IT조직에서 발생하는 '접근권한의 빈틈들'

최근 금융권에 발생한 IT중단 사고는 IT와 보안에 긴장감과 함께 복합적인 시사점을 제공하고 있다.

IT중단이 발생한 경우, 중단의 원인은 일반적으로 애플리케이션이나 인프라의 변경에 따른 담당자의 실수나 애플리케이션의 숨겨진 버그 또는 인프라의 노후화가 일반적이다.

그러나 IT중단이 고의에 의해 저질러졌다면 사건의 범위는 IT의 영역에서 보안의 영역으로 확장하게 된다.

논쟁의 중심은 보안의 영역 중에서도 '접근권한(access right)'에 집중되게 된다. 누가 어떤 접근권한으로 의도적인 행위를 했는가를 주목한다.

만약 정당한 접근권한 소유자가 사고를 저질렀다면 사고의 의도에 집중되겠지만, 접근권한이 없는 사람이 접근권한을 몰래 획득해 사고를 발생시켰다면 그 의도성은 물론 접근통제와 관련된 보안 관리의 부실여부도 추가적인 논쟁거리가 될 수 밖에 없다.

IT조직이 외견상으로는 접근권한 관리를 잘 적용하고 있다고 주장하지만 IT의 운영방법들을 살펴보면 여전히 접근권한의 빈틈들이 존재한다.

이번 칼럼에서는 접근권한과 관련된 IT조직의 문제점을 이야기 해보겠다.

■접근통제 정책과 전략의 부재

접근권한에 대한 관리를 '접근통제(access control)'라고 부른다. ISO/IEC 27001과 같은 정보보호의 국제표준에서는 접근통제를 15개 보안 통제 그룹의 하나로 다루고 있다.

표준에서는 애플리케이션이나, 서버 및 네트워크 장비 별 접근통제보다는 정보나 접근 대상에 일관성 있는 접근통제 정책(policy)을 우선적으로 수립하고, 그 정책에 맞게 접근통제 전략을 적용하도록 하고 있다.

IT조직이, 승인과정을 거쳐서 접근권한을 부여하고 있다 하더라도, 접근통제 정책이나 전략이 없다면, 네트워크 영역이나 네트워크 장비, 서버 및 애플리케이션에 따라서 부여된 접근권한들이 들쭉날쭉해질 수 밖에 없다.

이것은 접근권한을 부여하는 역할이 흩어져 있고 담당자들마다 판단기준이 다르기 때문에 발생하는 현상이다.

■IT조직이 잘 모르는 정보의 민감도

접근권한이 일관성 없는 이유 중에 또 하나는, IT조직이 보관하고 있는 정보들의 민감도를 잘 모른다는 것이다. IT조직들은 애플리케이션 개발이나 인프라 운영이 주요 관심사여서 IT인프라 내에 존재하는 정보가 비즈니스적으로 어떤 가치와 영향도를 지니고 있는지에 관심이 없거나 잘 모르는 경우가 있다.

이들 정보의 가치는 IT조직에 정보의 관리를 일임한 비즈니스 또는 사용자 측이 가장 잘 알기 때문이다. 그러다 보니 정보의 민감도를 중심으로 저장되거나 유통되는 경로상의 인프라와 애플리케이션들의 접근권한을 부여하는 것이 아니라, 이미 존재하는 IT아키텍처 구조를 중심으로, 즉 IT의 입장에서 접근권한을 부여하게 된다.

IT 아키텍처 구조가 정해진 이후에 중요한 정보가 IT공간에 위치하게 되면 이 정보를 기준으로 아키텍처를 변동하는 것은 거의 불가능할 수 밖에 없고, 정보의 민감도를 중심으로 접근권한을 할당하는 것이 애매하거나 어려울 수 밖에 없다.

■운영에서 발생하는 접근권한 빈틈들

IT조직의 운영과정에서는 평상시 지켜지던 접근통제의 원칙이 해제되는 경우가 존재한다.

테스트환경(test environment)에서 설치 대기 중인 서버를 운영환경(live environment)으로 이전하는 경우를 살펴보자.

테스트환경에서 허용된 서버 접근권한은 상대적으로 느슨하다. 느슨한 접근권한을 가진 서버가 운영환경으로 진입하는 경우, 운영환경의 네트워크 접근권한이 1선에서 방어해주지 않는다면 느슨한 서버를 통해 운영환경내의 위치한 민감한 정보에 접근을 허용할 수 있는 가능성이 존재한다.

변경 프로세스가 견고한 IT조직은 느슨한 테스트 환경에서 민감한 운영환경으로 이전작업을 하는 경우 이것을 '변경'으로 간주한다. 그리고 변경 영향 검토과정을 통해 접근권한을 높은 수준으로 수정하여 이전 하도록 하고 있다.

이에 반해 상대적으로 허술한 변경 프로세스를 가진 IT조직들은 서버의 실물이 변경되는 경우(i.e. CPU 또는 디스크 증설 등)에만 변경으로 처리하는 소극적인 자세를 취하는 경향이 있다. 물리적인 실물이 아니라, 서버의 환경이나 서버 내부의 구성이 논리적으로 변동되는 경우는 변경으로 처리하지 않는 경우가 많다.

따라서 이들 IT조직은 서버를 이전한 이후에야 느슨한 접근권한을 수정하거나 느슨한 접근권한의 수정 작업 자체를 깜빡 잊어버리기도 한다. 이런 상황은 특정 기간 또는 상당 기간 동안 접근권한의 빈틈이 운영환경에 존재하는 것을 의미한다.

접근권한의 빈틈은 서버와 애플리케이션의 종료 때도 발생한다. 용도가 끝나 다른 서버나 애플리케이션으로 임무를 넘기는 경우, 운영환경에서 퇴역한 서버나 애플리케이션이 찌꺼기 계정을 품고 웅크리고 있을 수 있다.

임무전환 당시 작업의 편의를 위해, 또는 외부 직원을 위해 느슨한 접근권한을 추가했었다면 퇴역한 서버나 애플리케이션은 빈틈이 아니라 '시한폭탄'인 셈이다. 상당수 IT조직들은 아직 임무가 종료된 서버나 애플리케이션을 어떻게 다뤄야 하는 지와 관련된 절차가 없거나 부실한 경우가 많다.

■외부 인력에 의한 접근권한 빈틈들

IT조직이 외부 인력에게 특정 업무를 위탁하거나 작업 과정에서 협업을 하게 되는 경우에도 접근권한의 빈틈이 발생한다.

외부 인력의 퇴사와 같은 인력 변동에 대해서 IT조직은 수동적으로 통지를 받는 입장이다. 따라서 IT조직은 퇴사 사실을 즉각적으로 통지 받지 못 할 수 있다. 또 외부 인력을 '활용'하는 IT 부서와 접근권한을 '관리'하는 IT 부서가 다를 수 있다. 이 두 가지 상황이 겹치게 되는 경우 접근권한의 빈틈이 발생할 수 있다.

IT조직의 근무지에 상주하지 않고 작업이 있을 때마다 방문하게 되는 외부 인력의 경우는 접근권한을 임시로 부여했다가 작업이 끝나면 바로 회수를 해야 한다. 그러나, 해당 접근권한이 IT직원과 공용으로 사용하는 계정인 경우는 계정 자체를 삭제하는 것이 불가능하다.

이 경우 작업이 끝난 다음에 패스워드를 변경하는 것으로 대체해야 하는 데, 작업 과정의 정형화된 프로세스를 통하지 않는다면 패스워드가 실제 변경되었는지를 IT담당자의 진술이나 꼼꼼함에 의존하게 되는 한계가 존재한다.

■접근통제를 위한 전담조직

보안 수준이 높은 글로벌 IT조직에서는 접근통제를 총괄하는 전담 조직을 구성하고 있는 경우가 있다. (전담조직이 비즈니스 조직에 있는 경우도 많다.)

전담조직을 통해 산재되어 있는 접근통제 관리 권한을 통합하고 접근통제의 정책과 전략을 바탕으로 일관성 있는 정보의 접근권한을 유지하도록 하고 있다.

전담조직의 존재 유무가 사고를 줄이는 데 직접적으로 기여하거나 보안이나 운영 수준을 즉각적으로 높여 줄 수는 없겠지만, IT운영자로부터 한 걸음 떨어진 입장에서 독립성과 객관성을 유지해주는 역할을 한다는 점은 매우 중요한 장점이다.

■IT운영에 내재화된 접근통제

네트워크장비에서 허술한 접근권한이 발견되면 네트워크 담당자는 서버에서 잘 막아줄 거라고 이야기한다. 서버의 허술한 접근권한이 발견되면 서버 담당자는 네트워크가 잘 막아줄 거라고 이야기한다.

네트워크와 서버 담당자간의 돈독한 신뢰관계(?)를 의심하는 것은 아니지만 사건 사고에 따라서는 동시에 허술해지는 경우가 발생하게 마련이다. 안 좋은 일은 떼로 몰려온다는 얘기가 있지 않은가.

관련기사

IT가 변화하지 않고 처음 이미지 그대로 멈춰있다면 접근권한의 빈틈은 상대적으로 줄어들 수 있다. 그러나 IT내부의 인프라나 어플리케이션들은 끊임없이 변화를 거듭하고 있다. 이런 변화를 처리하는 과정에서 빈틈들이 외부로 방출되는 것이다.

변화를 처리하는 IT조직의 운영 프로세스 내에 접근통제의 정책과 전략이 내재화되어 있어야만, 이러한 빈틈들을 그나마 발견하고, 메워나갈 수 있지 않겠나.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.