2020.11.25

백업 시스템 되돌아보기…"슈퍼유저 1인 권한 클 필요 없다"

W. Curtis Preston | Network World
조직에 있는 각각의 직원이 주어진 업무를 수행하기 위해 최소한의 권한을 가져야 한다는 최소 권한 관리 모델은 백업 시스템에서도 꼭 필요한 중요 보안 개념이다. 문제는 네트워크, 시스템, 백업 관리자가 모두 이상할 정도로 엄청난 권한을 지닌다는 점이다. 이중 하나가 실수를 하거나, 악의를 가지고 회사에 손해를 끼치는 경우를 생각해보면, 권한을 제한하는 것은 곧 가능한 피해 범위를 제한하는 것이 될 것이다.

예를 들어 네트워크 관리자 한 명에게 네트워크를 모니터하는 권한을 주고, 다른 관리자에게는 네트워크 생성이나 재설정 권한을 주는 것이다. 보안 관리자는 네트워크 관리자들이 스스로 권한을 부여하지 않도록 유지할 책임을 지고 말이다.
 
ⓒ TheaDesign / Getty Images

시스템 관리자는 루트로 로그인하는 사람이나 관리자를 제한하고, ‘관리자 권한으로 실행하기’ 같은 기능을 요구할 수 있다. 둘 다 관리자가 필요할 때는 권한을 줄 수 있고, 동시에 관리자가 수행한 행동에 대한 로그 감사를 실시할 수도 있다.

하지만 보안 세계가 흔히 그렇듯, 최소 권한 모델을 실행하는 것은 쉽지 않다. 최소 권한 모델을 지원하는 제품만 사용할 수 있기 때문에 쓸 수 있는 제품 수도 제한되고, 모든 구성원에게 전적인 권한을 주는 방법보다 세부 설정도 까다롭다. 그러나 조직의 모든 사람에게 무제한적인 완전한 권한을 부여하는 시대는 이미 지난 지 오래다.
 

백업 권한 제한의 필요성

초능력을 지닌 한 사람이 나타나 키보드를 몇 번 누르기만 하면 상상 이상의 엄청난 피해를 끼칠 수 있는 백업 세상에서 최소 권한 모드는 무시되기 쉬운 전략이다. 일부러 권한을 설정하지 않으면 보통은 백업 시스템 관리자가 모든 권한을 가지게 된다. 엄청난 양의 데이터라도 쉽게 삭제하고 데이터의 모든 백업까지 지울 수 있는 권한이다.

그러나 백업 시스템은 보안 관행이라는 이름 뒤에 음험하게 숨어 있다. 최소 권한 모드를 지원하지 않는 백업 시스템도 많다. 즉 수천 수만 곳의 기업이 최소 권한 관행을 따르지 않고 있다는 의미다.

동시에 이것은 백업 관리자가 백업 서버의 슈퍼유저 비밀번호를 안다는 의미가 된다. 슈퍼유저는 루트, 관리자, 또는 직접 로그인할 수 있는 권한을 지니고, 슈퍼유저가 있었다는 기록도 남기지 않을 수 있다. 물리적 콘솔에서만 접속하도록 하는 제한이 있을 때도 있지만, 백업 관리자는 데이터센터에 있기 때문에 전혀 제한을 받지 않는 것이나 마찬가지다.

슈퍼유저가 되기 위해 유사한 방법을 사용해야 하더라도, 슈퍼유저로 백업 인터페이스를 실행할 수 있다면 원하는 것은 사실상 무엇이든지 할 수 있다. 예를 들면 백업 시스템에서 원하는 작업을 실행하는 스크립트를 만들고 백업한 후, 악용하려는 시스템에 복원할 수 있다. 그 후 백업 소프트웨어로 그 스크립트를 슈퍼유저 권한으로 실행하고, 백업에 대한 프리스크립트와 포스트스크립트를 실행할 수 있다. 직접 권한이 없어도 스크립트가 원하는 모든 작업을 수행하고 실행하고 스크립트가 실행된 내역을 삭제할 수도 있다.

이러한 악의적 활동을 보호하는 유일한 방법은 백업 시스템 외부에 있다. 루트나 관리자로 로그인할 수 있는 사용자를 제한하고 슈퍼유저 권한을 요구하는 것을 예로 들 수 있다. 그러나 이런 시스템도 피해갈 수 있다.

이것은 시스템 관리자가 일하는 방식도, 백업 시스템이 작동하는 방식도 아니다. 그러나 백업 시스템의 보안을 무시하는 기업에서는 이것이 현재 백업 시스템이 작동하는 방식일지도 모른다.

역할 기반 관리로 가야
보안 관점에서 백업 시스템에 가장 중요한 것은 백업 시스템을 실행하기 위해 슈퍼 유저로 로그인할 필요가 없어야 한다는 점이다. 시스템은 백업 관리자가 자신의 아이디워 비밀번호를 입력해 로그인하도록 해야 한다. 모든 것을 제어하는 강력한 사용자가 단 하나만 존재한다면 새로운 백업 시스템으로 교체해야 한다. 아직도 그런 방식으로 작동하는 주요 백업 제품은 없지만, 구 버전을 사용하는 방법도 있다.

대신 기업 백업 시스템은 역할 기반 관리 체제로 가야 한다. 각 사용자에게 다양한 권한이나 역할을 부여하는 방식으로 전술한 네트워크와 시스템 관리자의 경우와 비슷하다. 한 사람은 백업을 실행하고 모니터링하고, 다른 한 사람이 새 백업을 구성하거나 이전 백업 구성을 삭제하는 권한을 가지는 것이다.

또, 지정된 기간이 되기 전에 백업을 삭제하는 기능은 더욱 보호되어야 한다. 가장 좋은 방법은 모든 삭제 작업에 2인 이상의 인증을 요구하는 것이다. 사전에 지정된 저장 기간이 만료되기 전에 백업을 삭제할 경우에는 두 사람이 로그인해 같이 삭제 명령을 허용해야만 하는 것이다. 실제로 삭제 활동이 이루어지는 많은 곳에서 2인 인증 통합 개념이 구현되는 사례가 더욱 늘어나면 좋겠다.

한 사람에게 많은 권한을 몰아주는 현재의 시나리오를 자세히 들여다보자 겁이 나기 시작했다면 이 기사의 목적을 달성한 것이다. 이제 백업 관리자의 권한 문제를 이해한 후 시스템의 보안 구성을 다시 검토해보자. editor@itworld.co.kr  


2020.11.25

백업 시스템 되돌아보기…"슈퍼유저 1인 권한 클 필요 없다"

W. Curtis Preston | Network World
조직에 있는 각각의 직원이 주어진 업무를 수행하기 위해 최소한의 권한을 가져야 한다는 최소 권한 관리 모델은 백업 시스템에서도 꼭 필요한 중요 보안 개념이다. 문제는 네트워크, 시스템, 백업 관리자가 모두 이상할 정도로 엄청난 권한을 지닌다는 점이다. 이중 하나가 실수를 하거나, 악의를 가지고 회사에 손해를 끼치는 경우를 생각해보면, 권한을 제한하는 것은 곧 가능한 피해 범위를 제한하는 것이 될 것이다.

예를 들어 네트워크 관리자 한 명에게 네트워크를 모니터하는 권한을 주고, 다른 관리자에게는 네트워크 생성이나 재설정 권한을 주는 것이다. 보안 관리자는 네트워크 관리자들이 스스로 권한을 부여하지 않도록 유지할 책임을 지고 말이다.
 
ⓒ TheaDesign / Getty Images

시스템 관리자는 루트로 로그인하는 사람이나 관리자를 제한하고, ‘관리자 권한으로 실행하기’ 같은 기능을 요구할 수 있다. 둘 다 관리자가 필요할 때는 권한을 줄 수 있고, 동시에 관리자가 수행한 행동에 대한 로그 감사를 실시할 수도 있다.

하지만 보안 세계가 흔히 그렇듯, 최소 권한 모델을 실행하는 것은 쉽지 않다. 최소 권한 모델을 지원하는 제품만 사용할 수 있기 때문에 쓸 수 있는 제품 수도 제한되고, 모든 구성원에게 전적인 권한을 주는 방법보다 세부 설정도 까다롭다. 그러나 조직의 모든 사람에게 무제한적인 완전한 권한을 부여하는 시대는 이미 지난 지 오래다.
 

백업 권한 제한의 필요성

초능력을 지닌 한 사람이 나타나 키보드를 몇 번 누르기만 하면 상상 이상의 엄청난 피해를 끼칠 수 있는 백업 세상에서 최소 권한 모드는 무시되기 쉬운 전략이다. 일부러 권한을 설정하지 않으면 보통은 백업 시스템 관리자가 모든 권한을 가지게 된다. 엄청난 양의 데이터라도 쉽게 삭제하고 데이터의 모든 백업까지 지울 수 있는 권한이다.

그러나 백업 시스템은 보안 관행이라는 이름 뒤에 음험하게 숨어 있다. 최소 권한 모드를 지원하지 않는 백업 시스템도 많다. 즉 수천 수만 곳의 기업이 최소 권한 관행을 따르지 않고 있다는 의미다.

동시에 이것은 백업 관리자가 백업 서버의 슈퍼유저 비밀번호를 안다는 의미가 된다. 슈퍼유저는 루트, 관리자, 또는 직접 로그인할 수 있는 권한을 지니고, 슈퍼유저가 있었다는 기록도 남기지 않을 수 있다. 물리적 콘솔에서만 접속하도록 하는 제한이 있을 때도 있지만, 백업 관리자는 데이터센터에 있기 때문에 전혀 제한을 받지 않는 것이나 마찬가지다.

슈퍼유저가 되기 위해 유사한 방법을 사용해야 하더라도, 슈퍼유저로 백업 인터페이스를 실행할 수 있다면 원하는 것은 사실상 무엇이든지 할 수 있다. 예를 들면 백업 시스템에서 원하는 작업을 실행하는 스크립트를 만들고 백업한 후, 악용하려는 시스템에 복원할 수 있다. 그 후 백업 소프트웨어로 그 스크립트를 슈퍼유저 권한으로 실행하고, 백업에 대한 프리스크립트와 포스트스크립트를 실행할 수 있다. 직접 권한이 없어도 스크립트가 원하는 모든 작업을 수행하고 실행하고 스크립트가 실행된 내역을 삭제할 수도 있다.

이러한 악의적 활동을 보호하는 유일한 방법은 백업 시스템 외부에 있다. 루트나 관리자로 로그인할 수 있는 사용자를 제한하고 슈퍼유저 권한을 요구하는 것을 예로 들 수 있다. 그러나 이런 시스템도 피해갈 수 있다.

이것은 시스템 관리자가 일하는 방식도, 백업 시스템이 작동하는 방식도 아니다. 그러나 백업 시스템의 보안을 무시하는 기업에서는 이것이 현재 백업 시스템이 작동하는 방식일지도 모른다.

역할 기반 관리로 가야
보안 관점에서 백업 시스템에 가장 중요한 것은 백업 시스템을 실행하기 위해 슈퍼 유저로 로그인할 필요가 없어야 한다는 점이다. 시스템은 백업 관리자가 자신의 아이디워 비밀번호를 입력해 로그인하도록 해야 한다. 모든 것을 제어하는 강력한 사용자가 단 하나만 존재한다면 새로운 백업 시스템으로 교체해야 한다. 아직도 그런 방식으로 작동하는 주요 백업 제품은 없지만, 구 버전을 사용하는 방법도 있다.

대신 기업 백업 시스템은 역할 기반 관리 체제로 가야 한다. 각 사용자에게 다양한 권한이나 역할을 부여하는 방식으로 전술한 네트워크와 시스템 관리자의 경우와 비슷하다. 한 사람은 백업을 실행하고 모니터링하고, 다른 한 사람이 새 백업을 구성하거나 이전 백업 구성을 삭제하는 권한을 가지는 것이다.

또, 지정된 기간이 되기 전에 백업을 삭제하는 기능은 더욱 보호되어야 한다. 가장 좋은 방법은 모든 삭제 작업에 2인 이상의 인증을 요구하는 것이다. 사전에 지정된 저장 기간이 만료되기 전에 백업을 삭제할 경우에는 두 사람이 로그인해 같이 삭제 명령을 허용해야만 하는 것이다. 실제로 삭제 활동이 이루어지는 많은 곳에서 2인 인증 통합 개념이 구현되는 사례가 더욱 늘어나면 좋겠다.

한 사람에게 많은 권한을 몰아주는 현재의 시나리오를 자세히 들여다보자 겁이 나기 시작했다면 이 기사의 목적을 달성한 것이다. 이제 백업 관리자의 권한 문제를 이해한 후 시스템의 보안 구성을 다시 검토해보자. editor@itworld.co.kr  


X