워크숍에서 △시만텍 모바일 스토리 △악성코드 추적자(블루코트) △2012 NAC가 뿔났다(지니네트웍스) △꼼짝마라 APT 공격(IBM) △윈도8 메트로스타일(MS) 등 참여회사들의 유익한 보안정보가 발표됐다.
정태명 한국침해사고대응팀협의회 회장은 “국내 정보보호 최전방을 책임지는 실무자들이 한 자리에 모였다”며 “대규모 개인정보 유출, 각종 해킹사고 등 대한민국 사이버보안이 갈수록 위험수준이 높아지는 대한민국 보안에 발전이 되는 유익한 자리가 되기를 바란다”고 말했다.
이번 한국침해사고대응팀협의회 워크숍에는 약 100여명의 정보보호 관계자가 참석했다.
장윤정기자 linda@etnews.com