2024-03-29 14:55 (금)
[특별기고] 기업 PC관리와 계정관리의 중요성 그리고 효율적 방안
상태바
[특별기고] 기업 PC관리와 계정관리의 중요성 그리고 효율적 방안
  • 길민권
  • 승인 2015.06.11 23:46
이 기사를 공유합니다

단 1분이라도 내부 네트워크에 접속하는 모든 사람 계정 기록하고 모니터링 해야
그 동안 기업들은 외부로부터의 해킹뿐 아니라 데이터와 네트워크에 대한 암호화, 엔드포인트(endpoint) 정보유출 방지 등 다각도로 대비해 왔다. 그러나 상대적으로 내부 관리에 대해 취약한 부분을 인정하지 않을 수 없다. 단적인 예로 최근 CCTV에 숨겨진 백도어가 발견되어 큰 홍역을 치르고 있다. 그런데 정확히 이야기 하면 CCTV 관리프로그램에 백도어가 있다는 것이 정확한 표현일 것이다. 다행히 바이너리 분석 결과 검출되어 대응할 수 있다는 것에 감사해야 할 것이다. CCTV가 없는 곳을 찾는 것이 더 어려운 현실에서 망을 이중화 하여 잘 차단하고, 동영상을 암호화하여 안전하게 보관하고, 장애를 대비해서 망을 열지 않고도 유지보수가 되도록 준비된 기업이 얼마나 될까. [사진. 좋을 김영혁 상무]
 
과연 CCTV만 그럴까. 다음은 필자가 외주관리를 위해 작업 단말의 IP를 모니터링 중 발견한 내용이다. 공공기관으로 내부에서 외부로 나가는 패킷은 모두 막혔고, NAC를 통해 NW를 관리하고 있는 상황이다. 모니터링을 시작하니 PC에서 외부로 나가는 IP 요청이 30여개가 복수로 연결을 시도한 후 바로 막혔다는 알림이 떴다.
 
고객은 당황해 하며 분석을 요청했고 그 결과는 설치된 PC프로그램 즉, 윈도우 업데이트, FTP 라이선스 확인 등 5~6개 정상 프로그램이 외부의 정책서버와 연결을 시도하였고, 나머지는 작업자가 임시로 설치한 쉐어웨어 또는 포터블 프로그램으로 부정 설치된 프로그램이 광고를 가져오려는 시도와 라이선스 확인을 하는 시도였다. 만일 내부 망이 아니라 외부에 연결된 경우라고 가정하면 일반적으로 당연히 있어야 할 트래픽으로 볼 수도 있다.
 
하지만 악성코드나 백도어가 있고 C&C와의 통신을 시도하는 구성이라면 위 CCTV의 경우와 같은 위험이 존재하는 것이다. 다행히 밖으로 나가는 패킷이 막혀있고, 또한 내부로 들어오는 것도 쉽지 않겠지만 어렵다고 불가능하다는 것은 아니다. 이는 내부망 POS의 신용카드 정보가 외부로 유출된 ‘타겟’의 사례를 보면 알 수 있다.
 
앞서 이야기한 CCTV 중계PC 또는 관리PC, 외부 인력을 위해 준비한 작업용 PC, 작은 의원까지 필수로 사용하는 EMR, PACS, 생산라인 관리를 위해 설치된 관리PC, 프랜차이즈 홍보를 위해 연결된 Digital Signage, POS, ATM, CD, 지하철, 철도, 우편, 경마의 무인발권기 등 우리 기업의 개인별도 할당되지 않은 공용PC는 너무나도 많다. 또한 내부 네트워크에 연결되어 서버의 통제를 받는다. 이 PC들의 관리는 통상 제조사에 의지하여 유지, 운영되고 있고, 심지어는 원격을 통해 관리되는 것이 현실이다.
 
전혀 관계없을 것 같은 POS 유지보수를 위해 POS가 설치된 PC에 로그인하여 USB를 통해 개인적인 특별한 SW를 설치했을 경우 내부 관리자는 어떻게 알 수 있을까? 또 그 유지보수 인력이 다음에 같은 방법으로 POS에 모은 정보를 USB를 통해 가져갔을 경우, 아니 앞서 사례로 든 ‘타겟’처럼 내부에서 정보를 모아 망 연계를 타고 외부로 전송할 경우, 어떻게 대처할까.
 
여기에 가장 취약한 부분이 업무에 필요하지만 주인이 없는 공용PC이고 이 공용PC를 이용할 때 관리자 공용 계정을 사용한다는 것이 가장 문제이고 이것이 법적 책임자를 추적하는 것 또한 어렵게 한다는 것이다. 따라서 우리는 단 1분이라도 우리 기업의 내부 네트워크에 접속하는 모든 이에 대한 계정을 쉽고 빠르게 생성하여 할당할 수 있는 체계가 준비되어야 하고, 서버에 접속이 가능하고 파일을 수정할 수 있는 작업자가 사용하는 PC 하나하나를 세밀하게 모니터링 해야 한다.
 
물론 공용PC란 개인에 할당된 것이 아니므로 이를 통합해서 관리하는 체계를 즉, 영업부서에 의해 추가된 POS라 하더라도 이 본체인 PC에 로그인하는 사람은 POS 사용자와 프로그램 유지보수자나 PC 유지보수자의 계정은 달라야 하며 해당 작업은 모니터링 대상이 되어 정보의 유출이나 정보의 삽입 등이 일어나는 상황을 지켜봐야 한다는 의미이다.
 
이런 상황은 상기 언급한 모든 공용PC에 동일하게 적용되어야 하는 이유는 이 PC들이 목적하는 바는 다르게 공급되었지만 HW와 SW적인 유지보수를 위해 상시 접근이 가능한 상태로 존재하고 관리자와는 원거리에 위치하고 있어 관리자가 동행할 수 없을 뿐 아니라 내부 직원이 곁에 있어도 IT 인력이 아니기 때문에 위협을 감지할 수 없기 때문이다.
 
이러한 관리체계는 외주인력의 정확한 실태파악에서 시작한다. 마치 우리가 개인정보 흐름을 파악하여 그 흐름표를 갖고 대처하듯이 외주인력의 흐름에 따른 흐름표를 작성하고 각 단계에 맞는 관리방안을 갖고 있어야 한다는 의미이다. 어떤 기업에 출입시 스캐너와 스피드게이트가 있는 곳이 있는데 지사의 중계서버 접근은 출입카드 외 별도의 통제장치가 없는 경우도 있고, 또 어떤 기업은 대부분의 서버가 IDC에 있는데 IDC 방문 작업에 대해 출입 허가 이외에 작업의 상세 내역을 확인할 방법이 없는 계약도 존재한다는 것이다.
 
각 외주관리에 대한 흐름은 각 기업의 현실에 맞게 관리하는 것은 당연하나 다시 한번 잊지 말아야 할 것은 “단 1분이라도 내부 네트워크에 접속하는 모든 사람의 계정을 기록해야 하고, 그 작업 내역은 서버, 네트워크 장비의 로그만을 의지하지 말고 그 단말의 기록을 적극적으로 모니터링”해야 한다.
 
[글. 김영혁 좋을 상무이사 / yhkim@joheul.com]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★