전체 조직에서 효율적이고 효과적으로 인증 정책을 적용시킬 수 있게 도와주는 제품들이 있을까? 우리가 우선적으로 답하고자 하는 질문은 이것이다. 테스트를 위해 우리는 여러 개의 개별적인 사용자 디렉토리를 모두 비동기 상태로 설정했으며, 각 시스템에 하나도 같은 것이 없는 각자의 인증 정책을 주었다. 단 생체인식 지원은 로컬 인증에만 국한시켰다.

이번 테스트에 참가한 제품들은 하나의 통일된 등급별 인증 정책을 다중 애플리케이션과 사용자 디렉토리에서 강행시키고, 동시에 패스워드, 생체인식, 토큰 및 디지털 증명과 같은 인증 요소들을 지원하는 것들이다. 사용자나 패스워드 디렉토리 동기화와 싱글 사인온 등과 같은 고급 기능들은 요구하지 않았는데, 그 이유는 이런 멋진 기능들이 관리를 단순화하고 엔드유저의 경험을 향상시키긴 하지만, 인증 정책 문제는 취급하지 않기 때문이다.

본지 시러큐스 대학 리얼월드 랩에서 테스트를 하게 된 세 가지 통합 인증 관리 제품은 바이오넷트릭스 시스템즈(BioNetrix Systems)의 바이오넷트릭스 오센티케이션 스위트(BioNetrix Authentication Sutie), 노벨 모듈러 오센티케이션 서비스(Novell Modular Authentication Service; NMAS), 그리고 시큐어컴퓨팅(Secure Coumputing)의 세이프워드 프리미어액세스(SafeWord PremierAccess)였다. 액티브카드(ActiveCard)와 크립토카드(CryptoCard) 또한 초대를 했지만 둘 다 제품 개정 작업 중이며 마감일을 맞출 수 없다는 이유로 거절 했다. 컴퓨터 어쏘시에이트 인터내셔널에서는 제 시간에 맞춰 제품을 보낼 수가 없었다. 그리고 아이비엠의 티볼리는 이번 리뷰의 폭이 너무 좁다고 말했는데, 분명 티볼리가 세상을 보는 시각이 마음에 들지 않는다면 티볼리 제품을 살 일은 없을 것이다.

정책 규정 작업

우리는 수많은 기능들을 수행해줄 정책을 먼저 규정하기로 했다.
우선, 민감한 정도가 다양한 데이터로의 액세스를 갖게 될 사용자 그룹을 할당하기를 원했다. 이렇게 되면, 각 그룹에서는 고유의 인증 필요조건을 갖게 된다. 대부분의 사용자들은 토큰이나 생체인식 인증을 필요로 하지 않는데, 그 이유는 이들이 가치가 낮은, 혹은 내부의 네트워크 자원으로만 액세스할 것이기 때문이다.

하나의 통일된 형태로 이들을 강화하는 정책을 이행할 수 있음을 감안할 때 패스워드면 충분할 것이다. 인핸스드 패스워드(Enhanced Passwords)가 있는 NMAS는 사용자가 추측하기 힘든 패스워드를 만들도록 강요함으로써, 이 부분에서 두드러졌다. NMAS는 또한 패스워드의 시작이나 끝 부분이 아니라 중간에 기호를 배치하도록 요구할 수 있게 한 유일한 제품으로, 이것은 사용자들이 기호가 요구될 때 패스워드의 처음이나 끝 문자로 마침표를 선택하는 일이 많기 때문에 유용한 기능이다.

둘째, 우리는 우리가 중요하다고 생각하거나, 혹은 민감한 자원으로의 액세스를 가진 사용자 그룹에 대해 다중 인증 방안을 요구했다. 바이오넷트릭스는 불 연산을 기반으로 한 강력한 정책 정의 기능을 제공했는데, 여기에는 ‘패스워드와 토큰을 사용하시오’와 같은 간단한 정책이나 ‘패스워드와 토큰 혹은 생체인식을 사용하시오’와 같은 보다 복잡한 정책들을 포함시킬 수 있었다. 노벨 NMAS는 간단한 불 연산(하나의 AND나 OR. 두 가지 모두는 안 됨)을 사용했지만, 다중 정책들에 사용자가 할당될 수 있었다. 시큐어컴퓨팅의 패러다임은 프리미어액세스를 충족시킬 만한 인증 강도에 의존하고 있다.

셋째, 우리는 우리의 정책들이 날짜, 혹은 ‘로컬 네트워크’나 ‘원격 사용자’와 같은 사용자 위치 등의 기타 범주를 지정할 수 있기를 원했다.

마지막으로, 우리가 인증과 액세스 제어 사이의 좁은 길을 가고 있다는 사실을 알고 있기 때문에, 우리는 등급별 인증을 찾았다. 이는 즉 액세스되고 있는 애플리케이션들을 기반으로, 인증의 단계가 올라가는 것을 말한다. 예를 들어, 사용자가 e메일을 확인하기만 한다면, 패스워드로도 충분하겠지만, 중요한 애플리케이션이나 자원으로의 액세스를 시도할 경우에는 보다 많은 신임장을 제시해야 할 필요가 있다. 여기가 바로, 선호하는 웹 지원 애플리케이션들과 함께, 기존의 애플리케이션에 인증 방안을 통합시키기 위한 맞춤 개발이 요구되는 곳이다.

왜 웹 지원일까? 그것은 소스 코드를 입수할 수 있으며, 어떤 지점에서는 인증을 강행시킬 수 있기 때문이다. 또한, 웹 기반 애플리케이션들은 원래부터 씬 클라이언트기 때문에, 엔드유저는 아마도 액티브X나 자바가 있는 브라우저 외에 다른 어떠한 클라이언트 소프트웨어도 필요치가 않다. 물론, 웹 기반 애플리케이션에서 상태를 관리하는 일이 어렵긴 하지만, 웹 기반 인증 및 액세스 제어를 제공하는 것을 목표로 하는 많은 제품들이 나와 있다.

FYI SANS 인스티튜트의 시큐리티 폴리시 프로젝트에서는 사용자, 관리자 및 개발자를 위한 강력한 패스워드를 만드는 데 있어 무료 안내서를 제공하고 있다. 전체 SANS 문서는 www.sans.org/newlook/resources/policies/Password_Policy.pdf에서 구할 수 있다.