최후의보안 –“패스워드 관리방안 - cloudsec ·...
TRANSCRIPT
#CLOUDSEC
굿모닝아이텍 소개
Virtual Solution Application Security
Big Data Infra Solution
vSphere
NSX
VDI
405억2015년 매출액
350 고객사
AWARD글로벌상용SW 미래부장관상
Vmware Partner Exchange
153명관련 임직원
250 유지보수 고객사
110 엔지니어
20 영업대표
Seminar희망나눔 마라톤(17th)
국립공원 명산탐방
100보안솔루션 고객사
Family가족체험 행사
해외문화연수
IT보안 가상화 클라우드 전문기업
<2016.7월 현재>
#CLOUDSEC
패스워드 변경하기
※ 패스워드를 만드는 고충을 생생히 표현하기 위해 영어 속어 표현 사용을 양해 부탁드립니다.
“죄송합니다. 이미사용중인패스워드입니다.”
“3개월이 경과되었기 때문에 새로운 패스워드를 등록하시기 바랍니다.” - roses
“죄송합니다. 너무짧습니다.” - pretty roses
“죄송합니다. 최소 1개이상숫자가 들어가야 합니다.” - 1 pretty rose
“죄송합니다. 공백이포함되어서는 안 됩니다.” - 1prettyrose
“죄송합니다. 최소 10개이상의다른문자가 들어가야 합니다.” - 1fuckingprettyrose
“죄송합니다. 최소 1개이상대문자가 있어야 합니다.” - 1FUCKINGprettyrose
“죄송합니다. 대문자가연속으로 나와서는 안 됩니다.” - 1FuckingPrettyRose
“죄송합니다. 최소 20자이상이어야 합니다.” - 1FuckingPrettyRoseGiveMeAccessRightFuckingNow
#CLOUDSEC
비밀번호 관리는 이렇게???최악의 비밀번호 Top 12 (출처 : SpashData )
순위
#01
#02
#03
#04
#05
#06
#07
#08
#09
#10
#11
#12
2015123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball
welcome
1234567890
2014123456
password
12345
12345678
qwerty
123456789
1234
baseball
dragon
football
1234567
monkey
2013123456
password
12345678
qwerty
abc123
123456789
111111
1234567
iloveyou
adobe123
123123
sunshine
2012password
123456
12345678
abc123
qwerty
monkey
letmein
dragon
111111
baseball
iloveyou
trustno1
2011password
123456
12345678
qwerty
abc123
monkey
1234567
letmein
trustno1
dragon
baseball
111111
#CLOUDSEC
공유계정과 최고 권한계정의 관리
₪ Shared Administrative Accounts with shared password
root / administrator / oracle / system / tibero / sa / tmax ……
해당 시스템(데이터베이스)에 대한 무제한 데이터 열람, 수정, 삭제 권한
시스템(데이터베이스)내 주요 파일에 대한 수정 및 로그파일 위·변조 가능
비밀번호 변경 주체 불확실, 비밀번호 노출 시 추적 불가능
외부직원Unix/Linux
Admins
Business
Applications
감시, 모니터링DBAsWindows
Admins
SecurityServer ApplianceNetworkDatabase Application
Patch (OS, DB) System Check Service manage Batch script
root
Administrator
enable, admin
oracle
was
개인계정
운영계정
테스트계정
휴면계정
# 최고권한계정 요청사유
#CLOUDSEC
비밀번호 관리의 현실
#CLOUDSEC
비밀번호 탈취하기(3.20 사례)
Putty…
FileZilla…
SecureCRT…
mRemote……
: 접속프로그램 검색
인증정보 탈취IP / ID / Password
#CLOUDSEC
IT보안사고 및 비밀번호 컴플라이언스
정보통신망 이용촉진 및 정보보호 등에 관한 법률
제15조
4. 비밀번호 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를말한다)의 일방향 암호화 저장
전자금융감독규정
제14조
9. 정보처리시스템의 운영체제(Operating System) 계정으로
로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의
추가인증 절차를 의무적으로 시행할 것
제32조
1. 담당업무 외에는 열람 및 출력을 제한할 수 있는 접근자의
비밀번호를 설정하여 운영할 것
2. 비밀번호는 다음 각 목의 사항을 준수할 것
가. 비밀번호는 이용자 식별부호(아이디), 생년월일,
주민등록번호, 전화번호를 포함하지 않은 숫자와
영문자 및 특수문자 등을 혼합하여 8자리 이상으로
설정하고 분기별 1회 이상 변경
나. 비밀번호 보관 시 암호화
다. 시스템마다 관리자 비밀번호를 다르게 부여
3. 비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수
이상의 입력오류가 연속하여 발생한 경우 즉시 해당
비밀번호를 이용하는 접속을 차단하고 본인 확인절차를
거쳐 비밀번호를 재부여하거나 초기화 할 것
#CLOUDSEC
비밀번호 관련 규정
시스템마다 관리자 비밀번호를 다르게 부여할 것
사용자계정과 비밀번호를 개인별로 부여하고 등록 ∙ 변경 ∙ 폐기를 체계적으로 관리할 것
- 사용자계정의 공동사용이 불가피한 경우에는 개인별 사용내역을 기록∙관리하여야 한다
관리자계정은 관리자로 지정된 자만이 사용할 수 있으며, 그 외의 자에게는 대여할 수 없다. 다만, 업무상
필요에 의해 부득이하게 타인에게 대여한 경우에는 회수 후 즉시 비밀번호 변경 등의 보안 조치를 해야 한다
비밀번호는 이용자 식별번호,생년월일,주민등록번호,전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을혼합하여 8자리 이상으로 설정하고 분기별 1회 이상 변경
동일 비밀번호를 여러 사람이 공유하여 사용하지 말 것
응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지
시스템관리자는 정보시스템에 등록되어있는 비밀번호를 암호화하여 보관하여 한다.
비밀번호의 일방향 암호화 저장(정보통신망 법-개인정보 보호조치 15조)
⊙ 정보시스템 비밀번호관리규정요약기술적 관리적 보호조치 적용 필수
∙ ∙ ∙ ∙ ∙ ∙
⊙ 정보시스템 비밀번호 감독 기관
#CLOUDSEC
비밀번호에 대한 효율적 관리방안 최고 권한 계정의 비밀번호에 대한 별도의 관리 프로세스 적용
신청/승인에 의한 비밀번호 발급 프로세스 및 일회용 비밀번호 사용 및 사용 이력 관리
리포트 시스템을 통한 컴플라이언스 만족
다양한 운영 체제에 대한 체계적 비밀번호 관리 방안 마련 Unix / Windows / Tandem / Mainframe / Database Network Device / 어플리케이션 / 보안 장비 정기적인 비밀번호 변경 및 이력 관리
최고 권한 계정 사용 권한 부여에 대한 절차 확립 신청/승인 워크플로우 2차 인증을 통한 비밀번호 발급
외부 업체에 대한 비밀번호 노출 방지 메일 및 문서 형태의 비밀번호 공유 방지
사용된 비밀번호 자동 초기화로 비밀번호 재 사용 방지
스크립트 내에 비밀번호 직접 코딩 방지
스크립트 내 비밀번호에 대한 자동변경
비밀번호 자동 변경을 위한 API 제공
일방향 암호화 법규 준수
비밀번호 신청/승인 리포트
계정/비밀번호 사용에 대한 이력 관리
내/외부 보안 감사를 위한 권한 리포트 시스템 구축
#CLOUDSEC
비밀번호 관리 해결 방안
√ 비밀번호기록/기억불필요√ 비밀번호주기적변경불필요Ⅰ
√ 관리자퇴사시비밀번호변경불필요√ 유지보수인력작업시요청/승인발급Ⅱ
√ 비밀번호의안전한발급√ 비밀번호노출없는자동로그인Ⅲ
#CLOUDSEC
비밀번호 발급 아키덱처
비밀번호관리대상시스템
비밀번호저장소
비밀번호변경어댑터
시스템 계정 비밀번호
Unix root
Oracle SYS
Windows Administrator
Firewall admin
Cisco enable
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
y7qeF$1lm7yT5wX5$aq+pgviNa9%
tops3cr3t
비밀번호관리 WEB
정책
1. 관리자 콘솔을 통한 비밀번호 변경 정책정의
2. 초기 설정 및 구성자동 수집, 일괄 업로드, 수동 등록
3. 워크플로우 요청일회용 비밀번호 발급
4. 직접 접속 및 접속 매니저를 통한 접속
5. 감사 리포트
정책
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
Tojsd$5fhOiue^$fgW
사용자
보안관리자
감사자
#CLOUDSEC
제품 아키텍처
#CLOUDSEC
다양한 관리대상 시스템일회용 비밀번호 관리는 에이전트 설치 없이 Agent-Less 기반으로 다양한 서버 및 데이터베이스, 네트워크 장비, 보안장비에 대한안전한 패스워드 관리와 더불어 어플리케이션에 대한 비밀번호 변경 기능을 별도로 제공 합니다.
#CLOUDSEC
하드코딩 비밀번호 관리 해법- PUSH 방식을 환경파일 비밀번호 관리
- PULL 방식을 스크립트 비밀번호 관리
APPMfor PASSWORD MANAGEMENT(Automated Process Policy Management for password)
#CLOUDSEC
어플리케이션 비밀번호 관리방안 목적 : Agent 설치 없이 APPM 서버가 대상 환경 파일의 비밀번호에 대하여 자동 Update.
특징
변경 대상은 하나 혹은 하나 이상의 다중 서버 지원
환경 파일(.inf, .xml, .conf 등) 형태 지원 뿐만 아니라 명령어 방식(Web Logic 등) 도 지원
모든 처리 현황을 실시간으로 모니터링 하고 문제 발생시 경보 처리
APPM연관된 호스트 환경 파일비밀번호 자동 변경
< Batch Job – 환경 설정 파일 >
was.xml…...
Password=qwer1234was.xml…...
Password=qwer1234was.xml…...
Password=qwer1234
Host 1 Host 2
Host 3
어플리케이션비밀번호 변경
네트워크장비비밀번호 변경
데이터베이스비밀번호 변경
111
2
Agent-Less 기반으로 동작
파일 형태로 존재하는 환경파일 내의 비밀번호 제거기능
하나 이상의 다중 서버에대한 비밀번호 Sync 기능제공
Push 성공/실패에 대한모니터링 및 경보 기능 제공
#CLOUDSEC
어플리케이션 비밀번호 관리방안 목적 : 배치 스크립트 및 소스 코드 내부에 사용중인 하드코딩 된 비밀번호를 제거
API 지원 방식
Unix/Linux : CLI / Unix/Linux Shared Library 제공
Windows : DLL Library / Java Class Library 제공
특징
API(혹은 CLI)에서 요청한 비밀번호는 지정된 시간 후 자동으로 다른 비밀번호로초기화 작업 수행(옵션)
API(혹은 CLI)를 요청한 부모 스크립트의 무결성 체크 수행 (무허가 사용차단) 호스트에서 APPM에게
비밀번호 요청 방식
스크립트 내 비밀번호 직접코딩 방지 - 제거 및 사용 후자동 Reset
스크립트에 대한 무결성 체크
비밀번호 자동 변경을 위한다양한 API 제공
APPM
비밀번호 요청
ftp.sh......
- open 192.168.0.1- root/qwer1234
비밀번호 전송
시스템비밀번호 변경
배치 스크립트어플리케이션
어플리케이션비밀번호 변경
네트워크장비비밀번호 변경
데이터베이스비밀번호 변경
전송 받은 비밀번호를 이용하여 서버 접속
2 2 2
1
3
4
root/$PASSWORD
#CLOUDSEC
주요 고객사▶금융
▶ 기업 & 교육
▶ 공공 및 국방
▶ 해외
#CLOUDSEC
구축사례OO은행
19
사용자
사용자
관리자
유지보수협력업체
비밀번호 관리 솔루션APPM + OTP + W/F
구축범위
– 특수계정의 강력한 패스워드 통제정책 필요
– 네트워크장비에 대한 패스워드 관리 미흡
– 다양한 보안장비에 대한 패스워드 변경 필요: 외산 및 국산장비의 FW, IPS, IDS, Wireless 등
– 다양한 패스워드 변경 방식에 대한 대응: CS방식, 웹 방식, API 방식 등
– 비허가자 및 유지보수 인력 접근통제 강화
– 패스워드 관련 컴플라이언스 및 감사 대비
도입배경
은행 내 모든 보안장비에 대한 구축 적용
모든 사용자에 대한 OTP 2차 인증 구축
접근제어 연동 구축으로 접근권한 강화
특수 계정 OneTime Password 구축으로
① 공용 및 특수계정 패스워드 유출 차단
② 비밀번호 미저장 아키텍쳐 구현
WEB방식 패스워드 변경 모듈 적용
구축내용및효과
Server
NetworkDevice 보안장비
상주인력
ActiveUSB 백업
Server
NetworkDevice 보안장비
Unix/Linux
Unix/Linux
Active
StandbyUSB 백업
Active
StandbyUSB 백업
Active
StandbyUSB 백업
승인요청
PW확인
승인결재
승인요청
승인요청
OTP인증
△△망
□□망
OO망
◇◇망
Windows
Windows
다양한 네트워크 별로 흩어져 있는 인프라보안장비 및 네트워크 장비에 대한 통합패스워드 구축
#CLOUDSEC
구축사례OO기관
사용자
데이터베이스운영자
관리자
비밀번호 관리 솔루션APPM + OTP + W/F
– 주요시스템에 대한 패스워드통제 강화
– 패스워드 발급이력에 대한 신뢰성 확보
– 특권 계정 패스워드 분실 시 복구 방안 마련
– 패스워드 관련 컴플라이언스 및 법규 준수
– 안전한 패스워드 복구 방안
도입배경
특수 계정 OneTime Password 구축으로
① 사용자의 root 패스워드 분실 시에도
자동 초기화 및 변경 기능 적용
② 비밀번호 미저장 아키텍쳐 구현
승인/결재 진행상황에 대한 사용자 알림
기능 적용(SMS, 메신저)
외부 저장매체(USB) 패스워드 실시간 백업
모든 이력에 대한 기록관리 및 보고서 제공
구축내용및효과
유지보수
구축범위
UnixServer
UnixServer
UnixServer
유닉스서버운영자
USB 3차 백업
StandbyActive
OTP인증
승인요청
PW확인
승인결재
OTP인증
패스워드 발급체제 구축
내부직원
외주직원
기관 출입 외부 지원 인력에 대한 일회용 패스워드정책으로 패스워드 발급/회수에 대한 자동화프로세스 구축
#CLOUDSEC
구축사례의료기관 내.외부에 있는 IT인프라 시스템에 대한 통합 패스워드 발급 시스템 구축
사용자
일반사용자
관리자
유지보수협력업체
비밀번호 관리 솔루션APPM + OTP
구축범위
구분 대상 시스템
서버 Windows Servers, Linux
보안 장비네트워크 장비
Ahnlab , Handreamnet , Secui , Allied, 모니터랩 등
- 상주 인력에 대한 패스워드 통제정책 필요
- 네트워크/보안장비에 대한 패스워드 관리 미흡
- 정기점검 방문 인력에 대한 패스워드 통제
- 긴급 패스워드 변경에 대한 비효율성
도입배경
IT인프라장비 패스워드 발급프로세스 구축
( 정직원, 상주인력, 유지보수 인력 등 )
패스워드 발급 및 확인 시 2차 인증 적용
(APPM OTP 적용)
WEB방식 패스워드 변경 모듈 적용
일방향 암호화 패스워드 적용
특수 계정에 대한 패스워드 유출 차단
구축내용및효과
Server
NetworkDevice
보안장비
Server
NetworkDevice
보안장비
상주인력
내부망
외부망
OTP인증
USB 3차 백업
OO병원
“Security is not a Product,
But a Process”