사이버시큐리티 성숙도 모델 인증 : ‘접근통제’ 도메인
최근 방산업계와 국책 연구기관들이 북한의 소행으로 보이는 해킹 공격에 연일 뚫리고 있다. 이와 관련, 미국이 방산업체를 대상으로 적용하는 ‘사이버시큐리티 성숙도 모델 인증(CMMC)’에 대한 소개가 우리의 방위산업 보호에 도움이 될 것으로 판단해 이를 소개하는 시리즈를 시작한다. <편집자 주>
[뉴스투데이=이민재 TQMS 대표] CMMC의 17개 도메인 가운데 오늘 다룰 주제는 ‘접근통제(Access Control)’이다. 접근통제는 정보를 보호하기 위해 정보에 대한 접근을 제한하거나 허용하는 과정을 말한다. 접근에는 상반되는 두 가지 측면이 있는데, 첫째는 접근통제를 통해 정보를 보호하는 것이고, 둘째는 정보에 접근할 기회를 최대한 제공하여 정보의 이용을 촉진하는 것이다.
따라서 올바른 접근통제를 위해서는 누가 어떤 환경에서 기록에 접근하도록 허가할지 규정하는 공식적인 지침이 있어야 한다. 또한 효과적으로 접근을 통제하려면 정보와 개인 모두에게 접근 조건을 부여해야 하며, 정보에 시의적절하고 효율적으로 접근해 검색할 수 있도록 해야 한다. 즉, 접근통제에는 정보 접근을 통제하고 허용하는 두 가지 원칙이 동시에 존재한다.
CMMC에서는 성숙도 단계별로 접근통제 활동의 범위와 방법을 제시하고 있다. 먼저 1단계에서는 인가된 사용자만이 회사의 정보시스템을 사용할 수 있도록 제한하는 내용을 주로 다루고 있다. 1단계에서 다루는 프랙티스는 인가된 사용자와 인가된 사용자를 대신하는 프로세스 또는 장치(기타 정보시스템 포함)만이 정보시스템에 접근할 수 있도록 제한하는 등 4가지다.
따라서 노트북 컴퓨터, 태블릿, 휴대폰과 같은 개인 장치가 회사 네트워크 및 정보에 접근하지 못하도록 통제하고 제한해야 한다. 또한 회사 웹 사이트와 같이 공개적으로 접근할 수 있는 시스템에 정보를 게시할 수 있는 사용자나 직원을 지정하는 것이 중요하다. 일반 대중이 접근할 수 있는 회사 웹 사이트에 게시된 정보 역시 제한하고 통제해야 한다.
접근통제 2단계에서는 정보시스템 사용에 필요한 사용자 권한을 통제하고 원격 접근을 감시하며 통제하는 내용을 다루고 있다. 2단계에서 다루는 프랙티스는 다음과 같다. 먼저 기밀로 분류되지 않았으나, 통제가 필요한 정보를 관리하는 규칙에 부합하는 개인정보 및 보안사항을 안내하고, 외부 시스템에서 USB, CD, DVD, 외장 하드 디스크 드라이브와 같은 휴대용 저장장치의 사용을 제한한다.
또한 특정 보안 기능 및 권한이 부여된 계정을 포함해 최소 권한이 부여되는 원칙을 적용하고, 보안이 되지 않은 기능에 접근할 때는 권한을 부여받지 않은 계정이나 역할을 사용하며, 로그온 시도의 실패 횟수를 제한한다. 그리고 시스템을 일정 시간 사용하지 않는 경우, 패턴 숨김 디스플레이와 함께 세션 잠금을 통해 데이터 접근 및 보기를 방지하는 등 10가지다.
권한이 부여된 계정을 가진 사용자는 권한이 없는 계정을 가진 사용자보다 더 많은 작업을 수행하고 더 많은 정보에 접근할 수 있다. 따라서 권한이 있는 계정의 관리자 사용을 제한해야 한다. 더 많은 접근 권한이 필요한 기능을 수행하는 사람에게만 이 계정을 제공해야 시스템 및 데이터에 의도하지 않은 손상의 위험을 줄인다.
원격 접근 연결은 신뢰할 수 없는 네트워크를 통과하므로 적절한 보안 통제 없이는 신뢰할 수 없다. 모든 원격 접근은 승인된 암호화를 구현해야 하며, 이것이 데이터의 기밀성을 보장한다. 연결을 확인하여 승인된 사용자와 장치만 연결하고 있는지 확인한다. 모니터링에는 네트워크에 원격으로 접근하는 사람과 원격 세션 중에 접근하는 파일 추적을 포함할 수 있다.
트래픽 흐름 통제는 방화벽과 프락시 서버를 사용하여 정보가 흐르는 위치와 방법을 규제한다. 내부 네트워크와 인터넷 사이 그리고 네트워크 내부에서도 방화벽을 사용하여 민감한 데이터, 사업조직 또는 사용자 그룹을 구분하는 영역을 만들 수 있다. 또 프락시 서버를 사용하여 여러 네트워크 간의 연결을 끊거나 네트워크 간의 직접 접근을 방지하면 보안 및 성능상 이점을 갖는다. 아울러 모든 민감한 정보는 인터넷 전송 전에 암호화됐는지 확인해야 한다.
접근통제 3단계에서는 악의적 활동의 위험을 줄이기 위한 사용자 역할 분리와 인증 및 암호화를 통한 네트워크 접근 보호 그리고 모바일 장치의 연결 통제 내용을 다루고 있다. 3단계에서 다루는 프랙티스는 8가지다. 먼저 악의적 활동의 위험을 줄이기 위해 개인의 의무를 분리하고, 권한이 없는 사용자가 권한이 요구되는 기능을 실행하지 못하도록 방지하며 감사로그에서 이러한 기능의 실행을 캡처한다.
정의된 조건 이후에 사용자 세션을 (자동으로) 종료하고, 인증 및 암호화를 사용하여 무선 접근을 보호하며, 모바일 장치의 연결을 통제한다. 또한 원격 접근 세션의 기밀성을 보호하기 위해 암호화 메커니즘을 사용하고, 권한이 부여된 명령의 원격 실행과 보안 관련 정보에 대한 원격 접근을 인가하며, 모바일 장치 및 모바일 컴퓨팅 플랫폼에서 기밀로 분류되지 않았으나 통제가 필요한 정보를 암호화한다.
인증 및 암호화 방법의 조합을 사용해 무선 네트워크에 대한 접근을 보호한다. 무선 접속 지점에 대한 사용자 인증은 다양한 방법으로 수행할 수 있다. 하나는 사전 공유키를 기반으로 하는 공유키 인증을 사용하는 것이고, 다른 하나는 RADIUS 서버와 같은 인증 서버를 기반으로 하는 네트워크 확장 가능 인증 프로토콜과 포트 기반 네트워크 접근통제를 적용하는 메커니즘을 사용하는 것이다. 개방형 인증은 사용해선 안 된다.
조직은 모바일 장치의 적절한 구성 및 사용에 대한 지침과 수용 가능한 프랙티스를 수립해야 한다. 고유 식별자의 가용성은 장치 공급업체, 공급업체의 응용 프로그래밍 인터페이스의 개방성, 장치가 모바일 기기 관리 솔루션인 ‘모바일 장치 관리(MDM)’나 ‘기업 모바일 관리(EMM)’ 통제 하에 있는지에 따라 달라진다.
기기를 식별에 사용할 수 있는 다양한 식별자(예: UDID, UUID, Android ID, IMEI 등)가 있으며, 조직은 특정 상황에 적합한 접근 방식을 선택해야 한다. 장치가 식별되고 인증되면 운영 시스템 및 응용 프로그램에 대해 적절하게 구성을 설정하고 소프트웨어 버전을 준수하는지 확인한다. 동시에 안티바이러스 소프트웨어가 현재 잘 실행되고 있는지 확인하기 위해 장치를 검사한다. 마지막으로 허용되지 않은 기능이 꺼져 있는지 하드웨어 구성을 확인한다.
접근통제 4단계에서는 기밀로 분류되지 않았으나 통제가 필요한 정보에 대한 강화된 관리 방안을 다루고 있다. 4단계에서 다루는 프랙티스는 3가지다. 먼저 연결된 시스템의 보안 도메인 간의 정보 흐름을 통제하고, 기밀로 분류되지 않았으나 통제가 필요한 정보 프로그램 접근 권한을 주기적으로 검토하고 갱신한다. 또 시간, 접근 위치, 물리적 위치, 네트워크 연결 상태, 현재 사용자 및 역할 같이 조직에서 정의한 위험 요소를 기반으로 원격 네트워크 접근을 제한한다.
접근통제는 사용자와 프로세스에 의한 정보로의 접근을 통제하는 것과 관련이 있지만, 정보 흐름 통제는 필요한 흐름을 제한하는데 적용할 수 있다. 기밀로 분류되지 않았으나 통제가 필요한 정보를 저장·처리하는 영역에 지정되지 않은 곳으로 해당 정보를 이동하려는 모든 시도는 차단해야 한다. 또한 이런 정보에 접근 권한이 부여된 신뢰할 수 있는 목록을 유지 관리해야 하며, 사용자는 프로그램과 관련된 해당 정보를 읽고, 쓰고, 처리하려면 조직의 승인을 받아야 한다.
마지막으로 접근통제 5단계에서는 네트워크에 연결된 식별되지 않은 무선 접근 포인트와 관련된 위험을 식별하고 완화한다는 하나의 프랙티스를 다루고 있다. 이 프랙티스는 다양한 방법으로 구현할 수 있다. 하나는 무선 침입탐지시스템을 사용하는 것인데, 이는 인가되지 않은 접근 지점이 있는지에 대해 무선 스펙트럼을 감시하는 네트워크 장치이다. 다른 하나는 악성 네트워크 장치를 탐지하거나 차단하는 데 사용하는 접근 방식이다.
더욱 강력한 솔루션은 승인된 장치를 식별하고 해당 장치에 대한 연결을 제한하는 접근통제를 만드는 것이다. 연결이 허용된 각 장치에는 시스템 관리자가 유지 관리하는 예상 물리적 위치를 포함하는 프로필이 있다. 이는 차례로 포트 모니터링 도구와 함께 사용하여 연결을 통제할 수 있는 화이트리스트 장치의 생성을 쉽게 한다. 또 다른 접근 방식은 시스템 관리자가 장치 기준을 설정하는 데 사용하는 장치 감지 소프트웨어를 사용하는 것이다.
지금까지 CMMC의 17개 도메인 가운데 ‘접근통제’에 대해 살펴봤다. 접근통제 활동은 조직에서 정의한 접근 요구사항에 부합하도록 조직 시스템과 정보로의 접근을 허용한다. 접근 요구사항은 조직 자산의 보호에 필요한 보안 요구사항을 고려한 조직의 요구사항을 기반으로 개발되었다.
접근통제 도메인에서는 ① 시스템 접근 요구사항 설정, ② 내부시스템 접근통제, ③ 원격 시스템 접근통제, ④ 승인된 사용자와 프로세스에 대한 데이터 접근 제한의 4가지 역량이 요구된다.
다음 5회에서는 조직의 기술 자산을 관리하는 ‘자산관리’와 기술 자산을 사용하는 직원을 관리하는 ‘직원보안’ 등 2가지 도메인을 살펴본다.
◀ 이민재 대표 프로필 ▶ 미국 로체스터공과대학(Rochester Institute of Technology)에서 응용수학을 전공했고, 미국 뉴욕대(New York University)에서 전산감리학 석사학위를 받았으며, 숭실대에서 CMMI(Capability Maturity Model Integration)에 대한 연구로 소프트웨어공학 박사학위를 취득했다. CMMI 관련 다양한 저서와 논문을 집필했고, 국내 70여 기업에 대한 프로세스 개선 컨설팅 및 CMMI 인증심사 경험을 바탕으로 국가 사이버안보 역량 강화를 위한 사이버시큐리티 프로세스 연구에 매진 중이다. 지난 2015년에는 제9회 ‘아시아·태평양 시스템 엔지니어링 콘퍼런스(APCOSE)’에서 사이버시큐리티 성숙도 모델 설계 방안을 제시하는 논문인 ‘A Study on Designing Cyber Security Maturity Model’을 발표했다.