이러한 문제를 해결하기 위해서는 각 기관과 기업은 다양한 보안 문제와 내부 시스템을 보호하기 위해 정보보안 관리체계를 수립해야 하며 그 시작은 시스템 계정과 패스워드의 관리부터 시작해야 한다.
계정의 기본 구성 요소는 아이디와 패스워드이며, 이 두 가지를 통해 고유한 식별이 가능하게 된다. 정보시스템은 아이디만으로 고유한 식별이 불가능하기 때문에 패스워드를 통해 정확한 식별과 인증 과정이 이루어진다. 따라서 정보시스템의 계정관리는 정보 보안에서 매우 중요하며 ‘패스워드 관리’는 그 핵심이라 할 수 있다.
하지만 많은 시스템 관리자는 업무의 편의를 이유로 패스워드를 타인과 공유하고 있고, 업무 과중으로 인해 패스워드를 정기적으로 변경하지 못하고 있다. 이러한 문제로 인해 ‘네이트온 개인정보 유출 사고’, ‘카드 3사 개인정보 유출 사고’와 최근 ‘알패스 16만 회원정보 유출 사고’와 같은 정보 보안 사고가 끊임없이 일어나고 있는 것이다.
정부에서도 이런 반복적인 보안 사고를 방지하기 위해 ‘정보통신망법‘, ’행정안전부 정보통신 보안업무 규정‘과 같은 보안 컴플라이언스를 마련해 패스워드 관리에 대한 강제성을 부여하고 있는 상황이다. 따라서 패스워드에 대한 중요성을 고려해봤을 때 패스워드 관리 시스템은 다음과 같은 기능을 제공해야 한다.
▲패스워드를 가지고 있는 모든 시스템에 대해 패스워드 관리가 가능해야 한다.
모든 시스템이 아닌 제한적인 범위의 패스워드 관리는 관리자의 업무 과중을 줄여줄 수 없고 또 다른 패스워드 공유의 결과를 낳게 된다.
▲일 방향 암호화 법규를 준수해 패스워드 유출로부터 안전해야 한다.
패스워드의 중요성은 아무리 강조해도 부족하지 않다. 패스워드 관리 시스템은 패스워드를 저장할 때 반드시 일 방향 암호화 통신을 적용해야 하며, 이를 통해 패스워드가 외부로 유출되는 일이 없도록 해야 한다.
▲패스워드 관리 시스템은 편리성을 제공해야 한다.
좋은 정보 보안 시스템은 관리자가 운용하기 편리해야 한다. 관리자는 편리한 UI와 다양한 형태의 보고서 제공 기능 등을 통해 만족할만한 도입 효과를 누릴 수 있게 된다.
▲이러한 보안성과 편리성을 갖춘 패스워드 관리 시스템을 통해 강력한 패스워드 관리체계가 구축된다면 시스템 관리자는 더 이상 패스워드 때문에 고민할 필요 없이 다른 영역의 보안 관리체계를 준비할 수 있을 것이다.
★정보보안 대표 미디어 데일리시큐!★