일방향암호화법규준수기반의최고권한계정패스워드관리 Automated Process Policy Management for Password
시큐어가드테크놀러지소개 APPM for Password APPM for OTP APPM for BackupBox APPM for ORISS 1
2
공유계정의문제 root 및공유계정 다수의사용자 비밀번호공유 무제한의시스템및데이터베이스데이터열람, 수정 시스템파일수정 로그파일위변조 비밀번호변경주체불확실 Root 및공유계정 네트워크보안및 OS 보안 어플리케이션보안 고객정보시스템설정 3
비밀번호와 3.20 사이버테러 4
주목받는비밀번호관리 H 은행서비스적용이력 1 2 3 4 5 D 사공용계정관리시스템도입 - UNIX 운영서버 200대 200개 - Root 계정만관리 3.20 사태발생 공용계정관리중요성인식 - Open계정을통한악성코드감염 - 공용계정을통한악성코드확산 관리확산범위 - 전체서버공용계정대상 - 주요네트워크장비모든계정 - DB 를포함한전체서버모니터링계정 APPM 공용계정관리시스템도입 교체사유 - 국산네트워크장비, 한글미지원 - 워크플로우커스터마이징불가 [1 차 ] 주요네트워크장비 ( 적용완료 ) [2 차 ] DB 및서버모니터링계정 ( 적용中 ) [3 차 ] Application 계정관리 ( 예정 ) 5
강화되는비밀번호컴플라이언스및감사대응 전자금융감독규정 제14조 9. 정보처리시스템의운영체제 (Operating System) 계정으로로그인 (Log in) 할경우계정및비밀번호이외에별도의추가인증절차를의무적으로시행할것제32조 1. 담당업무외에는열람및출력을제한할수있는접근자의비밀번호를설정하여운영할것 2. 비밀번호는다음각목의사항을준수할것가. 비밀번호는이용자식별부호 ( 아이디 ), 생년월일, 주민등록번호, 전화번호를포함하지않은숫자와영문자및특수문자등을혼합하여 8자리이상으로설정하고분기별 1회이상변경나. 비밀번호보관시암호화다. 시스템마다관리자비밀번호를다르게부여 3. 비밀번호입력시 5회이내의범위에서미리정한횟수이상의입력오류가연속하여발생한경우즉시해당비밀번호를이용하는접속을차단하고본인확인절차를거쳐비밀번호를재부여하거나초기화할것 정보통신망이용촉진및정보보호등에관한법률 제 15 조 4. 비밀번호및바이오정보 ( 지문, 홍채, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보를말한다 ) 의일방향암호화저장 O 은행보안감사지적사항 6
최고권한계정에대한효율적인관리방안 최고권한계정의패스워드에대한별도의관리프로세스, 일회용비밀번호사용및사용이력관리 신청 / 승인에의한패스워드발급및리포트시스템을통한컴플라이언스구축 다양한운영체제에대한체계적인패스워드관리방안마련 Unix/Windows/Tandem/Mainframe/Database/Network Device/ 어플리케이션 / 보안장비 정기적인패스워드변경및변경이력관리 수작업에의한패스워드변경노력및암호복잡성만족 최고권한계정사용권한부여에대한절차확립 패스워드신청 / 승인워크플로우 2 차인증을통한패스워드발급 외부업체에대한패스워드노출방지 메일및문서형태의패스워드공유방지 패스워드재사용방지 사용된패스워드자동초기화로재사용금지 스크립트내에패스워드직접코딩방지 스크립트내패스워드에대한자동변경및사용 패스워드자동변경을위한 API 제공 일방향암호화법규준수계정 / 패스워드사용에대한이력관리패스워드신청 / 승인리포트내 / 외부보안감사를위한권한리포트시스템구축 7
Automated Process Policy Management for Password (Appliance Server!) 일회용비밀번호발급솔루션소개 - 일회용비밀번호발급솔루션개요 - 비밀번호발급솔루션아키텍처 : 일방향암호화정책준수 8
일회용비밀번호발급솔루션개요 Ⅰ 패스워드기록 / 기억불필요 패스워드주기적변경불필요 Ⅱ 관리자퇴사시패스워드변경불필요 유지보수인력작업시요청 / 승인발급 Ⅲ 패스워드의안전한발급 패스워드노출없는자동로그인 9
비밀번호발급아키텍처 1. 관리자콘솔을통한패스워드변경정책정의 2. 초기설정및구성자동수집, 일괄업로드, 수동등록 3. 워크플로우요청일회용비밀번호발급 4. 직접접속및접속메니저를통한접속 5. 감사리포트 보안관리자 정책 정책 패스워드저장소 비밀번호변경어댑터 시스템계정비밀번호 Unix root Oracle SYS Windows Administrator Firewall admin Cisco enable Oiue^$fgW y7qef$1 Tojsd$5fh X5$aq+p lm7yt5w gvina9% tops3cr3t tops3cr3t tops3cr3t tops3cr3t tops3cr3t IT 패스워드관리 Web 콘솔 비밀번호관리대상시스템 감사자 10
일방향암호화특허출원 11
최고권한계정패스워드관리 (No Agent install!) 비밀번호관리솔루션기능 - 다양한관리대상시스템 - 갖추어야할자체보안기능 - 장애대응방안 3 차백업 12
다양한관리대상시스템 일회용비밀번호관리는에이전트설치없이 Agent-Less 기반으로다양한서버및데이터베이스, In-House 어플리케이션에대한패스워드변경기능을제공합니다. 13
제품의특장점 물리적 / 논리적강력한보안성및안전성제공 특장점 강력한보안성및안전성제공 자체방화벽 비밀번호임의변경시도 ( 양방향암호화경우 ) HTTPS 구간암호 탐지및경보 SSH2 통신이용 비밀번호요청 비밀번호변경 OTP 사용자 비밀번호통보디스크 Bay 잠금물리적키잠금장치 HardDisk 서비스프로세스보호서비스프로세서임의변경불가 ( 감시및경보, 서비스중단 ) Unix 비밀번호 DB 디스크암호화 디스크도난대비파티션암호화 비밀번호암호화 SHA256, AES-256, ARIA 암호화지원 비밀번호저장소 14
제품의특장점 [ 특허출원 ] 3 차백업을통한안전한비밀번호관리및복구방안제공 3 장애발생 Active & Standby 비밀번호관리시스템장애 4 USB 회수 2 비밀번호실시간백업 비밀번호관리시스템에 USB 이동저장매체를설치하여실시간으로비밀번호를 3 차백업 1 비밀번호관리시스템 5 복호화키 USB 회수 NH 농협은행금고에저장되어있는복호화키 USB 회수 Standby Active 비밀번호관리시스템은관리대상시스템의주요계정에대한비밀번호를생성 / 변경한후보관 6 지정 PC 복호화 7 시스템접속 별도의지정된관리 PC 에서어플리케이션을통해접근후복호화키및저장된비밀번호복호화 비밀번호관리대상시스템 비밀번호관리시스템복구전까지관리대상시스템에접속이필요한경우복호화된비밀번호를이용하여접속 15
제품의특장점 신규 OS 버전업데이트시신속한어댑터개발지원 기존플랫폼 플래폼기반솔루션 비밀번호변경어댑터 신규 OS 플랫폼 신규개발어댑터 최대 1 일이내개발지원 제안사및제조사연락 OS 정보수집및개발착수 ( 보유서버및고객사방문 ) 고객사 기술개발팀 시스템패치플래폼적용 16
최고권한계정패스워드관리 (No Agent install!) 하드코딩된비밀번호관리방안 - 다중 PUSH 방식을이용한비밀번호관리 - PULL 방식을이용한비밀번호관리 17
하드코딩된비밀번호관리방안 PUSH 기능 Agent-Less 기반으로동작 파일형태로존재하는환경파일내의패스워드제거기능제공 하나혹은하나이상의다중서버에대한패스워드 Sync 기능제공 Push 성공 / 실패에대한모니터링및경보기능제공 PULL 기능 호스트에서 APPM에게패스워드를요청방식 스크립트내에패스워드직접코딩방지 - 제거및사용후자동 Reset 요청스크립트에대한무결성체크 패스워드자동변경을위한다양한 API 제공 Unix/Linux/Windows CLI C Sheared Library, VC++ DLL JAVA API 18
하드코딩된비밀번호관리방안 - 다중 PUSH 제공 목적 : Agent 설치없이원본계정의패스워드변경시 APPM 서버가자동으로대상환경파일의패스워드를 Update해줍니다. 특징 변경대상은하나혹은하나이상의다중서버지원 환경파일 (.inf,.xml,.conf 등 ) 형태지원뿐만아니라명령어형태 (Web Logic Agent-Less 기반으로동작 등 ) 로실행되는형태도지원 모든 PUSH 처리현황을실시간으로모니터링하고문제발생시경보처리함 파일형태로존재하는환경파일내의비밀번호제거기능제공 하나혹은하나이상의다중 1 어플리케이션비밀번호변경 1 데이터베이스비밀번호변경 1 네트워크장비비밀번호변경 서버에대한비밀번호 Sync 기능 제공 APPM 2 연관된호스트환경파일비밀번호자동변경 Push 성공 / 실패에대한모니터링 및경보기능제공 < Batch Job 환경설정파일 > 신규장비연동시수시간 was.xml.. Password=qwer1234 Host 1 was.xml.. Password=qwer1234 Host 2 was.xml.. Password=qwer1234 ( 약 3 시간 ) 이내연동적용가능 Host 3 19
하드코딩된비밀번호관리방안 - API 혹은 CLI 기반의 PULL 방식제공 목적 : 배치스크립트및소스코드내부에사용중인하드코딩된패스워드를제거 API 지원방식 Unix/Linux CLI 제공 / Unix/Linux Shared Library 제공 Windows dll Library 제공 / Java Class Library 제공 특징 API( 혹은 CLI) 에서요청한패스워드는지정된시간후자동으로다른패스워드로초기화됨 ( 옵션 ) API( 혹은 CLI) 를요청한부모스크립트의무결성체크기능제공 호스트에서 APPM에게비밀번호를요청방식스크립트내에비밀번호직접코딩방지 - 제거및사용후자동 Reset 스크립트에대한무결성체크 어플리케이션데이터베이스 2 2 2 비밀번호변경비밀번호변경 APPM 네트워크장비비밀번호변경 1 비밀번호요청 비밀번호자동변경을위한 다양한 API 제공 시스템비밀번호변경 3 비밀번호전송 ftp.sh.. ftp 192.168.0.1 root/qwer1234 배치스크립트및어플리케이션 신규장비연동시수시간 ( 약 3 시간 ) 이내연동적용가능 4 전송받은비밀번호를이용하여서버접속 20
최고권한계정패스워드관리 (No Agent install!) 구축사례 - oo 은행 - oo 은행 - oo 감독원 - oo 전자글로벌 21
구축사례 oo 은행 oo 은행은유닉스운영서버, 네트워크장비, 보안장비, 데이터베이스를포함한모든주요장비의비밀번호관리서비스를 APPM 을통해운영하고있습니다. 작업자 패스워드발급시스템웹포탈서비스 서비스장비 데이터베이스운영자유닉스서버운영자네트워크장비운영자보안장비운영자 SSO 를통한웹접속 1 패스워드요청 패스워드발급시스템 USB 3 차백업 APPM-2000 Master Master 패스워드확인시 OTP 2 차인증 V I P 실시간데이터복제 3 발급받은패스워드를이용하여접속 2 발급승인 승인자 USB 3 차백업 APPM-2000 Master Slave Login 일회용비밀번호관리 Oracle Sybase Sybase IQ UNIX, Linux 네트워크장비 보안장비 대상주요장비 OOO 여대 - RDBMS 포함 대상계정수 OOOO 여개 1 일패스워드발급건수약 OOOO~OOOO 여건발급 SSO 를통한 APPM 웹자동로그인 패스워드불출시 OTP 2 차인증 비승인 ( 직원 ), 승인 ( 외주 ), 사후승인워크플로우정책혼합사용 요청변경, 정책사용 구분 서버 데이터베이스 네트워크장비및보안장비 운영플랫폼 Solaris, HP-UX, AIX, Linux Oracle, Sybase, Sybase IQ Cisco, AVAYA, BROCADE, ERS5200, ERS8600, MF2-2000,SNIPER-DDX, SNXG400, NXG100V 22
구축사례 OO 은행 OO 은행은유닉스운영서버, 보안장비를포함한주요장비의비밀번호관리서비스를 APPM 을통해운영하고있습니다. 보안팀의경우보안장비에대한일회용비밀번호관리를위해별도로 APPM 서버를운영하고있습니다. XX 망 보안운영자보안운영자 패스워드발급시스템웹포탈서비스 1 패스워드요청패스워드발급시스템 2 발급승인 3 발급받은 패스워드를 이용하여접속 승인자 Login 서비스장비 보안장비 UNIX/Windows 국내유일 정보통신망법 15 조 일방향암호화정책준수 Reference USB 3 차백업 일회용비밀번호관리 XX 망 패스워드발급시스템웹포탈서비스 서비스장비 3 발급받은 Login 보안운영자보안운영자 1 패스워드요청패스워드발급시스템 USB 3 차백업 2 발급승인 패스워드를 이용하여접속 승인자 일회용비밀번호관리 보안장비 UNIX/Windows 비밀번호저장소 비밀번호미저장 XX 망 패스워드발급시스템웹포탈서비스 3 발급받은 Login 서비스장비 서버운영자 개발자 1 패스워드요청패스워드발급시스템 USB 3 차백업 2 발급승인 패스워드를 이용하여접속 승인자 일회용비밀번호관리 UNIX Windows APPM 2000 7 대운영 대상주요장비 000 여대 유닉스, 서버 윈도우서버 방화벽 보안장비 시큐어가드테크놀러지 OTP 사용 XX 망 패스워드발급시스템웹포탈서비스 서비스장비 서버운영자개발자 1 패스워드요청패스워드발급시스템 USB 3 차백업 APPM-2000 2 발급승인 3 발급받은 패스워드를 이용하여접속 승인자 Login 일회용비밀번호관리 UNIX, Windows 구분 서버 보안장비 운영플랫폼 Solaris, HP-UX, AIX, Linux, Windows 방화벽 PC 보안, 무선보안, IPS, IDS, 23
구축사례 oo 감독원 oo 감독원은 DART 서비스의운영장비에대하여비밀번호관리서비스를 APPM 을통해운영하고있습니다. 작업자 패스워드발급시스템웹포탈서비스 DART 서비스장비 데이터베이스운영자 웹접속 OTP 2 차인증사용 3 발급받은패스워드를이용하여접속 Login Unix 서버 유닉스서버운영자 네트워크장비운영자 보안장비운영자 1 패스워드요청 패스워드발급시스템 USB 3 차백업 APPM-3000 Master Master V I P 실시간데이터복제 2 발급승인 승인자 USB 3 차백업 APPM-3000 Master Slave 일회용비밀번호관리 Unix 서버 Unix 서버 Unix 서버 대상장비 OO 대 대상계정수 OO 개 모든계정에대해워크플로우정책을통해패스워드발급 APPM 웹콘솔로그인시 OTP 2 차로그인 워크플로우와 SMS( 외주직원 ), 메신저 ( 내부직원 ) 연동 USB 3 차백업 요청변경정책사용 구분 서버 운영플랫폼 AIX 24
구축사례 oo 전자글로벌 oo 전자글로벌은대규모네트워크장비에대한패스워드관리를 APPM 을통해운영하고있습니다. 작업자 패스워드발급시스템웹포탈서비스 서비스장비 APPM 웹접속 3 발급받은패스워드를이용하여접속 Login 서버운영자 WINDOWS 서버 1 로그인 2 패스워드확인 네트워크장비운영자 패스워드발급시스템 USB 3 차백업 APPM-1000 주기적패스워드관리 Linux 윈도우, 리눅스 OOO 여대 네트워크장비 OOO 여대 USB 3 차백업 주기적변경정책사용 접근통제클라이언트를통한자동로그인기능사용 접근통제시스템 4 접속접속패스워드제공 네트워크장비 구분 서버 운영플랫폼 Windows 2000, 2003, 2008, Linux 보안장비운영자 접근통제 PC 클라이언트로그인 5 접속클라이언트를이용하여자동로그인 Login 보안장비 네트워크장비및보안장비 Cisco, Alteon, AVAYA, BROCADE, Astro, Motorola, Optowiz, Secui, Handreamnet, Snxg400, Subgate, via scope, Windows 25
레퍼런스 금융권레퍼런스 기타 26
감사합니다.. 굿모닝아이텍 [ 주 ] 연락처 : 02-3775-2349 E-mail : gitsales@goodmit.co.kr, www.goodmit.co.kr 27