[보안맨] 관리자 계정 권한 관리

안녕하세요, 보안맨 입니다.

화창했던 봄이 가고 이제 곧 여름이네요 J.

이번 글을 통해 다룰 주제는 바로 ‘관리자(특수) 계정 및 권한 관리’ 입니다. 

필자의 경우, 매년 본사로부터 IT 인프라 환경 침투 테스트를 받으면 항상 제기되었던 문제가 ‘IT 관리자 보안 인식 부족’ 이었습니다. 

관리자 패스워드를 메모장에 저장하거나, 또는 관리자 계정 ID, 패스워드를 공용 파일 서버에 저장해 문제가 되었는데요.

업권에 따라 틀릴 수 있겠지만, 
필자 회사의 경우, 관리자 계정은 중앙 시스템 (e.g. CyberArk)을 통해 안전하게 관리하도록 권고되었는데요. 
물론 비용, 공수 등을 적절성, 효과성 측면에서 상당히 긴 기간 동안 프로젝트가 진행되어야 했습니다.

관련 법규 (개인정보보호법, 정보통신망법)에 따른 ISMS-P (정보보호 및 개인정보보호관리체계 인증) 에서 정의하는 인증 기준은 다음과 같습니다.

“정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.”

관리자 계정은 내/외부 해커에 의해 노출되면 서버가 장악될 수 있는 만큼 엄격히 관리/통제되어야 합니다. 

크게 두 가지 기준을 바탕으로 어떻게 관리자 계정/권한을 안전하게 관리하면 좋을지 살펴보도록 하겠습니다.

• 관리자 등 특수 권한은 최소한의 인원에게만 부여될 수 있도록 
  공식적인 권한 신청 및 승인 절차 수립/이행

필자가 근무했던 기업의 경우, 본사에 이미 특수 권한 계정 관리라는 상위 지침서가 존재 했었으나, 
권한 신청 관련 절차서가 없었습니다. 

따라서, 아래와 같은 포인트를 고려해 특수 권한 관리 절차서를 제정 했는데요.

• -범위: e.g. IT부서에만 적용되는가 or 전 직원에게 적용되는가

• -기준: e.g. 상위 지침서 ‘관리자 권한 관리 지침’을 따른다.

• -목적

• -용어 정의

• -역할 및 책임: e.g. 총괄 책임자 (IT부서장) / IT 운영 관리자 / 보안 담당자 역할 기재

• -관리자 계정 관리

• 1)생성/변경 프로세스

• 2)말소 프로세스

• -모니터링 프로세스

업계 Best Practice 절차서/지침에 회사의 특성을 고려한 맞춤형 절차서를 제정해야 합니다. 
절차 신규 개정 건이므로, 담당 부서 (e.g. IT Infra팀)과 적절한 회의, 회의록 마련, 법적 준거성 확인 등이 필요 했습니다.

Figure1. 관리자 계정 신청 양식

보통 관리자 계정을 추가하거나, 권한을 변경할 경우, 위 신청 양식에 맞춰 형상관리시스템에 승인 요청 로그를 남기게 되는데요. 관리자 계정/권한을 최소한 업무수행자에게만 부여할 수 있도록 일반 사용자 계정/권한 발급 절차보다 엄격한 기준이 적용되어야 할 것 입니다 (임원 또는 보안 책임자 승인 등).

사실 관리자 계정에 대한 정의/범위는 해석하는 이 또는 기관 등에 따라 다를 수 있는데요.

필자 내 회사에서 사용했던 용어를 개념적으로 설명 드리면 아래와 같습니다.

• -개인 계정: 한명이 관리자에게 지정/할당된 계정

• -공용 계정: 여러 관리자들이 공유해서 쓰는 계정

• -서비스 계정: 관리자 개입 없이, 서비스 to 서비스 방식으로 사용하는 계정

중앙계정관리시스템이 도입 되기 전, 공용 계정 관리에 대한 임시 대책으로, 모든 공용 계정 사용 필요 시, 
1차) 작업계획서 작성, 2차) 승인권자 (IT 부서장)의 자필 서명을 득한 뒤, 사용하고, 
모든 작업이 종료하면 계정을 관리하는 지정 인원이 패스워드를 변경 했습니다. 

굉장히 소모적인 업무였고, 지정 인원이 패스워드를 승인 없이 임의로 사용할 수 있는 문제점도 내포하고 있었죠.

따라서 이런 이슈를 해결해주는 전용 솔루션을 도입해서 어느정도 소모적 업무를 해소할 수 있었으며, 
보안성 또한 향상되었습니다.

• 특수 목적을 위해 부여한 계정 및 권한을 식별하고, 별도의 목록으로 관리

위 계정/권한에 대한 승인/변경/삭제 프로세스만으로는 2% 부족한데요. 

실제 절차대로 이행되고 있는지 확인해야 합니다.

중요 관리자 계정/권한 목록을 가지고 있어야, 시스템 내 계정들이 임의로 변경/추가 되었는지 기초자료로서 활용될 수 있는데요.

필자의 경우, 본사 정책(지침서)에 따라, 모든 시스템의 관리자 계정 리스트를 문서화 하고 적정하게 권한이 부여되었는지 반기 별로 검토해야 했습니다.

그 때 보안 담당자 입장에서 아래 사항을 위주로 검토 했었는데요.

• -자산관리대장에 누락된 자산은 없는가?

• -각 계정에 대한 소유자가 명시되어 있는가? If 공용 계정 or 서비스 계정의 경우, 책임자 성명을 기재

• -관리자에게 부여된 계정/권한은 직무 기술서와 비교했을 때 적절히 부여되었는가?

• -전체적으로 최소한의 권한 (Need to know / Need to have principle) 이 부여되었는가?

• -테스트 종료 등에 따른 불필요 계정이 존재하는가?

• -퇴사자 / 부서 이동 인원 발생 등에 따른 불필요 계정이 존재하는가?

• -비즈니스 부서 인원에게 관리자 권한이 부여되었는가?
  
  
  
  

Figure1. 관리자 계정 현황 목록표

관리자 계정 목록표는 정기적으로 갱신이 되어야 할 것 입니다.

현황을 주기적으로 검토, 최신화 하는 일련의 업무에 대해서 별도 절차서를 마련하면 보다 지속적이로 체계적인 관리가 가능할 것 같습니다. 

이때 아래의 사항의 고려되면 좋을 것 입니다.

• -자산은 어디까지 보는가? (e.g. 서버, DBMS, 네트워크 장비, 보안장비 등)

• -절차서 내 담당자 별 R&R (e.g. 보안 담당자는 검토/보고, IT인프라 담당자는 계정 정보 수집 등)

• -점검 주기

• -점검 절차 e.g. 계정 수집 -> 계정 검토 -> 보고 -> 후속 조치

필자의 회사에서는 계정 정보를 수집할 때 상당한 애로 사항이 있었는데요. 

여러 시스템 내의 계정들을 수동으로 입력하다 보니 많은 시간이 소요되었습니다. 

따라서, 계정 정보를 중앙에서 통제/관리/추출할 수 있는 솔루션
(e.g. IAM [Identity and Access Management], 접근 및 계정 관리 솔루션)을 활용하면 
보다 효율적인 업무가 가능할 것 같습니다.

관련 글이 도움이 되셨나요?

궁금하신 사항은 댓글을 남겨 주세요.

감사합니다. J