보안

실제로 사용할 수 있는 획기적인 IT 보안 트릭 10선

Roger A. Grimes | InfoWorld 2012.07.12
네트워크와 엔드포인트(Endpoint) 보안부터 시작해야 한다는 것이 생각나지 않을 수 있다. 어쨌든, 기업의 시스템과 데이터를 보호하기 위해서는 위험이 따르는 조치를 고려해 봐야 한다. 
 
하지만 IT 보안의 위협은 날로 발전하고 있으며, 이보다 빨리 진화하는 악당들보다 한발 앞서기 위해 고정관념을 탈피해야 하는 경우도 있다. 그리고 가끔은 정신나간 짓도 불사해야 한다.
 
현대 컴퓨터의 아버지 찰스 바비지는 이런 말을 남겼다. "한 사람에게 감탄할만한 원리나 도구를 제안하면, 그 사람은 그 속에서 어려움, 결함, 불가능을 찾기 위해 노력할 것이다. 그에게 감자의 껍질을 벗기는 기계에 관해 이야기하면, 그는 그런 기계가 존재할 수 없다고 말할 것이다. 당신이 그의 앞에서 그 기계를 사용해 감자의 껍질을 벗기면 그는 그 기계가 파인애플을 자를 수 없기 때문에 쓸모없다고 말할 것이다."
 
네트워크 보안의 세계도 크게 다르지 않다. IT 방어를 위한 새로운 수단을 제안하면, 머지않아 저항에 부딪힌다. 하지만 가끔은 전통적인 사고방식을 거스르는 것이 성공을 향한 지름길이 되기도 한다.
 
이런 맥락에서 우리는 지금까지 사용하기에는 너무 별나다는 이유로 거부되어 왔지만 기업의 IT 자산을 보호하는데 있어 상당히 효과적인 기능을 제공하는 보안에 관한 열 가지 아이디어를 제시하고자 한다. 
 
이런 방식을 도입하는 기업들은 비관론자들과 논쟁하거나 그들을 설득하는데 에너지를 허비하지 않는다. 그들은 결과를 보고 판단하며, 실제로 이런 방법들은 상당히 효과적이다.
 
혁신적인 보안 기술 No. 1 : 관리자 이름 변경하기
권한을 가진 계정의 이름을 '관리자(administrator)'가 아닌 다른 것으로 변경하는 것은 쓸모없는 '모호함에 의한 보안'이라고 치부되곤 한다. 하지만 이런 간단한 보안 전략이 효과를 발휘한다. 
 
공격자가 이미 네트워크 또는 호스트에 침입한 것이 아니라면, 그들이 권한을 가진 계정의 새로운 이름을 금방 알아차릴 리 만무하다. 이름을 모른다면 암호를 알아내는 것이 더욱 어려워진다.
 
더 큰 장점은? 지금까지 발견된 워크스테이션과 서버를 공격하는 그 어떤 자동화된 악성 코드도 내장된 계정명을 사용하는 경우는 없었다. 권한을 가진 계정의 이름을 변경함으로써 해커와 악성 코드를 한 방에 무찌를 수 있다. 
 
또한 이전의 권한을 가진 계정명을 더 이상 사용하지 않을 때 이에 대한 로그인 시도를 감시하고 경고 메시지를 표시하도록 하는 편이 더 쉽다.
 
혁신적인 보안 기술 No. 2 : 관리자 없애기
또 다른 방법은 관리자, 도메인 관리자, 기업 관리자 등 기본적으로 내재된 광범위한 권한을 보유하고 있는 모든 계정과 집단 등 막강한 권한을 보유하고 있는 모든 계정을 없애는 것이다.
 
이런 제안을 하면 대부분의 네트워크 관리자는 비웃으며 반대하겠지만, 보안 전문가들이 윈도우 컴퓨터에서 로컬 관리자 계정을 비활성화해야 한다고 주장했을 때에도 같은 반응이 되돌아왔다. 
 
그러나 나중에 마이크로소프트는 이 제안을 받아들여 비스타와 윈도우 서버 2008 이후의 모든 윈도우 버전에서 기본적으로 로컬 관리자 계정을 비활성화하게 됐다. 그러자 전세계 수억 대의 컴퓨터가 겪던 문제가 사라졌다.
 
윈도우에서는 지금도 관리자 계정을 생성할 수 있지만, 현재 대부분의 적극적인 컴퓨터 보안 전문가들은 모든 권한을 가진 계정을 사용하지 않도록 권장하고 있다. 그럼에도 불구하고 많은 네트워크 관리자는 이것을 너무 엄격하고 쓸모 없는 조치라고 생각하고 있다. 
 
어쨌든 최소한 포천이 선정한 100대 기업은 모두 모든 권한을 가진 계정을 제거했으며, 상당한 효과를 누리고 있다. 해당 기업에서는 아직까지 APT(Advanced Persistent Threat)에 의한 공격을 받았다는 정황이 포착되지 않고 있다. 
 
그리고 사용자 측과 IT 부서에서 그 누구도 광범위한 권한을 가진 계정이 없다는 것에 대해 불평하지 않고 있다. 그럴 이유가 없지 않은가? 해킹 당할 일이 없으니 말이다.
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.