행정안전부는 지난해 9월 배포한 ‘개인정보의 안전성 확보조치 기준 및 해설서’를 통해 접근관리 항목에 대해 상세하게 설명했다. 개인정보처리자는 시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 하며, 전보·퇴직 등 인사이동이 발생해 담당자가 변경했을 때 접근권한을 변경 또는 말소해야 한다는 내용이다.
이는 권한 및 접근제어 관리(IAM)의 영역으로, 목적 외의 불필요한 접근을 최소화해 정보유출 가능성을 줄이기 위한 것이다. 업무 시스템을 이용할 때 각자 부여받은 아이디와 패스워드를 사용하며, 대부분 자신이 접속할 수 있는 권한이 있는 데이터와 접근이 불가능한 데이터가 있다. 그러나 일반적으로 기업에서 다른 사람의 아이디와 패스워드를 대신 입력해 데이터를 찾는 경우가 비일비재하게 일어난다. 부서 혹은 프로젝트 담당자들, 아니면 휴가 등의 이유로 다른 직원이 업무를 대신 수행하게 되면, 편의상 직원들의 아이디와 패스워드를 공유하게 되는 것이다.
원칙적으로 다른 사람의 권한으로 데이터에 접근하게 된다면 책임있는 의사결정권자의 결재를 얻고 보안팀에 요청해 임시 아이디와 비밀번호를 부여받고, 일이 끝나면 곧바로 폐기해야 한다. 이 과정이 복잡하고 불편하기 때문에 ‘각자 알아서 융통성을 발휘해’ 업무를 진행하게 되고, 정보유출의 가능성은 더욱 더 많아지게 된다.
과도한 ‘융통성’, 고질적인 문제
기능만으로 보면 IAM이 구현하기 어려운 기술은 아니다. 데이터나 시스템에 대한 접근권한을 지정한 후 권한이 있는 사용자만 접속을 허용하며, 권한 내에서만 데이터와 시스템을 이용할 수 있도록 하는 개념으로, 암호화와 같은 고도의 기술을 요구하지는 않는다.
IAM이 어려운 이유는 언제나 그렇듯 ‘사람’ 때문이다. 정책을 제대로 지키기만 하면 IAM이 까다로울 이유가 없지만, 우리나라 기업 문화가 대부분 과도한 ‘융통성’을 상시적으로 허용하기 때문에 상시 정보유출의 위험에 노출돼 있다고 할 수 있다. IAM은 비즈니스 변화에 따라 유동적으로 변해야 하는데, 한 번 정한 IAM 정책을 수년간 유지하다보면 정책을 제대로 지키기 어렵다. 즉 IAM은 비즈니스 프로세스 관리(BPM)의 일부로 포함돼야 하는 필수 기능이다.
조상원 한국CA테크놀로지스 부장은 “IAM은 매우 역동적인 시스템으로, 운영과정이 매우 중요하다. 입사·퇴사자 정보만 반영해서는 안되며, 조직변화, 프로젝트 변화, 외부 협력사 변화, 휴가·병가로 인한 임시적인 업무 인수인계 까지 실시간으로 변화시킬 수 있어야 한다”며 “비즈니스 시스템 전반과 밀접하게 연동돼야 하며, IT 조직의 개입 없이 직원들이 스스로 IAM에 따라 권한 내에서 업무를 할 수 있도록 프레임워크를 구성해야 한다”고 설명했다.
CA의 IAM 제품군의 대표격인 계정 통합 관리 솔루션 ‘아이덴티티마인더(IdentityMinder)’는 사용자 프로비저닝과 셀프 서비스 요청, 계정 거버넌스, 기타 핵심 프로세스를 지원한다. 보다 저렴한 비용으로 계정관리 시스템을 이용할 수 있도록 클라우드 애플리케이션으로 확대했으며, 구글앱스에서 사용자 프로비저닝 기능을 사용할 수 있도록 지원한다. ‘컨트롤마인더(ControlMinder)’는 여러 종류의 플랫폼과 운영 시스템에 대한 권한 사용자 관리를 포함해 서버, 애플리케이션, 장치 보호를 지원하고, 비즈니스 및 IT 활동에 영향을 미치지 않으면서 민감한 정보의 안전성을 보장한다.
한편 CA는 예산과 인력이 부족한 중소기업을 위한 ‘프라이버시마인더(PrivacyMinder)’를 출시했다. 클라우드 가상화 플랫폼 ‘앱로직’에 아이덴티티 마인더, 액세스 컨트롤, 유저 액티비티 리포팅 모듈을 통합해 어플라이언스 형태로 제공한다.
오라클은 접근권한(IM) 솔루션 ‘아이덴티티 매니지먼트(Identity Management)’를 소개하며 이 시장을 공략한다. 오라클 IM은 한번의 강력한 본인인증을 거치면 기업 내외부 사이트에 다시 로그인하지 않아도 되는 기능을 제공한다. 구글 지메일 계정으로 페이스북, 트위터 등에 별도 로그인 없이 접속할 수 있는 것과 같은 원리다.
국내 기업으로는 넷츠, 이니텍 등이 IAM 솔루션을 공급하고 있다. 넷츠의 ‘아이덴티티매니저(Identity Manager)’ 제품군은 인사시스템(HR)과 동기화해 IT 조직의 개입 없이 자동으로 권한정책을 변경할 수 있으며, 모니터링·감사 기능을 제공한다. 넷츠는 하나SK카드, SK텔레콤의 통합계정·권한관리시스템구축을 대표적인 성공사례로 소개한다. 이 프로젝트는 업무시스템과 서버, DBMS에 대한 통합계정·권한관리시스템을 구축해 정책에 따른 계정·권한의 부여/회수와 이를 바탕으로 시스템에 대한 접근 통제가 이뤄지도록 했다.
‘액세스 컨트롤(Access Control)’도 개인정보보호법 이슈에 대응하는 솔루션으로, 접속 모니터링 제어, 권한에 의한 자동 로그인, 계정 및 IP 접근제어 등의 기능을 제공한다.
이니텍의 IAM 솔루션 ‘시냅(SeNeapp)’은 고성능 스위치 일체형 플랫폼을 사용해 대용량 네트워크에서도 고속의 패킷 처리 기술을 제공할 수 있는 장점을 갖는다. 이기종 시스템의 계정을 중앙에서 통합 관리 및 사용자에 대한 접근제어(OS, DB)를 처리하고, 시스템 계정관리 및 사용자 액션 로그를 기록한다. 별도의 하드웨어나 소프트웨어 필요 없이 어플라이언스로 제공되며, 시스템 계정관리, 시스템 계정 접근제어 및 감사로그를 통합솔루션으로 제공한다.
이중인증으로 보안 강화
접근권한 관리를 위해서는 본인 인증이 필수적인 절차이다. 가장 기본적인 인증 방식은 공개키기반구조(PKI)의 디지털 인증서로, 소프트포럼, 이니텍, 라온시큐어, SGA, 한국정보인증 등이 PKI 솔루션을 공급하는 대표적인 기업으로 꼽힌다. PKI 시장은 이미 성숙된 시장으로, 기술의 차별성을 부각시키기 어려운 상황이다.
인증 기술 중 최근 보편적인 트렌드로 자리잡고 있는 것은 이중인증이다. ID/PW 외에 본인이 갖고 있는 전용 단말기 등을 이용해 2단계에 걸쳐 인증을 받는 방법으로, 일회용 비밀번호(OTP) 방식이 가장 많이 사용된다. 일회용 비밀번호는 전용 단말기를 사용하는 경우도 있고, 웹이나 전용 소프트웨어를 사용하기도 하며, 최근에는 스마트폰의 애플리케이션이나 SMS 등을 통한 인증 방식이 적용되기도 한다.
기존의 인증 방식이 더이상 안전하지 않기 때문에 인증절차가 점점 더 복잡해지고 있지만 이중인증, 삼중인증이 이뤄진다 해서 더 안전하다고 할 수는 없다. 본인 확인 절차를 복잡하게 하는 것이 보안을 강화하는 방법은 아니라는 점이다. 보다 편리하게 인증 절차를 단축시키기 위해 클라우드 방식으로 웹을 통한 인증 서비스가 서서히 확장되고 있다.
단 한번의 강력한 인증을 거친 후에는 다시 인증을 받지 않아도 되는 ‘싱글사인온(SSO)’은 보안 요구사항이 비교적 낮은 경우 사용되며, 핵심 업무에는 반드시 한 차례 더 인증을 받도록 해 본인확인을 철저히 한다. 지문이식, 홍체인식과 같은 바이오 정보를 이용하지 않는 한 인증절차를 복잡하게 만드는 것은 그리 큰 효과를 가져오지 않는다. 따라서 개인정보를 관리하는 권한을 가진 당사자가 권한 내의 시스템에서 정보를 활용할 수 있도록 정책을 설정해야 하며, IAM과 인증이 적절하게 조화를 이루면서, 내부정보유출방지(DLP) 기능을 추가하는 것이 필요하다.
CA가 IAM 제품군에 DLP를 통합시켰으며, 시만텍은 DLP 제품군에 권한관리 솔루션인 ‘ERM(Enterprise Rights Management)’과 암호화 및 데이터 보호 기능을 연동시킬 수 있도록 했다.
국내 DLP 전문기업들도 개인정보보호법을 위한 정보유출 방지 솔루션을 소개한다. 블루문소프트의 ‘그라디우스 DLP(GRADIUS DLP)’는 이중인증 시스템을 적용해 본인인증 절차를 강화했으며, DRM의 암호화 기능을 대체할 수 있는 ‘디스커버리 모듈’을 옵션으로 제공해 PC 내 주요문서의 개인정보와 중요정보를 검출한다. 워터월시스템즈는 기업용 DLP 제품에 기본으로 제공되는 기능 중 PC 내 개인정보를 검색하고 암호화하는 기능을 독립시켜 ‘WWPIS’로 공급한다.
DLP와 네트워크 보안 기능을 연계시킨다는 블루코트의 전략도 주목할만하다. 블루코트의 보안 웹 게이트웨이(SWG)는 블루코트 DLP나 써드파티 DLP 제품과 연동해 HTTP와 암호화된 HTTPS 트래픽에 대한 탐지 및 차단 기능을 제공하며 사내메일 서버와의 연동을 통해 외부로 전송되는 아웃바운드 트래픽에 대한 상세 탐지/차단 기능을 제공한다.
실시간 로그관리·감사로 사고 감지
로그관리는 사고가 일어난 후 범인을 색출하기 위한 것으로 생각하기 쉽지만, 실시간이나 실시간에 가까운 로그관리를 통해 이상행위를 감지하고 정보유출을 예방할 수 있다. EMC RSA는 인증과 로그관리 제품군을 제공하고 있으며, 공격 발생 시 피해발생을 최소화할 수 있도록 분석환경을 제공하는 넷위트니스를 소개한다.
RSA 제품군은 거버넌스, 리스크 및 컴플라이언스(GRC)를 위한 보안 솔루션 ‘아처’와 단일 플랫폼으로 엔터프라이즈 로그관리를 지원하는 통합로그관리(SIEM) 솔루션 ‘인비전’, 네트워크 보안 모니터링 플랫폼 ‘넷위트니스’, 정보유출방지 스위트 ‘DLP’로 구분된다.
국내 로그감사 제품으로 위즈디앤에스의 ‘위즈 블랙박스 스위트(WEEDS BlackBox Suite)’가 있다. 이 제품은 내부정보 부정사용 오남용 통합 감시 시스템으로, PC와 AP서버, DB에 이르는 기업 내 모든 정보 흐름을 기록하고 부정 사용 및 이상 징후를 상시적으로 감시, 경보, 추적하는 내부정보 부정사용 통합 관리한다.
위노블에서 국내 총판을 맡고 있는 옵저브IT(ObserveIT)는 ‘서버의 CCTV’라고 설명한다. 마치 CCTV처럼 사용자행위를 스크린샷 형식의 메타데이터로 저장하는 제품이며, 국내에서는 개인정보 유출사고의 감사용으로 사용되고 이다. 이 제품은 삼성전자, 연대 세브란스병원, 방위사업청 등에 공급됐다.
