서버접근제어는 인증관리, 계정관리 등을 통해 시스템 접근을 통제하는 기술입니다. 이 문서에서는 서버접근제어에 사용되는 다양한 기술들과 상용 솔루션 종류 및 특징들을 자세히 알아보겠습니다.
서버접근제어 기술
서버접근제어 시스템은 크게 인증기술과 접근제어 기술을 포함합니다. 이와 같이 계정관리와 접근통제를 통합한 형태를 IAM (통합계정관리) 솔루션으로 부르기도 합니다. 대표적인 IAM 서버는 IBM의 Security Secret 서버 등이 있으며 이와 관련해서는 아래의 정보를 참고 바랍니다.
위의 그림은 서버접근제어 솔루션이 가지는 기본 기능을 나타낸 것입니다. 이런 접근제어 솔루션을 통해 우측의 대상 시스템의 접근을 통제할 수 있습니다.
이어서 세부적인 서버접근제어 기술요소를 살펴보고, 이런 기술을 상용화하여 적용하고 있는 솔루션들의 종류 및 특징을 정리해 보겠습니다.
인증기술
우리가 일반적으로 많이 사용하는 인증방식의 하나는 패스워드입니다. 이 외에 인증을 수행 대상의 형태에 따라 다음과 같이 분류할 수 있습니다.
(1) 지식기반: 소유자가 알고 있는 것을 이용한 인증 (패스워드, PIN 코드, 패턴입력 등)
(2) 소유기반: 소유하고 있는 물건을 이용한 인증 (SMS, OTP, 공인인증서 등)
(3) 속성기반: 생체정보와 같이 고유의 속성을 기반으로 인증하는 기술
멀티팩터 인증
위의 3가지 인증기술들은 각각 장단점이 있기에 두 가지 이상을 동시에 활용하는 것을 멀티팩터 인증이라고 합니다.
가령 위의 그림과 같이 패스워드 + 지문인식 + PIN 코드까지 결합한 인증방식을 나타냅니다. 이와 같은 멀티팩터 인증기술의 특징에 대해서는 아래의 이전 글을 참고해주세요.
SSO (Single Sign On)
하나의 사용자 정보로 여러 가지 서로 다른 시스템을 사용할 수 있도록 하는 기술입니다. 기술요소로는 PKI, 생체인식, OTP 등의 인증방식과 LDAP 기반의 관리 그리고 암호화 기반 통신으로 로그인 정보를 보호합니다. 이와 관련한 SSO 솔루션은 다음의 정보를 참고 바랍니다.
SSO는 매번 사용자가 ID와 비밀번호를 입력하는 수고를 덜 수 있으며 패스워드 관리의 부담도 줄여주는 장점이 있습니다.
위의 그림은 SSO를 적용하여 인증을 대행하는 방식의 구성도입니다. 기존 시스템의 인증방식 변경이 어려우면 많이 사용되며 통합 Agent가 인증 작업을 대행합니다.
계정 Life cycle 정책
사용자, 그룹 및 세션별로 다양한 계정정책을 적용하고 관리하는 기능입니다. 관리계정에 대한 일괄 생성, 변경, 삭제가 가능하며 실시간으로 모든 시스템에 동기화 시키는 기능을 포함합니다.
가령 퇴사나 휴직 그리고 부서이동 등으로 권한의 변경 및 삭제가 필요하다면 역시 life cycle 관리를 통해 바로 적용이 가능합니다.
패스워드 정책관리
간단한 패스워드나 오랫동안 변경되지 않는 패스워드는 노출의 위험성이 커집니다. 복잡한 숫자 특수문자의 조합, 로그인 오류시 계정 잠금 등의 기능을 제공합니다.
- 비밀번호 복잡도 설정
- 최대 암호 사용기간 설정
- 최소암호 길이 및 사용기간 설정
- 계정 잠금조건 설정 (비밀번호 오류 3회 연속 등)
통합계정관리정책
사내에는 웹서버, 데이터베이스, 파일서버, CRM 등 다양한 시스템이 산재되어 있는 경우가 많습니다. 또한 근무자 역시 부서 이동, 직책 변경 등으로 권한이 변경되는 경우도 발생합니다.
이런 다양한 경우의 수에 따라 중앙에서 이를 통합 관리하며 주기적으로 정책을 수립하고 적용하는 기능을 제공합니다.
서버접근제어 솔루션
위에서 설명드린 다양한 인증 및 계정통합관리 기술을 적용한 상업용 솔루션의 종류와 특징을 살펴보겠습니다. 참고로 솔루션 선택시 웹 기반으로 통합 모니터링할 수 있는 기능과 함께 다양한 접근제어 기능을 지원하는 제품을 선택하는 것이 좋습니다.
1. IBM Security Secret Server
SIEM 솔루션인 Qradar 및 Splunk 등과 기본적으로 연동되어 IT 서비스관리와 계정관리를 통합하여 관리할 수 있다는 장점이 있습니다.
주기적인 패스워드 강제 변경, 서버와 계정관리 서버 간의 암호화, 계정관리시스템의 동기화 기능을 제공합니다. 또한 RBAC 기반접근통제, 외부 원격접속 지원, 멀티팩터 인증과 같은 유용한 기능도 함께 제공됩니다.
2.NETAND HIWARE
국내 접근통제시장에서 높은 점유율을 가지고 있는 솔루션입니다. 클라우드 환경지원 및 보안위협의 사전 탐지 및 차단기능과 같은 SIEM 솔루션의 기능도 탑재되어 있습니다. 기본 접근제어 기능인 패스워드 정책, 사용자 인증(LDAP, OTP, PKI) 및 계정통합 관리 기능을 충실히 지원하는 솔루션 입니다.
3. 기타 솔루션
이외에도 국내 기업들의 다양한 접근제어 솔루션들은 다음과 같습니다. 검색을 통해 쉽게 정보를 얻으실 수 있으므로 솔루션 BM시 참고하시기 바랍니다.
- 피앤피시큐어 DBSAFER
- 엘에스웨어 Omni-IM
- 휴네시온 NGS
- 에스지앤 SecureGuard
이상으로 서버접근제어 기술의 종류 및 솔루션의 특징들을 비교해 보았습니다.