서버 계정 통합 관리로 보안·효율성 ‘향상’
상태바
서버 계정 통합 관리로 보안·효율성 ‘향상’
  • 오현식 기자
  • 승인 2008.07.29 00:00
  • 댓글 0
이 기사를 공유합니다

삼성생명 / 서버 계정 관리 시스템
제2금융권 최초로 자산 100조원 시대를 여는 등 국내 생명보험 산업을 이끄는 리더인 삼성생명은 최근 높아진 정보 보안 위협에 대응함과 아울러 업무 효율성 향상을 위해 서버 계정 통합 관리 프로젝트를 진행, 업계의 주목을 끌었다. 오늘날 복잡한 이기종 서버로 인한 계정 관리 문제는 금융권 공통의 관심사로 부상한 상황. 퀘스트소프트웨어의 VAS를 기반으로 서버 계정 관리의 효율성을 꾀한 삼성생명의 사례를 살핀다. <편집자>

 

창립 50주년을 맞은 삼성생명은 국내를 넘어 세계적인 기업으로 성장한다는 의미를 담은 ‘재정적 안정을 보장하는 글로벌 선도 기업’이라는 비전을 선포했다. 2015년 자산 260조 규모로 성장해 글로벌 톱(Global Top) 15개 기업에 이름을 올리겠다는 것이 새로운 삼성생명의 비전이다. 이러한 성장 비전 달성을 위해 삼성생명은 보이지 않는 부문에 있어 기업의 내실을 다져가는 작업에도 속도를 높여가고 있다.

특히 고객의 소중한 정보를 지키기 위한 주요 과제인 정보 보안 프로젝트에 적극적으로 투자하고 있는 것은 삼성명이 추진하는 전방위적 내실 다지기를 보여주는 좋은 예다. 이와 관련, 삼성생명은 최근 퀘스트소프트웨어의 서버 계정관리시스템인 VAS(Vintela Authentication Services)를 도입해 서버 계정 보안 혁신을 이끌어 냈다. 삼성생명은 중장기적으로 PC 계정까지 통합해 계정 관리 미흡으로 인한 위험을 원천 차단한다는 계획이다.

계정 관리의 소홀은 잠재 보안 위협
삼성생명이 서버 계정 관리에 나선 것은 다양한 종류의 운영체제를 탑재한 서버 환경을 갖고 있기 때문이다. 데스크톱과 달리 다양한 종류의 운영체제를 탑재한 서버 환경에서 통합 계정 관리는 결코 쉽지 않은 일이며, 이는 계정 관리의 소홀로 이어져 결국 잠재적 보안 위협으로 작용하게 된다. 삼성생명 또한 유닉스, 윈도우 등이 혼재된 다수의 서버를 보유하고 있었으며, 각 계정은 서버 단위로 개별 관리돼 관리 포인트가 서버 대수만큼이나 많게 되는 어려움에 직면해 있었다.

특히 오늘날 금전적 이득을 노리며, 기업 정보 탈취를 다양한 공격이 성행, 계정 관리의 중요성을 더욱 높이는 요인으로 통합 계정 관리를 통합 잠재적 위협 제거는 삼성생명에게 시급히 요구되는 과제가 됐다. 삼성SDS 테크니컬아키텍처 시니어 생보기술운영기획파트 박성주 책임은 “시스템 관리자들이 루트 계정을 사용하는 것에 대한 모니터링과 통제가 중앙 집중적으로 수행되지 않는다는 것은 보안 담당자에게 있어 커다란 보안 위협 중 하나”라며 “시스템 관리 업무의 특성상 여러 명의 시스템 관리자들이 여러 서버의 루트 계정을 공유하고 작업한다는 것은 곧 보안 이슈가 잠재돼 있다고 볼 수 있기 때문”이라고 말 했다.

보안 이슈뿐 아니라 관리의 비효율성도 상당했다. 각 서버의 계정 관리를 위해 보안 담당자에게 막대한 소모적 작업이 요구된 것. 관리 포인트가 단일화돼 있다면 계정 사용에 대한 지침 수립, 사용 현황 모니터링, 사용 이력 분석과 사용 통제 등의 계정 관리가 어렵지 어렵지 않을 수도 있지만, 다수의 서버로 관리 포인트가 분산된 환경에서는 포인트의 분산 정도에 비례해 어려움은 더욱 높아지게 된다. 나아가 통일된 관리 도구가 없어 개별 서버 콘솔 상에서 수작업으로 똑같은 작업을 서버별로 반복 실행해야 한다는 점은 계정 관리의 소모적 요인을 더욱 부각시켰다.

AD기반 계정관리, 시너지 ‘뚜렷’
삼성생명의 사례가 주목되는 것은 앞서 언급한 니즈가 삼성생명만의 문제가 아닌 국내 금융권 대다수의 문제이기 때문이다. 삼성생명처럼 다른 금융권들도 유닉스와 윈도우가 공존하는 인프라로 인해 계정 관리의 어려움과 취약한 보안이란 공통의 문제를 겪고 있다. 서버 계정 통합 관리를 위해 금융권에서 현재 시도하고 있는 가장 일반적 방법은 동기화에 기초한 솔루션을 도입하는 것이다.

하지만, 삼성생명은 동기화가 아니라 단일화된 디렉토리 인프라 상에 이기종 서버의 계정 관리를 통합하는 새로운 시도를 단행했다. 이는 기존 환경에서 제기된 ‘보안’·‘관리’란 두 가지 이슈를 해소하기 위해서는 분산된 계정 정보를 단순히 동기화하는 수준이 아니라 전사적으로 통합된 인프라 차원에서 계정 정보에 대한 통합 접근이 가능해야 한다는 결론에 도달했기 때문이다. 더불어 2006년 액티브디렉토리(AD) 기반의 데스크톱 계정 통합 작업를 수행한 경험이 있었다는 점도 요인이 됐다.

박성주 책임은 “단일화된 인프라 상에서 계정 통합의 이점을 직접 체험했기 때문에 서버 부문 역시 동기화 보다는 인프라 관점에서 접근하고자 했다”고 설명했다. 이러한 측면에서 퀘스트소프트웨어의 VAS는 인프라 관점에서의 서버 계정 통합 관리라는 삼성생명이 원하던 목표에 딱 맞아 떨어진 솔루션이었다. VAS는 유닉스, 윈도우 등이 혼재된 환경에서도 AD상에서 계정 통합이 가능도록 할 뿐 아니라 2006년 구축된 데스크톱 환경을 위한 AD와의 향후 연계도 지원했다. “서버 환경이 이기종이다 보니 데스크톱과 같은 접근이 어려울 것이라고 생각했었지만, 퀘스트소프트웨어의 VAS를 접하면서 생각이 달라졌다”라고 언급, VAS의 역할에 큰 의미를 부여했다.

박 책임은 이어 “삼성생명의 경우 이미 AD가 데스크톱 계정 관리를 위해 구축된 상황이었기 때문에 중장기적으로 보았을 때 서버 계정 관리 역시 AD 상에서 했을 때의 시너지가 상당했다”면서 “AD 상에서의 계정 관리는 ID 관리 툴과 같이 사전에 정의된 기능 중심이 아니라 인프라 차원에서 되는 것으로 삼성생명에게 필요한 관리 기능을 추가하고 정책을 집행하는 데 있어 유연성과 확장성이 높다”고 밝혔다.

삼성생명은 VAS 이외에도 ‘액티브롤서버(Active Role Server)’, ‘패스워드매니저(Password Manger) 등 퀘스트소프트웨어의 솔루션을 설치, 서버 계정 통합 관리 시스템을 구현했다. 2007년 11월 개시돼 2008년 2월 마무리된 AD 기반 서버 계정 통합 관리 프로젝트의 결과를 요약하면, ‘한 명의 관리자당 하나의 계정 제공’으로 말할 수 있다. 기존에는 서버 관리자들이 여러 시스템의 루트 계정을 공유해 보안사고 발생 시 대규모 피해가 발생할 가능성이 높았으며, 추후 책임소재를 파악하기도 불분명했다.

하지만, 계정 통합 관리 체제를 통해 관리자당 하나의 계정을 부여하게 됨으로써 보안 사고가 대규모 정보 유출로 이어지는 위험을 제거할 수 있게 됐다. 또한 관리자의 직무에 따라 다른 권한을 정책에 기반해 부여하게 돼 서버 계정과 관련한 보안 수준을 한층 높일 수 있게 됐다는 점도 서버 계정 통합 관리의 효과라고 할 수 있다.

전사 IAM 구현 ‘기틀 마련’
박성주 책임은 “루트의 막강한 권한이 모든 관리자에게 똑같이 주어지는 것이 아니라 직무에 따라 주어지는 것이 주목할 만한 점”이라며 “관리자들의 직무를 분석해 시스템 관리, DB 관리, 네트워크 관리 등에 따라 권한을 위임하게 됨으로써 서버 계정과 관련한 보안 수준을 이전에는 상상하기 어려울 정도로 높일 수 있었다”라고 평가했다.

두 번째 효과는 계정 등록과 관련한 중복 작업의 감소를 들 수 있다. 기존 각 서버마다 수작업을 통해 일일이 변경해야 했던 것에서 VAS 도입 이후에는 관리 서버에서의 작업이 각 개별 서버에 통합 적용되는 환경이 구현됨으로써 소모적인 중복작업을 제거할 수 있게 된 것이다.

삼성생명에 따르면, 2007년 1천800여건에 달했던 계정 등록/변경과 요청은 VAS 도입 이후에는 94% 감소하고 있다. 계정 관리를 위해 소모적으로 반복되던 서버별 중복 작업을 제거하게 됨으로써 보안 담당자의 업무 부담이 줄어들게 됐으며, 이러한 유휴 시간을 보다 더 가치있는 일에 쓸 수 있게 돼 업무 효율성과 생산성 향상에 일조하고 있다.

업무 효율성과 생산성 향상의 효과는 일반 사용자 단에서도 나타나고 있다. 정책 기반 관리가 되면서부터 계정 관련 헬프데스크 업무가 줄어들고 있다는 점은 이를 반증하는 현상이다. 박 책임은 “사용자 입장에서 단일 계정으로 필요한 모든 서버에 접근할 수 있어 계정 분실 등의 이용요소가 줄어들게 됐으며, 패스워드가 기억이 나지 않거나 할 때 이제는 사용자 스스로가 이를 찾거나 변경할 수 있는 셀프 서비스도 가능해게 돼 헬프 데스크에 도움을 요청하는 사례가 눈에 띄게 줄어들게 됐다”고 분석했다.

다른 한편으로 삼성생명은 이번 서버 계정 관리 프로젝트를 통해 전사적 통합 계정 관리 환경(IAM)으로 진화할 수 있는 기초가 마련된 것으로 평가하고 있다. AD와 연동한 서버 계정 관리 환경 구축으로 각종 애플리케이션을 보다 손쉽게 연동할 수 있는 환경이 구축된 것이다. 박성주 책임은 “향후 삼성생명은 서버 계정뿐 아니라 각종 애플리케이션 로그인 계정까지 액티브 디렉토리 인프라의 활용 범위를 넓혀갈 계획”이라며 “AD와 연동 가능한 VAS덕에 계정과 관련한 전사적인 통합 인프라 마련이라는 목표 달성이 눈앞의 현실로 다가오고 있다”고 만족감을 표시했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.