코마스 ‘Quest TPAM’
시스템의 종류도 많고, 관리자는 부족한 현실 때문이다. 그간 패스워드를 주기적으로 바꾸고 싶지만 패스워드 변경 작업을 자동으로 해주는 솔루션은 없었다. 이러한 요구사항에 맞춰 퀘스트 소프트웨어는 ROOT 패스워드 관리 전문 솔루션 'Quest TPAM'을 개발, 코마스를 통해 공급하고 있다.
다양한 시스템에 패스워드는 오직 하나?
기업의 IT 관리자가 패스워드를 바꾸는 작업을 일일이 수작업으로 한다는 것은 사실상 불가능하다. 패스워드를 자주 바꾸는 것은 고사하고, 여러 시스템을 오랜 기간에 걸쳐 동일한 패스워드를 사용하게 되는 경우가 매우 빈번한 것이 현실이다.
사정이 이렇다 보니 기업 안에서 직원들이 여러 시스템의 패스워드를 알고 있는 것은 물론이고, IT 업체 인력이 기업에 파견되어 시스템 구축이나 개발을 할 때도 패스워드를 다 알게 되는 실정이다. 기업 IT 담당자의 책상에 각 시스템 패스워드가 붙어 있는 경우도 심심찮게 확인할 수 있다.
이런 문제를 해결하고자 최근 주목을 받고 있는 개념이 PPM(Privileged Password Management)이다.
PPM은 누군가가 시스템에 접속하고자 인증을 할 때 어떤 작업을 해야 되겠다는 요청을 하면 그 때마다 새로운 패스워드를 생성해서 제공하게 된다.
이렇게 하면 누가 어떤 작업을 요청해 패스워드를 받았으며, 해당 패스워드로 접속해서 어떤 작업을 했는지 한눈에 파악할 수 있게 된다.
종합적인 접근 제어 기술이 필요하다
지난 해 발생한 농협 보안사고는 유명 IT 기업의 파트너사 직원이 오랫동안 준비했다가 시스템에 접속해 문제를 일으킨 것으로 알려졌다. 계정계 여러 시스템 및 그에 딸린 여러 서브 시스템이 다 망가질 정도로 피해규모가 컸으니 철저한 모의와 준비가 있었을 것이라는 것이 업계의 추측이다.
하지만 사전에 나쁜 마음을 먹고 계획을 했다 하더라도 접속하는 시점에 해당 시스템의 패스워드를 모르면 아무 소용이 없게 된다.
뿐만 아니라 이번과 같은 피해를 입히려면 여러 시스템의 패스워드를 일일이 알아내야 하기 때문에 사실상 실행이 불가능할 수밖에 없다. 패스워드 관리가 그 어떤 대비책보다 중요할 수밖에 없는 이유다.
이처럼 패스워드 관리를 비롯한 다양한 기술을 결합해 IT 인프라의 위협에 대응할 수 있는 기술이 바로 TPAM이다. TPAM은 Total Privileged Account Management의 약자로 종합적인 위협 관리를 가능케하는 기술이다. 관리자 계정을 정책에 입각해 운용하기 때문에 모든 관리자 계정을 배급할 때 철저한 관리와 감사가 이루어진다. 시스템에 접속하는 사람은 작업에 필요한 만큼의 권한만 부여 받게 되므로, 정보 보안과 컴플라이언스가 강화되는 효과를 얻게 된다.
퀘스트소프트웨어는 TPAM분야의 선도 기업으로 유일한 TPAM 솔루션을 제공하고 있다. Root 패스워드에 특화된 전문 관리 서버와 네트워크 장비 등 공유계정을 대상으로 한 실시간 패스워드 생성이 가능한 PPM(Privileged Password Management)솔루션을 비롯해 명령어를 제어하는 PCM(Privileged Command Management), 각 세션에서 어떤 작업이 이뤄졌는지를 녹화하는 PSM(Privileged Session Management) 그리고 애플리케이션에서 다른 애플리케이션이나 데이터베이스에 접속할 때도 PPM과 동일한 기능을 하는 APM(Application Password Management) 기능까지 모두 갖추고 있기 때문이다.
▶ PPM (Privileged Password Management)
PPM은 사용자가 시스템에 접속할 때 필요한 패스워드를 개인이 기억하는 것이 아니라, 솔루션에서 저장하고 있다가 필요할 때마다 실시간으로 제공하는 형식을 취한다. 솔루션 내의 패스워드는 암호화된 상태로 존재하기때문에 해킹이 불가능하다. 패스워드 bolt-in 즉, 패스워드에 자물쇠를 걸어두었다가 사용자의 신원이 확인될 때마다 패스워드를 새로 만들어서 제공하기 때문에 완벽한 패스워드 관리를 할 수 있게 되는 것이다. 사용자가 시스템에 접속할 수 있는 '관리자 권한 요청'을 해오면 PPM 어플라이언스가 사용자의 신원을 확인해 변경된 암호를 제공한다. 접속을 인가한 뒤에는 사용 시간, 접속 기록 등을 모니터링하며, 계정을 수동으로 변경한 경우, 이를 감지해 낼 수 있다. AD, 시큐어 ID, SafeWord, LDAP, Radius 같은 기존의 디렉토리 서비스 및 인증 시스템과 연동되기 때문에 접근 권한을 더욱 철저하게 관리할 수 있다.
▶ PSM (Privileged Session Management)
PPM으로 생성된 패스워드를 제공 받은 접속자가 로그인 했을 때 그 접속자가 무슨 작업을 했는지 종합적인 감사 활동을 하는 기능이다.
사용자가 접속 요청을 해오면 인증을 해서 접속을 허가한 뒤 모든 프록시 기반 행위를 감시한다. SSH, RDP, http, https, ICA, SQL Plus, SQL Window, Telnet, VNC, x5250, x3270 등 다양한 프로토콜을 지원하기 때문에 어떤 방식으로 접속을 했더라도 모두 모니터링 및 제어할 수 있다. 모든 작업 내용을 녹화·재생할 수 있을 뿐만 아니라, 특정 자원에 대한 접근 제한, 활동 중인 세션 확인을 할 수 있으며, 정해진 시간을 초과해서 접속을 하고 있을 때는 알람을 울리고, 연결을 해제할 수도 있다.
▶ PCM (Privileged Command Management)
모든 접속자들의 사용 기록을 남겨서 문제의 근원지를 찾아낸다는 것은 분명 훌륭한 보안책이기는 하지만, 이는 사후관리의 한 방안이다. 그래서 퀘스트 TPAM은 사고를 사전에 예방하기 위해 command(명령어), task(과제) 또는 프로그램별로 해당 접속자가 실행할 수 있는 수위에 제한을 두고 있다.
접속한 사용자가 실행 할 수 있는 명령어, 프로그램을 사전에 설정할 수 있다. 상위 권한이 필요한 일상적인 관리업무 상의 명령어 제한이나, 특정 프로그램 및 특정 명령어 제어를 할 수 있다. PCM은 기본으로 제공되는 보안 수준 보다 높은 수준의 보안 설정이 필요한 시스템을 운용할 때 유용한 솔루션이다.
▶ APM (Application Password Management)
애플리케이션에서 다른 애플리케이션으로 접속할 때도 PPM과 동일한 기능을 하는 솔루션이다. 사용자가 시스템에 로그인하는 것이 아니라 애플리케이션에서 애플리케이션으로 로그인하거나, 애플리케이션에서 데이터베이스로로그인할 때도 PPM에서처럼 접속 요청이 있을 때마다 사용자 권한에 입각해 패스워드를 제공한다.
기업들은 기존에 앱→앱, 앱→DB로 접속할 때도 정해진 하나의 패스워드를 장기간 사용해 왔다. 애플리케이션 개발자들이 이와 관련된 계정 정보를 알고 있으니 다른 앱이나 DB의 액세스 정보가 완전히 노출되어 있는 셈이었다.
APM은 다양한 프로그래밍 언어로 만들어진 애플리케이션에서 다른 앱 및 DB로 접근하려 할 때, 필요한 시점에 제공되는 API를 통해 패스워드를 받아 접속하기 때문에 앱 관련 정보를 변경·훼손하려는 시도를 원천 봉쇄하는 효과가 있다.
단일 어플라이언스로 종합적인 접근 권한 관리
지금까지 소개한 기능 가운데 일부 기능은 개별 솔루션으로 제공되기도 했다. 하지만, 이처럼 종합적인 기능을 다 제공함으로써 시스템 접근 관리에 완벽을 기할 수 있는 솔루션은 없었다. 특히 PPM은 퀘스트 TPAM에서만 제공할 수 있는 독보적인 기술 중 하나다.
퀘스트 TPAM은 PPM, PSM, PCM, APM이 하나의 장비 안에 다 들어 있다. 또, TPAM 장비가 공격을 받을 가능성에 대비해 이 어플라이언스를 보호하는 방화벽이 장비 안에 같이 들어 있기 때문에 기업의 시스템을 노리는, 어떤 불순한 접근에도 완벽히 대응할 수 있는 솔루션으로 각광을 받고 있다. 어플라이언스를 HA나 DR로도 구성할 수 있어 천재지변이 일어나더라도 시스템 접근 관리에 안전을 기할 수 있다.
4가지 중요한 솔루션이 소프트웨어가 아니라, 어플라이언스 형태로 제공된다는 것은 그 자체로 중요한 장점이 된다. 어떤 기업의 복잡한 시스템에도 바로 적용할 수 있기 때문이다. 각각의 서버에 일일이 에이전트 소프트웨어를 설치하는 작업은 매우 번거로울 뿐 아니라, 차후에 소프트웨어를 업그레이드할 때마다 부담을 느낄 수밖에 없다.
더불어 에이전트를 설치하면서 시스템을 안전화 시켰다고 하더라도, 나중에 다른 솔루션을 설치할 때 충돌이 일어날 가능성도 배제할 수 없을 것이다.
하지만 어플라이언스 방식일 때는 오직 어플라이언스와 시스템을 연결만 하면 되고, PPM 등 각 솔루션 상위 버전이 나오더라도 어플라이언스에서만 간단히 업그레이드를 해주면 모든 작업이 끝난다.
퀘스트 TPAM은 이런 장점들을 인정받아 AIG 생명, 씨티은행, HSBC, 메릴린치와 같은 기업들의 접근 관리 솔루션으로 채택됐다. 전세계 금융 분야 상위 10대 기업 중 8개가 퀘스트 TPAM의 고객이다. 국내에서도 금융권과 공공기관에서 도입이 진행됐고, 다양한 산업 군에서 도입을 기획 중인 것으로 알려지고 있다.
김미리 기자
milkyway@itdaily.kr